En proie à une attaque DDoS persistante, les principaux marchés noirs du dark web voient leur existence menacée. Le leader Dream Market a d’ailleurs annoncé la fermeture de ses portes, effective depuis le 30 avril 2019. Mais une question demeure : qui est l’auteur de cette cyberopération ? Les hypothèses fusent, mais les réponses manquent.

Le dark web vit des heures sombres. Depuis trois mois, les principales plateformes e-commerce de l’internet clandestin où se vendent, pêle-mêle, drogues, armes à feu, logiciels malveillants et data dérobée, subissent des attaques DDoS de grande envergure. Dream Market, Empire Market, Nightmare Market et Wall Street Market font ainsi partie des victimes recensées : parmi elles, une a déjà mis la clé sous la porte.

Dream Market, un rêve devenu cauchemar

Considéré comme l’un des leaders du marché noir, le premier nommé a été contraint de stopper ses activités le 30 avril 2019, comme l’avait annoncé l’un de ses modérateurs un mois plus tôt. À l’époque, son annonce coïncidait étrangement avec une importante opération policière alors en cours. Mais le site essuyait en fait depuis déjà sept semaines des attaques DDoS répétées, combinées à une tentative d’extorsion de 400 000 dollars.

Si les administrateurs de Dream Market ont refusé d’obtempérer, leurs efforts pour résoudre la situation furent vains. Profitant d’une vulnérabilité nichée dans Tor, le hacker, au regard de sa première tentative soldée par un échec, s’est ensuite tourné vers d’autres marketplace : pendant un mois, Empire Market a été frappé par des attaques DDoS par intermittence, suivis de Nightmare Market et Wall Street Market, mais dans une moindre mesure.

Image d'erreur

Un membre de l’équipe de Dream Market explique les raisons de la fermeture. // Crédit photo : capture d’écran de ZDNet.

En parallèle, Wall Street Market faisait l’objet d’une opération policière menée sous la houlette d’Interpol. Dans un communiqué de presse publié le mercredi 3 avril 2019, l’Organisation internationale a officiellement annoncé la suppression du site et l’arrestation de trois personnes d’origine allemande. Mais le mystère reste entier quant à l’auteur des autres cyberattaques susmentionnées.

Plusieurs hypothèses émises par Patrick Shortis, candidat au doctorat du Centre de criminologie et de justice pénale de l’Université de Manchester, interrogé par ZDNet, nous donnent un panorama des scénarios plausibles. « Les attaques DDoS cherchant à soutirer de l’argent se sont soldées par des succès dans le passé : en témoigne le procès de Ross William Ulbricht (fondateur du marché noir Silk Road, ouvert en 2011 puis fermé en 2013, NDLR) », contextualise-t-il.

Concurrence : le jeu du pouvoir ?

« Le créateur de Silk Road, aussi connu sous le nom de Dread Pirate Roberts, a payé un hacker pour stopper une attaque DDoS en cours et garder son site ouvert », explique l’expert. « Certains supputent qu’il n’existe qu’un seul hacker derrière l’ensemble des attaques, utilisant la même vulnérabilité Tor à l’origine de la cyberopération menée contre Dream. C’est une théorie plausible : si c’est vrai, alors Dream Market n’a probablement pas payé la rançon. L’attaquant se serait alors tourné vers d’autres marchés noirs », déduit M. Shortis.

Mais ce dernier fait preuve de lucidité, et n’écarte pas l’hypothèse selon laquelle un concurrent aurait tenté de torpiller le marché en coulant les leaders du secteur. Après la fermeture de Dream, un grand nombre d’utilisateurs demeuraient orphelins de leur marketplace favorite. L’occasion d’attirer de nouveaux clients sur d’autre site du darknet. « Cela pourrait être une attaque de désanonymisation par les forces de police », conclut Patrick Shortis, bien que peu probable.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !