Measuring onion website discovery and Tor users' interests with honeypots

Cette étude utilise des leurres Tor déployés en 2025 pour démontrer que la découverte des sites .onion dépend presque exclusivement du moteur de recherche Ahmia et que les utilisateurs montrent un intérêt comportemental nettement plus élevé pour les contenus liés à l'exploitation sexuelle d'enfants que pour d'autres activités illégales, avec une prédominance des interactions en anglais.

L'essentiel

Voici une explication simple de cette recherche, imagée comme une enquête policière dans le monde sombre d'Internet.

🕵️‍♂️ L'Enquête : Qui cherche quoi dans le "Dark Web" ?

Imaginez que le Tor (le réseau anonyme) est une immense ville souterraine, le "Dark Web". Dans cette ville, il y a des milliers de boutiques secrètes (les sites .onion). Le problème, c'est que personne ne sait vraiment ce que les gens vont vraiment acheter ou visiter, car ils portent tous un masque et changent de costume pour rester invisibles.

Les chercheurs de l'Université de Tampere (en Finlande) ont eu une idée géniale : au lieu de simplement compter les vitrines, ils ont construit des pièges à souris (des "honeypots") pour voir ce qui attire vraiment les souris humaines.

🎣 Le Piège : Des leurres invisibles

Voici comment ils ont opéré, étape par étape :

1. La construction des leurres : Ils ont créé 32 fausses boutiques en ligne. Chaque boutique avait l'air très sérieuse et effrayante, mais en réalité, c'était du vent. Elles étaient sur des thèmes comme :

   • La violence, les armes illégales, les drogues, les objets volés, etc.
   • Et le sujet le plus sombre : la pédopornographie (CSAM).
   • Note importante : Ces sites ne contenaient aucun contenu illégal réel. C'était juste de la fausse publicité pour tester la curiosité des gens.

2. Le filtre anti-robots : Pour s'assurer que seuls des humains visitent ces sites (et pas des robots informatiques), ils ont mis un petit casse-tête (un CAPTCHA) devant la porte. Si vous ne pouvez pas résoudre le puzzle, vous ne rentrez pas.

3. La distribution des leurres : Ils ont laissé des cartes au trésor (des liens) à trois endroits différents pour voir où les gens allaient :

   • Ahmia : Le "Google" du Dark Web (un moteur de recherche).
   • Pastebin & Stronghold : Des sortes de "tableaux d'affichage" où l'on colle des liens anonymes.

📊 Les Résultats : Ce que les souris ont révélé

Une fois les pièges tendus, les chercheurs ont regardé les logs (les registres) pour voir ce qui s'est passé. Voici les grandes découvertes, expliquées simplement :

1. Où les gens trouvent-ils les sites ? (Le chemin)

• L'énorme victoire d'Ahmia : Presque tous les humains sont arrivés via le moteur de recherche Ahmia. C'est comme si 90 % des gens entraient dans la ville souterraine par la grande porte principale.
• Les tableaux d'affichage sont vides : Les liens postés sur Pastebin et Stronghold ont attiré des milliers de visites, mais... ce n'étaient que des robots ! Dès qu'il fallait résoudre le petit puzzle (CAPTCHA), les robots s'arrêtaient. Seuls les humains ont réussi à entrer.
• Le test final : Quand les chercheurs ont retiré les liens d'Ahmia, les visites humaines ont chuté à zéro. C'est la preuve que c'est bien le moteur de recherche qui guide les gens, pas les liens collés au hasard.

2. Qu'est-ce qui attire le plus les gens ? (Le contenu)

C'est ici que ça devient surprenant. Les chercheurs s'attendaient à voir beaucoup de trafic pour les drogues ou les armes, car ce sont des sujets très médiatisés.

• Le grand gagnant inattendu : Le site sur la pédopornographie (CSAM) a attiré beaucoup plus de monde que n'importe quel autre. C'est le sujet qui a généré le plus d'inscriptions et de tentatives de connexion.
• Le deuxième : La violence.
• Les perdants : Étonnamment, les sites sur les drogues et la contrefaçon ont été les moins visités.
  • Pourquoi ? Les chercheurs pensent que les vrais acheteurs de drogues connaissent déjà leurs marchés secrets et n'ont pas besoin de chercher sur un moteur de recherche public. En revanche, les gens qui cherchent du contenu choquant (comme la CSAM) sont peut-être plus novices et utilisent le moteur de recherche pour tomber dessus par hasard.

3. Quelle langue parlent-ils ? (Le langage)

Ils ont mis les mêmes fausses boutiques en anglais, allemand, finnois et russe.

• L'anglais règne en maître : La grande majorité des gens ont cliqué sur les versions en anglais.
• Le russe est en bas : Malgré le grand nombre de locuteurs russes dans le monde, c'était la langue la moins populaire sur leurs sites.
• Le finnois est sur-représenté : Comme le moteur de recherche (Ahmia) est finlandais, il y a eu plus de visiteurs finnois que prévu.

💡 La Conclusion de l'Enquête

Cette étude nous apprend une chose cruciale : ce que les gens cherchent sur un moteur de recherche public n'est pas ce qu'ils font dans l'ombre.

• Les robots visitent tout le monde, mais ne s'arrêtent jamais.
• Les humains, eux, sont guidés par le moteur de recherche.
• Et le plus choquant : sur un moteur de recherche "filtré" (qui essaie de bloquer les contenus illégaux), ce sont les contenus les plus sombres (CSAM) qui attirent le plus de curiosité humaine, bien plus que le commerce de drogue.

C'est comme si, dans une ville, on découvrait que les gens qui entrent par la porte principale ne vont pas au marché aux fruits (drogues), mais s'arrêtent tous devant une vitrine interdite (CSAM), simplement parce qu'ils l'ont trouvée en cherchant quelque chose d'autre.

En résumé : Cette recherche utilise des leurres numériques pour comprendre les désirs réels des utilisateurs du Dark Web, révélant que le moteur de recherche Ahmia est la porte d'entrée principale et que la curiosité pour les contenus les plus sombres y est disproportionnée.

Résumé technique

Voici un résumé technique détaillé de l'article de recherche intitulé « Measuring onion website discovery and Tor users' interests with honeypots », rédigé en français.

1. Problématique et Contexte

La recherche sur le réseau Tor (le « dark web ») s'est historiquement concentrée sur le crawl (l'exploration automatique) et l'analyse du contenu des sites « onion » pour cartographier les marchés illicites. Cependant, ces méthodes ne mesurent pas directement les intérêts réels des utilisateurs humains. Elles ne distinguent pas toujours le trafic humain du trafic automatisé (bots, crawlers) et ne capturent pas la volonté active d'un utilisateur d'interagir avec un contenu spécifique (par exemple, en tentant de se connecter).

L'objectif de cette étude est de combler ce vide en mesurant l'engagement réel des utilisateurs humains sur des sites onion, en se concentrant sur deux questions principales :

1. Comment les utilisateurs découvrent-ils les sites onion (moteurs de recherche vs services de « paste ») ?
2. Quels types de contenus illicites suscitent le plus d'intérêt actif (tentatives de connexion/inscription) ?

2. Méthodologie

Les auteurs ont déployé une approche basée sur des sites leurres (honeypots) entre mars et avril 2025.

• Conception des leurres : 32 sites onion uniques ont été créés, couvrant 8 catégories de contenu (CSAM, violence, malware, biens volés, armes illégales, drogues, contrefaçon, et un forum « flou » comme base de comparaison) et 4 langues (Anglais, Allemand, Finnois, Russe).
• Architecture technique : Chaque site comportait une page d'accueil neutre protégée par un CAPTCHA. Une fois le CAPTCHA résolu, l'utilisateur accédait à une page décrivant l'activité illégale avec des champs de connexion/inscription factices. Ces champs ne fonctionnaient pas réellement mais enregistraient les tentatives dans des journaux (logs).
• Canaux de découverte : Les liens vers ces leurres ont été distribués via trois canaux distincts pour isoler les sources de trafic :
  1. Ahmia.fi : Le moteur de recherche Tor le plus populaire (les liens apparaissaient aléatoirement dans les résultats de recherche).
  2. Stronghold paste : Un service de « paste » sur Tor.
  3. Pastebin.com : Un service de partage de texte public (accessible via Tor).
• Filtrage des bots : L'utilisation du CAPTCHA permettait de distinguer les humains (capables de résoudre le puzzle) des bots automatisés (qui suivent les liens mais échouent généralement au CAPTCHA sur de nouveaux sites).
• Période d'étude : Du 24 mars au 17 avril 2025. Les liens ont été retirés d'Ahmia le 10 avril pour observer la persistance du trafic.

3. Contributions Clés

Cette étude apporte plusieurs contributions novatrices à la littérature sur le dark web :

• Mesure quantitative de l'engagement humain : Contrairement aux études précédentes basées sur le contenu, cette recherche mesure l'intention active (tentatives de création de compte) plutôt que la simple visite.
• Comparaison des canaux de découverte : Elle fournit des données empiriques comparant l'efficacité des moteurs de recherche (Ahmia) par rapport aux services de partage de liens (Paste) pour l'accès humain.
• Hiérarchisation des intérêts par catégorie : Elle révèle une hiérarchie surprenante des intérêts des utilisateurs, contredisant certaines hypothèses courantes sur la prédominance des marchés de drogues.
• Analyse linguistique : Elle identifie les préférences linguistiques des utilisateurs Tor au-delà de la simple disponibilité du contenu.

4. Résultats Principaux

A. Canaux de Découverte (RQ1)

• Dominance d'Ahmia : Sur un total de 219 173 visites, 87,65 % provenaient d'Ahmia. Les services « paste » (Pastebin et Stronghold) représentaient moins de 13 % du trafic.
• Nature du trafic : Après le retrait des liens d'Ahmia, les visites et les résolutions de CAPTCHA ont chuté à presque zéro.
  • Ahmia : A généré 17 054 résolutions de CAPTCHA et 6 648 tentatives de connexion/inscription.
  • Paste sites : Bien qu'ils aient généré du trafic, aucune tentative de connexion n'a été enregistrée et seulement 2 CAPTCHAs ont été résolus. Cela indique que le trafic provenant des sites « paste » était majoritairement composé de bots et de crawlers, et non d'utilisateurs humains.

B. Intérêts par Catégorie (RQ2)

L'analyse des tentatives de connexion (après résolution du CAPTCHA) a révélé des préférences surprenantes :

• CSAM (Matériel à caractère sexuel impliquant des mineurs) : C'est la catégorie la plus engageante, représentant 37,67 % de toutes les tentatives de connexion. Le taux d'engagement (tentatives par CAPTCHA résolu) était de 115,55 %, suggérant que les utilisateurs résolvaient le CAPTCHA puis tentaient de se connecter plusieurs fois.
• Violence : Deuxième catégorie la plus populaire (20,47 %).
• Drogues illégales : Contre toute attente (malgré la réputation des marchés de drogues sur Tor), cette catégorie a reçu l'un des taux d'engagement les plus faibles (3,43 %). Les auteurs émettent l'hypothèse que les acheteurs sérieux connaissent déjà les marchés spécifiques et ne les recherchent pas via un moteur de recherche généraliste filtré.
• Autres catégories : Malware, biens volés et armes à feu ont montré un intérêt modéré, tandis que la contrefaçon était la moins populaire.

C. Préférences Linguistiques (RQ3)

• Anglais dominant : L'anglais a généré 43,49 % de toutes les tentatives de connexion, avec un taux de conversion (CAPTCHA résolu -> tentative de connexion) de 67,40 %.
• Autres langues : L'allemand (22,47 %) et le finnois (18,07 %) suivent, tandis que le russe est le moins populaire (15,97 %), malgré une large base de locuteurs mondiaux.
• Biais potentiel : La sur-représentation du finnois est probablement due au fait qu'Ahmia est un moteur de recherche d'origine finlandaise, attirant davantage d'utilisateurs locaux.

5. Signification et Limites

Signification :
Cette étude démontre que les moteurs de recherche publics et filtrés (comme Ahmia) sont le canal principal d'accès pour les utilisateurs humains novices ou occasionnels, tandis que les services de partage de liens sont dominés par l'automatisation. Elle révèle également que, dans un contexte de découverte par moteur de recherche, le contenu abject (CSAM, violence) suscite un intérêt humain disproportionné par rapport aux activités économiques traditionnelles du dark web (drogues, contrefaçon).

Limites :

• Biais d'échantillonnage : Les résultats ne reflètent que les utilisateurs d'Ahmia, qui est un moteur de recherche filtrant le CSAM. Les utilisateurs recherchant activement du contenu illégal via des canaux privés ou des forums spécialisés ne sont pas représentés.
• Réalisme des leurres : Les sites avaient un design minimaliste et identique, ce qui pourrait ne pas refléter l'engagement réel sur des forums illicites authentiques et complexes.
• Couverture linguistique : L'absence de français et d'italien, langues courantes sur Tor, limite la généralisation des résultats linguistiques.

Conclusion :
Les auteurs concluent que les modèles d'engagement observés sont spécifiques au canal de découverte (moteur de recherche public, généraliste et filtré) et ne représentent pas nécessairement l'écosystème complet du dark web, où les dynamiques pourraient être très différentes pour les utilisateurs expérimentés.