Bug Bounty: il serait temps que la France s’y mette

Le 2 janvier 2015, le site TF1.fr a été victime d’une attaque informatique. Selon Zataz, des hackers auraient réussi à pénétrer dans le système informatique de la célèbre chaîne de télévision via une faille présente sur la partie “abonnement presse” du site; des données bancaires des clients auraient même été dérobées.

Cette affaire quoique d’une banalité malheureusement à toute épreuve m’interpelle et m’amène à quelques réflexions. D’abord, je me dis qu’encore une fois, il est très difficile de sécuriser une architecture Internet et que malheureusement, il n’existe pas beaucoup de systèmes sûrs et sans faille. Après coup, on a toujours tendance à dire “onauraitdu, yaka, fondraitkon, etc.” et, bien entendu on trouvera toujours un responsable, de préférence un malheureux subalterne qui n’est qu’une partie infime de l’échelle de responsabilités.

Mais dans un deuxième temps, j’essaye d’aller plus loin en m’appuyant sur le recul que j’ai pu prendre en vingt années passées en tant que professionnel de l’informatique. Je lis beaucoup les blogs étrangers principalement américains et je suis toujours autant fasciné par les différences de comportement qui peuvent exister entre mes confrères concitoyens et le reste du monde. Bon, je ne vous parlerai pas encore une fois de l’argent et du problème de conscience qui se pose à certains lorsqu’ils réalisent que malheureusement, l’argent gratuit des autres ne suffit pas et qu’en conséquence, il faudra immanquablement mettre un bout d’Adsense sur notre beau site, histoire de payer les quelques factures qui s’accumulent. Je sais que la Ré-éducation Nationale nous dit tous les jours que c’est mal mais comme l’a très bien dit James Carville, “it’s the economy stupid !

La différence culturelle est essentiellement pragmatique: je sais que si je développe un gros site web avec beaucoup d’interactions avec mes clients, indubitablement, je ne suis pas à l’abri de grosses problématiques de sécurité et bien entendu de bugs, à base d’injections, de buffer overflow, etc. Alors, en bon anglo-saxon (eux, pas moi, je suis Chti expatrié à Lyon), je m’efforce d’être pragmatique et de préparer le terrain: j’offre une récompense à toute personne qui me signalera un problème de sécurité sur mon site.  En anglais, on appelle cela un “Bug Bounty“. Voici par exemple les programmes pour des sites connus:

Au vue de cette liste, le moins que l’on puisse dire, c’est que l’on n’y trouve pas beaucoup de sites Francais ! Par exemple, j’ai cherché des programmes pour des poids lourds du Web Français tels que Orange, Free ou encore Leboncoin, je n’ai jamais pu y déceler la moindre trace de ce genre d’initiative. Ces sites sont pourtant directement exposés à de sérieuses attaques et au vue des interactions qui existent avec leurs clients, ils auraient tout intérêt à mettre en place un programme de Bug Bounty. La seule initiative qui va dans ce sens est celle du protocole d’alerte proposé par Zataz, mais l’idée diffère un peu.

Si maintenant, j’essaye de comprendre un peu le pourquoi du comment, voici quelques idées:

Tout d’abord, j’ai toujours l’impression qu’en France, les choses sont très difficiles en matière de facturation, surtout dans les grosses sociétés qui n’ont pas prévu la chose. Où Diable allons-nous pouvoir imputer ce genre de dépense ? Et puis, rémunérer une société qui n’est même pas référencée par les Achats, ou pire un particulier pour “service rendu”, ce n’est pas quelque chose que l’on rencontre souvent et que l’on a l’habitude de gérer.

Dans un second temps, on pourrait aussi mettre en avant l’éco-système Français qui n’est pas très ouvert sur les initiatives de ce genre. Il y a dix ans déjà, l’affaire Guillermito est une preuve que la recherche individuelle n’est pas quelque chose qui a les faveurs des professionnels, qui y voient clairement une menace pour leurs intérêts. Enfin, moi, j’aurais plutôt dit leur image, un véritable désastre dans cette histoire ! Pour rappel, Guillermito avait apporté des preuves que l’anti-virus Viguard comportait un certain nombre de failles qu’il présentait en ligne. Par la suite, il a été condamné pour “contre-façon” et même accusé de “terrorisme” par la société qui l’a traîné devant les tribunaux. Dans un même registre, on pourrait aussi évoquer les affaires Tati-Kitetoa et Humpich. Même votre propre serviteur a déjà eu à “s’expliquer” à cause de son testeur de serveur SMTP.

Pour terminer, quelques conseils, dans un premier temps si vous êtes impliqué dans la gestion d’un gros site:

Si votre site fonctionne au moyen d’un CMS connu comme WordPress, Drupal, Joomla ou autre, vous n’êtes pas directement concernés. Ce genre de programme existe déjà et en général, ils fonctionnent très bien. Si par contre, votre site est un développement maison alors faites-le. Vous devez écrire une procédure avec éventuellement un workflow. Le mieux est sans doute de demander à votre RSSI, si vous en avez un, de s’en occuper. Prévoyez une page web particulière avec vos consignes, ce que vous acceptez (XSS, exécution à distance, buffer-overflow, etc.), ce que vous n’acceptez pas (DDOS). Mettez-y une adresse mail particulière ou mieux un formulaire adapté. Détaillez aussi les rétributions que vous êtes prêts à offrir.

Vous ne souhaitez pas rétribuer ceux qui vont vous signaler des gros problèmes sur votre site ? C’est là une grave erreur. Dans un premier temps, pensez au coût que peut représenter une attaque informatique: restauration des données en cas de destruction, mobilisation des équipes techniques pour colmater au plus vite les failles, audit éventuel, perte de chiffre d’affaire, etc. Je ne peux que vous engager à faire tout de suite un devis chez votre prestataire de services informatiques afin de lui demander ce que coûte un consultant en sécurité informatique par jour. A côté de cela, vous allez pouvoir bénéficier de l’expertise de certains pontes et sans même à vous en être soucié. Et je suis même convaincu que vous y gagnerez au change. Le jeu n’en vaut-il pas la peine ? Et n’oubliez pas non plus le déficit d’image que peut provoquer ce genre de sinistre. Vos futurs clients seront-ils toujours rassurés le jour où ils apprendront que vous vous êtes fait malencontreusement dérober toutes leurs données personnelles ? C’est le désastre assuré. Autre chose: ne soyez pas trop radin tout de même avec vos collaborateurs; évitez de leur donner des tshirts en guise de remerciement.

Enfin, si vous êtes vous-même un chasseur de bug:

Ne publiez jamais le résultat de vos travaux, ou alors supprimer toute référence envers le site sur lequel vous avez travaillé. Faites attention aux captures d’écran qui laissent beaucoup de traces. Si vous utilisez un outil développé par vous-même, faites en sorte qu’il soit facilement identifiable. Évitez par exemple que dans les logs du site Web que vous testez n’apparaisse ce genre d’information:

192.168.2.2 - - [28/Dec/2014:03:39:24 +0100] "GET /TestXSS0x11110x2222 HTTP/1.1" 200 2616 "-" "Mozilla/5.0 (compatible; R0x0rSam3m3an by HaxDevil-XSSBot/2.1; +http://www.thb3st.ua)"

A la place, modifier votre User-Agent comme ceci:

192.168.2.2 - - [28/Dec/2014:03:39:24 +0100] "GET /TestXSS0x11110x2222 HTTP/1.1" 200 2616 "-" "Mozilla/5.0 (compatible; Test Intrusion Detection/2.1; +http://www.pagasa.net/testintrusion.html)"

De sorte que si vos activités “suspectes” soient repérées par un IDS ou par un administrateur web, elles soient clairement identifiées. N’oubliez pas de bien documenter la page Web qui fait référence à ces mêmes activités.

Ne soyez pas trop “geek” lorsque vous entrez en contact avec la société. Évitez ce genre de prise de contact:

“Salu, moi sest Kevin le rox et j’ai chopé une XSS sur vote page web trucmuch.php; jvous donne tou le détaye contre 1 Bitcoin que tu envoi à l’adresse 64Trak2tKkE8vNoW1am5re8K6wUSQxqo1q”

Rappelez-vous qu’en face, vous aurez généralement un ou plusieurs décideurs informatiques avec qui vous allez avoir à discuter, voir négocier.

La Corée du Nord n’est sans doute pas une cyber-puissance

Depuis plusieurs semaines, la presse fait écho de cyberattaques en provenance de Corée du Nord et se borne à relayer toute une série d’écrits et de spéculations sur les possibilités de frappes techniques de ce qui reste l’une des dernières dictatures communistes au monde.

Je ne lis pas trop la presse mainstream Française, je la trouve beaucoup trop orientée et aussi, elle se borne bien souvent à ne faire que des copier/coller de l’AFP en tentant de développer un peu, souvent assez maladroitement, je trouve.  Mais lorsqu’elle parle d’un sujet qui m’intéresse et qui quelque part me concerne professionnellement tout de même alors j’essaye de décortiquer tout ce fatras, histoire de me faire une idée.

Dans cette affaire, beaucoup d’aspects techniques ont déjà été évoqués sur les “preuves”, inutile donc que je m’y attarde, je laisse cela à d’autres qui ont déjà planché sur le sujet. Mais dans ce genre de situation, il est toujours difficile d’établir précisément les responsabilités: la provenance d’une adresse IP n’est pas en soit un gage d’identité, l’utilisation de tel ou tel autre malware non plus, la manière d’écrire un defacement d’une page non plus, etc. Je vous propose d’autre d’explorer une autre facette de cette histoire.

Vous avez dit 6000 hackers nord-coréens ?

Quand on me dit que la Corée du Nord compte environ 6000 hackers informatiques, je suis quand même en droit de me poser quelques questions. D’abord, je me dit que tout de même, c’est fort précis. Si je vous pose la même question sur le nombre de hackers sévissant en France ou ailleurs, je vous met au défi de me sortir un chiffre aussi précis, les hackers n’ayant pas trop l’habitude de se faire recenser.

Ce qui nous porte à croire qu’il s’agit de hacker “déclarés” et qui travaillent pour le gouvernement, en bref, des fonctionnaires. Mais là encore, j’ai quelques réserves: je vois mal 6000 hackers travaillant au jour le jour sur les possibilités de pirater le reste du monde. Dans ce chiffre, on doit certainement incorporer des programmeurs, des ingénieurs systèmes, des techniciens et toute la panoplie des informaticiens qui gravitent autour.

Et puis, une armée de 6000 personnes comme cela, ça finit par faire du bruit, ça communique, ça fait des actions d’éclat, ça frime sur les réseaux sociaux et sur les forums surtout quand c’est jeune, ça cause beaucoup si ça a fait un hack-de-la-mort-qui-tue, ça peut même faire défection à l’ouest. Et puis aussi ça finit tout ou tard par se faire piquer ou se faire repérer d’une manière ou d’une autre.

Or, à ce jour, je n’ai pas eu beaucoup l’impression que ces hackers jouissaient d’une quelconque notoriété. A côté de cela, on entend beaucoup plus parler des exploits des hackers russes, ukrainiens et surtout chinois.

Un écosystème informatique beaucoup trop replié sur lui-même.

Et je vais même encore plus loin dans mon analyse: 6000 hackers sur un réseau qui comporte un petit millier d’adresses IP publiques, c’est l’embouteillage assuré. Et lorsque je parle d’embouteillage, je n’évoque pas seulement un problème d’infrastructure ou de bande passante, mais aussi l’isolement et le repli. Bien entendu, on arrivera toujours à caser tout ce beau monde derrière des proxy ou leur Kwangmyong, mais cela ne suffit pas.

Pour devenir un bon hacker, il faut obligatoirement bercer dans la mondialisation. On ne peut se contenter de rester dans une administration la journée à passer son temps à faire des tableaux Excel ou à s’essayer à lancer quelques scripts-kiddy.

Il faut fréquenter des forums spécialisés, échanger avec des experts, aller faire des études ou des stages à l’étranger, de préférence dans des écoles reconnues, se cultiver, apprendre des autres des techniques, passer de longues soirées à lire, à réfléchir chez soi le soir. D’ailleurs, le taux de pénétration de l’internet domestique nord-coréen ne représente pas véritablement un bon terreau pour faire des extras le soir, en bref s’auto-former, étape indispensable pour persévérer et aussi s’élever. En définitif, devenir un bon hacker demande un travail de longue haleine et qui passe obligatoirement par une grande ouverture sur les autres.

Or, le système nord-coréen semble fonctionner à l’opposé de tout cela. Vous voyez souvent des étudiants nord-coréens, des études, des thèses ou même des blogs sur la sécurité informatique en provenance de Corée du Nord ?

Mais on pourrait encore me dire que ces gens font tout cela depuis l’étranger; là encore, c’est très discutable: les espions laissent des traces et finissent par se faire repérer. L’actualité ne va pas dans ce sens. La presse a aussi tendance à beaucoup extrapoler sur la “complaisance” de l’allié historique, la Chine, qui laisserait ce genre d’activité proliférer sur son territoire. Cela semble quand même difficilement acceptable pour un pays comme la Chine, qui n’a absolument rien à y gagner, et qui n’hésite pas à fusiller les espions.

Désinformation et sources douteuses.

En fouillant dans les tréfonds du web, on finit par trouver l’origine du nombre de hackers nord-coréens: l’agence de presse sud-coréen Yonhap qui affirme que la Corée du Nord a doublé les effectifs de ses hackers en deux ans, ceux-ci passant de 3000 à quasiment 6000. On note que l’information provient d’une source militaire non identifiée. (“Military sources said Sunday”).

En cherchant beaucoup sur le Web, à aucun moment il n’a été possible d’identifier clairement cette source. On est donc en droit de se poser la question sur l’authenticité et la véracité d’une telle information.

Par la suite, on observe d’autres histoires similaires, aux sources douteuses et on finit par comprendre que le gouvernement sud-coréen lui-même semble créer de toute pièce des informations fausses, le tout dans des buts politiques ou de désinformation.

On apprend ainsi que l’ex petite amie du président Kim Jong-un, la chanteuse Hyon Song-wol aurait été passée par les armes, suite à un trafic de vidéos pornographiques. Le journal sud-coréen Chosun Ilbo qui est à l’origine de l’information parle de “sources chinoises” qui n’ont jamais pu être identifiées. Bizarrement, Hyon Song-wol ressuscite miraculeusement quelques mois plus tard.

Quelques mois auparavant, on apprend qu’un ministre nord-coréen aurait été exécuté “au mortier”. Là encore il y est question d’une très vague source, le terme exact est “intelligence data“, un “renseignement” donné à Yoon Sang-hyun, un membre du ministre des affaires étrangères sud-coréen qui l’a transmis au quotidien anglais, The Telegraph. Bien entendu, ce “renseignement” n’a jamais pu être clairement identifié.

Et puis finalement la presse sud-coréenne semble assez prolifique pour faire circuler des histoires complètement abracadabrante en provenance de Corée du Nord:

L’enlevement d’un couple sud-coréen pour produire un Godzilla nord-coréen.
Les licornes existeraient réellement en Corée du Nord.
L’entraineur de l’équipe nationale de football utiliserait une téléphone invisible durant les matchs de coupe du monde.

Etc, etc.

En définitive, la Corée du Nord fascine beaucoup, peut-être sans doute trop, et bon nombre des informations écrites à son sujet font plus penser à des fantasmes qu’à des faits. La vérité est sans doute à mi-chemin mais il ne faut pas oublier que les deux Corées sont en état de quasi-guerre latente depuis plus de soixante ans. Il est sans doute nécessaire de prendre beaucoup de précautions sur tous les informations circulant à ce sujet.

L’interview d’un cyber-dealer

Voici l’interview d’un dealer de drogue qui nous parle de ses activités au travers de plusieurs sites du web sombre. Cet interview a été réalisé quelques temps avant que les sites Silk Road et Atlantis ne ferment leur portes. D’après un article paru sur Vice.

M: Comment en es-tu arrivé à vendre de la drogue en ligne et pourquoi t’es-tu inscrit sur Atlantis ?

S: Cela fait un moment que je connais l’existence de tout ce qui se passe sur le web sombre; toutefois je n’avais jamais eu de bonnes raisons de m’y rendre jusqu’au jour où j’en ai eu assez d’acheter de la drogue de mauvaise qualité dans la rue.

J’ai ainsi découvert Silk Road et j’ai été bluffé par la diversité et la qualité de la marchandise. Au début, j’étais inquiet de devoir envoyer de la drogue par voie postale. Mais après quelques deals, j’ai été amusé de voir toute l’ingéniosité et aussi toute la technologie utilisée par les gens pour passer en contrebande leur marchandise.

Pendant quelques temps, je n’ai utilisé que Silk Road. Par la suite, j’ai trouvé d’autres sites, comme Black Market Reloaded et Sheep Marketplace, mais les deux faisaient franchement pale figure par rapport à Silk Road. Puis Atlantis est arrivé avec une campagne marketing extrêmement agressive et aussi un nombre toujours plus important de DDOS sur son principal concurrent. Il a alors complètement explosé et est devenu le second site marchand du web sombre en l’espace de seulement quelques semaines.

J’ai donc décidé de l’utiliser car j’avais accès à de très bons produits que je me devais de partager au vue de la qualité toujours plus médiocre des drogues que l’on achète dans la rue. Dès lors j’ai décidé de rester sur Atlantis et aussi de continuer à vendre sur Silk Road. Je ne m’intéresse plus aux autres sites marchands.

M: Peux-tu nous parler de ce que tu fais dans la vie ? Qu’as-tu fais comme étude ? Est-ce que tu travailles à plein temps sur Atlantis ou fais-tu juste ceci à côté ?

S: Pour des raisons bien évidentes, je ne parlerais pas de mes études. J’ai récemment quitté mon travail et j’ai l’intention de continuer à vendre sur le web sombre pendant encore un certain temps. Je suis assez connu dans la communauté Silk Road sous d’autres noms depuis déjà pas mal de temps. Mes activités sur Atlantis ne représentent pas ma principale source de revenus mais juste un complément.

En fait, je me contente de redonner quelque chose à une communauté que j’apprécie particulièrement. Je gagne de l’argent, mais aujourd’hui cela ne représente pas encore grand chose. Je ne cherche pas forcément à ce que cette activité devienne ma principale source de revenus. Néanmoins, si cela devait arriver, alors cela ne me poserait pas de problème.

M: La justice de New York a récemment fait cité à comparaître quelques sociétés spécialisées dans le Bitcoin afin de mieux comprendre comment celui-ci fonctionne. En Allemagne, le ministre des finances tente de taxer les achats et les investissements en Bitcoin. Es-tu concerné par ce qui est en train d’arriver ?

S:Les récents événements autour des tentatives de régulation du Bitcoin ne m’ont pas réellement concerné, néanmoins ce n’est pas très encourageant. Personnellement, je ne vois pas comment les gouvernements vont faire pour mettre en place ce type de régulation.

De plus, il existe une multitude de clone du Bitcoin qui pourrait être utilisée si celui-ci venait à être réglementé ou au contraire déclaré hors-la-loi. Les gouvernements n’ont aucun réelle compréhension de cette technologie et ils s’en méfient comme pas deux à cause de leur grande capacité d’anonymat. Toutefois, je prévois que dans le futur, ils votent des lois de plus en plus restrictives à l’encontre des crypto-monnaies. Ceci dit, cette communauté ne manque pas d’ingéniosité et je n’ai aucun doute qu’ils trouveront toujours le moyen de contourner le préjudice.

M: Penses-tu que des sites marchands comme Atlantis sont réellement compris ? Que dirais-tu à ceux qui s’intéressent au web sombre ?

S: Le web sombre est ce que l’on fait de lui. On y trouve des escrocs, des armes et aussi des prostituées si l’on en cherche. Cependant, si vous vous en tenez à des fréquenter des sites de confiance, tels que Silk Road et Atlantis, alors vous ferez la rencontre de gens sympathiques et aussi généreux.

Le web sombre ne connaît pas de limite. Jusqu’à maintenant, il était relativement peu connu, une sorte d’endroit mystique fréquenté par une poignée de psychnonautes. Mais il fait désormais partie de la culture populaire. Ceci implique de bonnes mais aussi de mauvaises nouvelles. D’un côté, de plus en plus de développeurs vont s’y intéresser et le web sombre va donc se développer ce qui va le rendre encore plus intéressant.

Mais de l’autre, cela va attirer l’attention des médias et donc des gouvernements qui vont nécessaire s’y pencher. Il est difficile de savoir de quoi l’avenir sera fait. En tout cas, je peux te dire que le web sombre est pour moi une expérience extraordinaire. Je peux même affirmer m’y avoir fait de véritables amis.

Étant moi même un peu psychonaute, j’ai pu accéder à des types de drogue que je ne pouvais obtenir qu’en les synthétisant moi-même (Avec d’ailleurs beaucoup de difficultés, je dois bien l’avouer). J’ai pu obtenir également une foule d’informations concernant les pratiques de réduction des risques.

Bien que le web sombre puisse sembler difficile d’accès au début, je recommande vivement de s’y intéresser. Vous pouvez acheter en toute anonymat n’importe quel type de drogue existante sur cette planète sans même avoir à quitter le confort de votre maison et aussi sans avoir à discuter avec de dangereux trafiquants de drogue.

Pour ceux qui seraient un peu frileux de se rendre sur le web sombre, je ne peux que les encourager à faire le pas. Les sites marchands tels que Atlantis ou Silk Road vous permettent d’accéder à des produits abordables chimiquement très purs et en toute anonymat. Par exemple, le marché noir Irlandais est devenu très dangereux avec de plus en plus de gens qui meurent à cause de produits de très mauvaise qualité. Mais sur le web sombre, tous les produits sont annoncés correctement et une large majorité sont même testés en laboratoire. Et en plus, la plupart des vendeurs utilise des techniques de réduction du risque. Il faut voir cela plus comme une communauté que comme un business.

M: En l’espace de très peu de temps, tu t’es fait un nom sur Atlantis. Que comptes-tu faire ?

S: Je suis sur Atlantis depuis seulement un mois et je suis déjà classé 25ieme meilleur vendeur. Mes projets sont simples: augmenter mon stock ainsi que la variété de mes produits et continuer à proposer des prix bas et un service de grande qualité.

Les sites marchands sous Tor et I2P

Pour faire suite à mon article du mois dernier, concernant les boutiques et autres places de marché que l’on trouve sur la face cachée du net, voici une impressionnante collection de sites marchands “cachés”. On y trouve des sites fonctionnant sur invitation seulement, par parrainage mais aussi ce que l’on appelle site de confiance, c’est à dire qu’ils existent depuis suffisamment longtemps pour s’être forgé une  réputation d’honnêté.

Vous noterez que le terme honnête dans ce type de business est particulièrement savoureux :-)

Dernière catégorie: les sites multisig. Ce procédé consiste à utiliser une adresse de paiement composée de plusieurs clés privées. Envoyer une somme depuis une telle adresse nécessite la signature de plusieurs de ces clés privées. L’objectif de ce procédé est d’augmenter considérablement la difficulté de voler de la crypto-monnaie. Si vous disposez les clés sur différentes machines, il faut alors compromettre toutes ces machines pour pouvoir tenter de voler l’argent, et là, ça devient particulièrement compliqué.

Pour la liste des sites, c’est ici.

Darknet et places de marché

Sur tout bon Darknet qui se respecte, on trouve outre certaines horreurs pornographiques, quelques places de marchés où l’on peut se procurer tout ce qui est normalement formellement interdit par la réglementation qui sévit existe dans votre pays. Bien certainement, vous avez tous entendu parler de Silk Road de sa fermeture par le FBI, de son principal concurrent, l’obscur Atlantis et aussi du successeur du premier au nom particulièrement original de Silk Road 2, et qui a récemment été délaissé par un hacker de 2,6 millions de dollars en Bitcoins.

La chose intéressante derrière tout cela est que bien évidemment, il existe une forte demande pour ce genre de marché. Et qui dit demande implique que certains s’y penchent et commencent à proposer leur service. C’est ainsi que l’on a vu le développement d’outils open-source spécialisés dans ce genre de « business ». BitWasp est une application qui va dans ce sens et dont les auteurs ne cachent absolument pas leur intention : aider au développement de places de marché complètement anonymes tout comme l’était SR ou Atlantis, le tout articulé bien évidemment autour de Darknet comme Tor ou I2P et de crypto-monnaies tels que Bitcoin ou Anoncoin.

Le but de ce projet est le suivant : réduire les compétences techniques nécessaires à la mise en place d’un site web comme SilkRoad, ce qui permettra l’extension de ce type de site sur tout l’Internet, entrainant immanquablement des débats sur la dépénalisation de la vente de stupéfiants.

Tout comme les logiciels open-source ont révolutionné la capacité des individus à s’exprimer plus librement au sein de leurs propres tribus communautés, Bitwasp va certainement entrainer les mêmes conséquences, à savoir une plus grande marchandisation des objets ou des services propres à un groupe.

Ce qui m’amène à la réflexion suivante : les marchés noirs offsite, ceux de la rue, sont toujours par définition opaques et plus ou moins difficile d’accès: se procurer de la drogue, des armes ou des faux papiers n’est pas à la portée de tout le monde, il faut connaitre des personnes, des intermédiaires et bien souvent prendre des risques. Si maintenant, on déplace les marchés noirs offsite vers Internet, il est clair que l’achat de  « biens ou de services » que l’on peut y trouver sera facilité et peut même à terme mettre en danger les marchés noirs offsite. Que vaut-il mieux faire maintenant pour se procurer de la « weed » : faire une descente à la cité du coin et aller payer le dealer qui sévit là ou commander directement par Internet, de manière complètement anonyme avec une monnaie anonyme et acheter à un anonyme ?

De la même manière que le peer-2-peer a révolutionné le monde de la musique, il n’est pas improbable qu’un logiciel comme BitWasp va révolutionner le monde du business illicite.