🧅 Comment crĂ©er un site sur le DARK WEB (.ONION)

déc. 20, 2024·
Louis QUES
Louis QUES
· 6 min. de lecture

Dans ce tutoriel, nous allons créer un site web (.ONION) sur le réseau TOR.
Je pars du principe que vous connaissez déjà le fonctionnement du réseau TOR et cherchez uniquement à créer une page web sur le darkweb de façon rapide et facile.
Aussi, je pars du principe que vous avez dĂ©jĂ  une instance Linux DEBIAN sur le cloud prĂȘte Ă  accueillir votre nouveau site en .onion.
Concernant l’instance, j’ai utilisĂ© les services du fournisseur cloud CONTABO.
J’ai choisi la plus petite des offres VPS : le CLOUD VPS 1 Ă  seulement 4.50€/mois avec 4 vCPU Cores - 6 GB RAM et 400GB SSD.
C’est largement suffisant pour rĂ©aliser notre site.

1) Configuration du Serveur

On va commencer par metre a jour les dépots et installer le parefeu UFW sur Debian
sudo apt update && sudo apt upgrade -y
sudo apt install ufw
VĂ©rifiez si UFW est actif:
sudo ufw status
Par dĂ©faut, il sera probablement inactif aprĂšs l’installation.
Avant d’activer le pare-feu, assurez-vous de ne pas vous bloquer vous-mĂȘme, surtout si vous vous connectez Ă  distance via SSH. Autorisez SSH avec:
sudo ufw allow ssh
Une fois que votre configuration est prĂȘte, activez UFW avec:
sudo ufw enable
Puis on finit par ouvrir le port 80 (http) aussi afin d’accepter le trafic web entrant sur ce port
sudo ufw allow http
Avec le rĂ©seau TOR, il n’y a pas besoin d’utiliser un certificat SSL pour obtenir des connexions web (https) sĂ©curisĂ©es. En effet, les connexions sont dĂ©jĂ  cryptĂ©es dans le rĂ©seau TOR. De plus, si l’utilisateur consulte votre site avec un TorBrowser, il ne sera pas notifiĂ© de l’absence de certificat SSL. Par contre, si l’utilisateur consulte votre site .onion depuis un navigateur normal connectĂ© Ă  TOR, il risque d’ĂȘtre alertĂ© sur l’absence de certificat SSL malgrĂ© le cryptage dĂ©jĂ  prĂ©sent sur le rĂ©seau TOR.

2) Installation du service TOR sur DEBIAN

Vous aurez besoin de quelques paquets de base pour gérer les dépÎts:
sudo apt install -y apt-transport-https curl gpg

Ajoutez la clĂ© de signature du projet Tor. Cette clĂ© permet de vĂ©rifier l’authenticitĂ© du paquet logiciel Tor:
curl https://deb.torproject.org/torproject.org/gpgkey | sudo gpg --dearmor -o /usr/share/keyrings/tor-archive-keyring.gpg

Ajoutez le dépÎt du projet Tor :
echo "deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] https://deb.torproject.org/torproject.org `lsb_release -cs` main" | sudo tee /etc/apt/sources.list.d/tor.list

Mettez à jour la liste des paquets pour inclure le nouveau dépÎt Tor :
sudo apt update

Maintenant, vous pouvez installer le paquet Tor avec ses utilitaires:
sudo apt install tor deb.torproject.org-keyring

DĂ©marrez le service Tor et assurez-vous qu’il s’exĂ©cute au dĂ©marrage:
sudo systemctl start tor
sudo systemctl enable tor

VĂ©rifiez que le service Tor est en cours d’exĂ©cution avec:
sudo systemctl status tor

service tor status

3) Configuration du fichier torrc

Mon objectif sur ce tutoriel est uniquement de créer un site web en .ONION. Je ne veux absolument pas devenir un relais tor et encore moins devenir un exit relay ! Je ne souhaite pas avoir du trafic tor qui passe par mon serveur.

(Pour plus d’informations sur le fonctionnement de tor et les relais, voici la ressource officielle Types de relais sur le rĂ©seau Tor)

Donc, nous allons configurer le fichier torrc pour uniquement servir des pages web sur notre port 80 (http).

sudo nano /etc/tor/torrc

SocksPort 0
ORPort 0
ExitPolicy reject *:*
ExtORPort 0
HiddenServiceDir /var/lib/tor/website1/
HiddenServicePort 80 127.0.0.1:80

Log notice file /var/log/tor/log

Enregistrez et quittez nano

Les 4 premiĂšres lignes empĂȘchent tor d’utiliser votre serveur comme un relais.
HiddenServiceDir indique le dossier contenant les clĂ©s cryptographiques et autres fichiers relatifs Ă  tor de votre “service cachĂ©” (dans notre exemple un site web)
HiddenServicePort indique le mappage interne pour servir vos services cachés

RedĂ©marrez et activez le service tor : sudo systemctl restart tor C’est au moment du redĂ©marrage du service tor qu’un rĂ©pertoire website1 va se crĂ©er au niveau de /var/lib/tor/ Pour consulter le contenu du rĂ©pertoire, vous devez passer en mode root avec la commande su -

passer en mode user root
Puis vous pouvez consulter votre adresse en .onion qui vient d’ĂȘtre gĂ©nĂ©rĂ©e pour le service cachĂ© website1
consulter adresse.onion

Comprendre le mappage des ports dans les services cachés

  1. Ports des services cachés :
    Dans le fichier de configuration torrc, chaque ligne HiddenServicePort spécifie un mappage entre un port virtuel (vu par les utilisateurs Tor) et un port local sur votre serveur.
  2. RĂŽle de Tor : Quand un utilisateur accĂšde Ă  votre service .onion via un navigateur Tor, il fait une requĂȘte au rĂ©seau Tor, qui route le trafic vers votre serveur en utilisant le port virtuel. Tor lit ensuite votre configuration torrc et redirige cette requĂȘte vers le port local spĂ©cifiĂ© sur votre machine.
  3. Comment le trafic est dirigĂ© : La ligne suivante : HiddenServicePort 80 127.0.0.1:80 mappe le port 80 du rĂ©seau Tor vers le port 80 de votre machine. Quand une requĂȘte est reçue sur le port 80 de l’adresse .onion associĂ©e Ă  ce service cachĂ©, Tor la dirige vers le port 80 sur localhost.

4) Insatallation du serveur web NGINX

L’Ă©tape finale consiste Ă  installer le serveur web.
sudo apt install nginx

A cette Ă©tape, j’ai toiujurs l’habitude de crĂ©er une sauvegarde du fichier de configuration en le renommant dafault.bak default dans le rĂ©pertoire /etc/nginx/sites-available.

backup default

On peut laisser le fichier tel quel car il pointe directement sur le port 80.
Puis on démarre et active le service nginx. Lors de cette activation un lien symbolique va se créer entre le de répertoire sites-available et sites-enabled ce qui va activer votre site.

Par default le répertore pour stocker les fichiers de votre nouveau site est /var/www/html

default config

Vous pouvez désormais consulter mon nouveau site sur ce lien en .onion : ryfxklm6pduhzok3hcqfk3rvazok2m4hodldevrxtknaucv23uf4ryid.onion/

Pour y acceder vous devez vous connecter d’abord Ă  TOR soit par le navigateur tor officiel soit simplement par un navigateur web come BRAVE qui inclut des sessions tor.

5) Monitoring du service TOR

Afin de vérifier le bon fonctionnement et la bande passante de votre serveur allouée au réseau TOR vous pouvez installer NYX, un outil de monitorig du réseau tor sur votre serveur:
sudo apt install nyx

puis sudo nyx

Cet utilitaire nous permet aussi de nous assurer et confirmer que nous ne transitons aucun trafic tor autre que servir nos propres pages web. utilitaire nyx il est composé de 5 pages au total. Vous appuyez sur la flÚche droite/gauche de votre clavier pour faire défiler les différentes pages de surveillance.

Conclusion

Nous venons de crĂ©er notre site (1 page) sur le darkweb de façon simple et sĂ©curisĂ©e. Vous pouvez ajouter d’autres services en modifiant le fichier torrc et ajouter de nouvelles paires de HiddenServiceDir/HiddenServicePort comme ceci :

.
.
.
HiddenServiceDir /var/lib/tor/hidden_service1/
HiddenServicePort 80 127.0.0.1:8080

HiddenServiceDir /var/lib/tor/hidden_service2/
HiddenServicePort 80 127.0.0.1:8081

HiddenServiceDir /var/lib/tor/hidden_service3/
HiddenServicePort 80 127.0.0.1:8082

et en ajoutant de nouveaux fichiers de configuration dans /etc/nginx/sites-available/ (default2, default3,…) en prenant soin de changer le port du fichier.

Si vous avez des questions ou souhaitez plus de prĂ©cisions, n’hĂ©sitez pas Ă  me contacter !

IT
Louis QUES
Auteurs
Louis QUES
Administrateur SystĂšmes et RĂ©seaux
Administrateur SystÚmes et Réseaux Cloud passionné par la sécurité informatique. Contactez-moi pour gérer et sécuriser vos infrastructures dans le Cloud.

Sur le mĂȘme sujet