A première vue, il s’agit une simple messagerie d’un site marchand francophone, comme il en existe des milliers. Clients et fournisseurs discutent tranquillement des transactions, et des problèmes de livraison :

« JFD / commande/ – Salut, Juste pour vous dire que la commande n’est pas encore arrivée. C’est pas que je m’inquiète, mais les deux dernières fois, elles étaient arrivées en J +2 […]. Vous pourriez me confirmer SVP. Sinon je trouve le site vraiment sympa, agréable. Déjà, il est plus beau que la majorité des sites ! C’est vraiment top... »

Réponse : Je n’ai pas de nouvelles de mon fournisseur concernant cette variété pour le moment. J’ai un autre arrivage d’un autre fournisseur si tu ne veux pas attendre. Cordialement, C. »

Mais très vite, on comprend que la marchandise n’est pas ordinaire :

– Je vais avoir de la M39 si ça te tente. […] Ta commande est-elle toujours d’actualité ? Honnêtement, j’ai eu d’autres commandes avant celle-ci, que je dois honorer. T’enverrai peut-être en deux fois, en fonction des arrivages, au moins 50 g cette semaine, et j’espère le reste plus tôt […].

– Bonjour C., En fait, je voudrais modifier ma commande si possible car la Blueberry a un délai. Donc je souhaiterais changer la Blueberry par la Querkle.

– Si finalement je décide de prendre la M39, combien de grammes tu m’envoies pour 300 € […]. Sinon, effectivement, je crois que je te demanderai un refund...

M39, Blueberry, Querkle sont des variétés de cannabis. Ces dialogues sont extraits de la messagerie d’une plate-forme hébergeant des boutiques en ligne françaises de vente de marijuana. Certains marchands semblent mal approvisionnés, mais l’ambiance reste conviviale... Ces sites clandestins et illicites se trouvent dans le Deep Web, le « Web profond », un recoin du Net réservé aux initiés, qui n’est pas référencé dans les moteurs de recherches, ni accessible avec un navigateur ordinaire. Les Français y sont présents, même si les sites du « French Deep Web » sont très modestes, comparés aux sites anglophones internationaux.

Vague de piratages sur le « French Deep Web »

Pour cacher l’identité des participants, et préserver le secret des correspondances, les données sont chiffrées avec le logiciel GPG, et circulent sur TOR, réseau mondial de serveurs anonymes permettant de naviguer sur Internet sans laisser de traces. Du moins en théorie. En réalité, si un site créé sur TOR (nom de domaine « .onion ») n’est pas correctement sécurisé, un hacker astucieux peut le pirater aussi facilement qu’un site ordinaire. Cette mésaventure est arrivée, début septembre, à des sites et forums du French Deep Web (Forum FDW, FDW-market, French Dark Place, Zangdar, French Hidden Wiki, La Main noire, Trollodrome), ainsi que les boutiques d’au moins huit marchands de cannabis, de drogues dures, de fausses pièces d’identité, de faux billets...

Ce piratage d’envergure est l’œuvre d’un hacker francophone. Il souhaite rester anonyme et se connecte sous le pseudo passe-partout de Ben300, mais il veut que son exploit soit reconnu : il a envoyé au webmagazine de sécurité informatique français Zataz quelques échantillons de la masse de documents qu’il a subtilisée – « plusieurs gigaoctets en clair », c’est-à-dire non chiffrés.

En fait, il affirme avoir récupéré l’ensemble des données contenues dans les bases du French Deep Web, grâce à un procédé assez simple. « En plaçant un script de récupération de mots de passe, de manière à obtenir la quasi-totalité des mots de passe en clair de chaque utilisateur […] ». Puis il a réussi à exploiter une faille dans la base de données, en injectant des commandes capables de duper le système de protection. Selon lui, tout cela a été très facile : les administrateurs « se sentent en sécurité sous TOR, mais ce sont des amateurs qui ne maîtrisent pas la technologie ». Pour administrer leurs sites, ils utilisent « phpMyAdmin » sous Windows, un outil doté d’une interface graphique facile à manier, mais qui n’est pas réputé pour son niveau de sécurité.

Dans les documents transmis à Zataz puis au Monde, on découvre d’abord les messages personnels de centaines de clients, identifiés par des pseudos et des adresses e-mail : marchandages, bavardages, demandes de renseignement sur les produits (« par rapport à la Critical Kush par exemple, elle est vraiment beaucoup moins forte ? – Elle est un poil moins forte, oui. ») Pour se faire livrer à domicile, certains acheteurs n’hésitent pas à donner leur vrai nom, leur numéro de téléphone et leur adresse postale (« Bad news : ma femme a ouvert les paquets cet après midi, et moi je viens de rentrer de déplacement et j’ai oublié de la prévenir. ») Cette confiance s’avère mal placée : dans leur base, les administrateurs du FDW ont laissé traîner toutes ces coordonnées en clair. A noter que ces boutiques ont des clients dans toute la France. Les documents envoyés à Zataz montrent que les boutiques vendent aussi des armes et des numéros de carte de crédit valides.

Dénonciation à la justice... ou « négociation »

Pour les paiements, la Main noire, l’une des principales plates-formes francophones, a créé une plate-forme de transaction en BitCoins, la crypto-monnaie électronique qui circule largement sur le Net. Pour chaque opération de change, elle prélève une commission confortable de 15 %. Les boutiques du FDW acceptent aussi les paiements en euros sur des comptes PCS (Prepaid Cash Services) de Mastercard. Puis elles déposent les fonds dans des banques étrangères ayant pignon sur rue, via des moyens de paiement classiques (Visa, Mastercard, American Express, ainsi que des services chinois et japonais...).

Dans ses messages, le hacker affirme qu’il travaille pour la bonne cause : « Je propose officiellement mon aide à la justice. Avec toutes les informations que j’ai récupérées, les autorités pourraient réduire de manière considérable les fraudes et mettre hors service ces criminels. Je les traquerai sans relâche. » Cela dit, en parallèle, il a adressé à ses victimes un message d’une teneur assez différente : « Je vous recontacterai très rapidement, avec des preuves pour m’authentifier, afin de négocier. »

Aussitôt, sur différents forums spécialisés, les cinq administrateurs du FDW ont commencé à se disputer et à se rejeter la responsabilité du fiasco. L’un d’entre eux semble indiquer qu’il est déjà en train de négocier avec la police et qu’il s’apprête à « fermer toutes les vannes», mais les autres veulent croire qu’il s’agit d’un imposteur. Plusieurs sites ont fermé, d’autres exhortent leurs utilisateurs à changer de mot de passe et exigent des garanties supplémentaires pour les paiements. Les clients, victimes collatérales potentielles, se déchaînent contre ces amateurs incapables de les protéger, mais il est bien tard.