ZATAZ » Comment identifier les administrateurs de sites onion ?

Anonymes mais imparfaits, les sites .onion trahissent parfois leurs créateurs. Et quand le renseignement numérique s’en mêle, l’anonymat vole en éclats.

Dans les méandres du Dark Web, les sites .onion promettent l’anonymat. Pourtant, à travers une enquête OSINT rigoureuse, il est possible de lever le voile sur leurs administrateurs. Style rédactionnel, métadonnées, erreurs d’opération, traces techniques ou financières : autant de vecteurs d’identification. Cet article explore, sous forme de récit, les méthodes cyber et d’investigation open source permettant de relier une adresse .onion à une personne réelle. De l’analyse de contenu à la surveillance comportementale, nous plongeons au cœur des techniques avancées du renseignement numérique. Il s’agit ici des grandes lignes. Tous les secrets ne se disent pas !

Dans les ténèbres du web, une faille humaine

L’affaire commence un mardi soir du mois d’août. À la lueur d’un double écran, Clara, analyste OSINT au sein du Service Veille de ZATAZ, étudie un signal faible repéré sur un agrégateur du Dark Web. L’adresse .onion mène à une place de marché obscure, baptisée HydraNova [non fictif]. Rien de très différent des dizaines de clones apparus après la chute de plusieurs importants lieux malveillants. Mais un détail attire son attention : un lien vers un fichier PDF censé contenir la politique de confidentialité du site.

Ce fichier, anodin en apparence, va pourtant déclencher une cascade de découvertes. Clara sait que la moindre erreur humaine peut percer la bulle d’anonymat que Tor prétend offrir.

Elle lance un script pour extraire les métadonnées du fichier. Surprise : le champ « Auteur » contient un prénom, Valentine, et une version ancienne d’Adobe utilisée sur MacOS. Une piste ? Peut-être. Sûrement pas une preuve. Mais dans ce métier, une piste vaut de l’or.

Cartographier l’invisible : les vecteurs OSINT les plus efficaces

Signatures numériques involontaires ? L’adresse .onion ne révèle rien. Mais HydraNova a un favicon : une petite icône discrète, en haut de l’onglet du navigateur. Clara l’exporte, puis en calcule l’empreinte MD5. Grâce à Shodan, elle recherche cette empreinte dans les serveurs visibles du web. Résultat : une correspondance inattendue avec un blog WordPress laissé à l’abandon, hébergé sur une IP allemande.

Sur ce blog oublié, un article évoque une « nouvelle plateforme d’échange ». En fouillant les archives WHOIS du domaine, elle découvre que l’adresse électronique utilisée pour l’enregistrement est un protonmail chiffré… mais aussi, erreur classique, liée à un autre nom de domaine enregistré deux ans plus tôt : un site vitrine pour développeur freelance.

Une adresse professionnelle, un pseudonyme : “NovaXDev”. Ce pseudo se retrouve sur GitHub, Stack Overflow, un vieux forum russe d’administration système. À travers ces plateformes, Clara reconstitue le profil d’un développeur russo-néerlandais, actif dans les environnements Unix, et parfois négligent dans la séparation de ses identités.

Stylométrie et erreurs rédactionnelles

Mais Clara ne se contente pas de l’aspect technique. Elle passe à l’analyse linguistique. Elle alimente un algorithme maison de stylométrie avec des extraits des messages postés par “NovaXDev” sur les forums tech. Puis, elle compare le style avec celui des messages publiés sur HydraNova. Résultat : 83 % de similarité syntaxique. L’auteur utilise les mêmes structures grammaticales, les mêmes fautes de ponctuation. Une singularité ? Oui. Une coïncidence ? Peu probable.

Mieux encore : sur le chat de HydraNova, un message d’administrateur évoque « l’époque où il bossait chez XYZ ». Un détail apparemment anodin. Mais Clara le croise avec les anciennes expériences affichées sur LinkedIn par NovaXDev, identifié à présent comme Alexei S., un ex-ingénieur en cybersécurité passé chez XYZ entre 2016 et 2019.

Les chaînes de la blockchain

Mais HydraNova n’est pas qu’un forum. C’est un marché. Et là où l’argent circule, les traces se figent. Le Service Veille de ZATAZ mobilise une autre équipe compétente dans son domaine pour analyser les transactions en Bitcoin vers les portefeuilles publics liés au site. Les fonds transitent par des mélangeurs (mixers), mais certaines erreurs de configuration laissent filtrer des ID de transaction identifiables. Grâce à Chainalysis, elle suit le flux jusqu’à un exchange réglementé basé à Vilnius. Là, le KYC (Know Your Customer) a parlé. Le retrait a été fait vers une carte Revolut enregistrée… au nom d’Alexei S., le même identifié via les autres vecteurs. Boucle fermée. L’erreur humaine, encore une fois, a détruit l’illusion de l’invisibilité.

Une fois la corrélation établie, le reste est affaire de procédure. Un signalement est transmis aux autorités. Le profil d’Alexei S. est documenté dans un rapport de 78 pages, recoupant pseudonymes, historiques de messages, hachages de fichiers, transactions blockchain, données d’infrastructure et traces linguistiques. L’arrestation interviendra deux mois plus tard, à Rotterdam. Pas spectaculaire. Un homme en jogging, surpris devant son écran. Mais dans son disque dur, l’image complète de HydraNova, ses utilisateurs, ses vendeurs, ses scripts. L’anonymat était complet, en apparence. En pratique, une succession de fautes.

Pourquoi ça fonctionne (toujours)

L’enquête de Clara n’est pas une exception. Elle suit une logique qui se vérifie sur presque tous les marchés .onion fermés depuis 2015. Car un site .onion, aussi bien conçu soit-il, repose toujours sur des composants humains : erreurs d’op‑sec, routines comportementales, réutilisation de pseudonymes, hachages récurrents, infrastructures techniques partagées, styles rédactionnels singuliers, interactions sociales mal maîtrisées. Derrière chaque identifiant, chaque script, chaque logo, il y a une personne. Et cette personne, souvent sans le vouloir, laisse une empreinte.

La surveillance comportementale, combinée à l’analyse technique, fait tomber les murs du Dark Web.