Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Dark Web : visite guidée de la face obscure d’Internet

avril 2015 par Emmanuelle Lamandé

Le Dark Web représente la face obscure d’Internet, où grouillent de nombreux réseaux criminels et activités malveillantes. Toutefois, seules les personnes averties peuvent y accéder, ou celles ayant fait preuve de leur « bonne foi » criminelle. Pourtant, les entreprises comme les services de l’Etat ont désormais intérêt à suivre de près ce qui s’y trame, car c’est un bon moyen aujourd’hui de mieux connaître la menace, d’anticiper les attaques ou d’en limiter les impacts. Le CLUSIF nous propose une petite visite guidée du Dark Web, à l’occasion de sa dernière conférence.

Le Dark Web ou Dark Net est différent du Web invisible (appelé aussi Deep Web ou Web profond), explique François Paget, Responsable du GT CLUSIF « Panorama de la Cybercriminalité » et Chercheur de menaces chez Intel Security - McAfee Labs. Le Web invisible désigne la partie du Web non indexée, que l’on ne peut pas atteindre via un moteur de recherche « classique ». Cela ne veut pas forcément dire que tout ce que l’on y trouve est malhonnête, même s’il est aussi utilisé par les criminels. Pour y accéder, on peut par exemple utiliser TOR ou I2P (Invisible Internet Project).

Il faut faire preuve de sa « bonne foi » criminelle pour accéder au Dark Web

Le Dark Net représente, quant à lui, la partie obscure et malfaisante du Web. Ce sont des réseaux privés, souvent très sécurisés pour en limiter l’accès, complète Anne Souvira, Commissaire divisionnaire chargée de mission en Cybercriminalité, Cabinet du Préfet de police. Ces sites sont protégés par mot de passe, installent des certificats, des CAPTCHA, et utilisent toutes les technologies permettant d’en protéger l’accès. La réputation est également essentielle. En effet, il faut faire preuve de sa « bonne foi » criminelle pour pouvoir y accéder. Les forums criminels ont d’ailleurs un rôle majeur dans ce processus. Les données s’échangent via le Cloud, et souvent les membres communiquent via des messageries instantanées.

Que trouve-t-on sur le Dark Web ? François Paget observe notamment :
- Des sites sur lesquels les pirates publient des informations personnelles et confidentielles d’individus ou d’entreprises (doxing) ;
- De nombreuses boutiques : on peut par exemple acheter des cigarettes, des faux papiers (passeports, carte d’identité, carte SNCF…), de la fausse monnaie (euros, livres, dollars…), des armes… Toutes ces boutiques n’acceptent que des monnaies virtuelles ;
- Des sites de dons à des organisations terroristes ;
- De la pornographie enfantine ;
- Les services d’organisations criminelles prêtes à mener à bien des attaques à votre place ou à vous fournir le nécessaire pour (vente de RAT, de Trojans, de kits de DDoS…) ;
- Certains groupes qui font du chantage aux entreprises ont aussi leur vitrine sur le Dark Web (par exemple celle du groupe Rex Mundi qui a fait du chantage à Domino’s Pizza).
- Etc.

On trouve donc de tout sur le Dark Web. La question est de savoir si après l’achat, le matériel suit…, et donc si les escrocs se font eux-mêmes escroquer. Il existe également un Dark Web francophone, avec des boutiques tenues par des français. On y retrouve ainsi de la vente d’armes, du carding, des relevés d’identité bancaire…

Outre sa « bonne foi » criminelle, plusieurs portes d’entrée permettent d’accéder au Dark Web. Tout d’abord, il existe certains moteurs de recherche dédiés. Toutefois, la plupart d’entre eux sont faibles et réalisés par un consortium de boutiques de vente. On n’y trouve donc pas grand-chose. Mais rien ne vaut le flair et Pastebin ou ses équivalents, souligne-t-il. Les forums et autres plateformes d’échanges criminels contribuent largement à ouvrir les portes de cette partie sombre du Web.

Toutefois, cette face invisible et obscure ne sert pas uniquement la cause d’acteurs malveillants. En effet, le Web profond et le Dark Web vont également être utilisés par les services de l’Etat, soit pour échanger de l’information, mais aussi à des fins d’enquêtes et d’investigations. Par exemple, l’enquête sous pseudonyme va permettre aux enquêteurs d’infiltrer certaines activités malfaisantes. La cyberinfiltration est notamment utilisée pour lutter contre la pédopornographie, la traite des êtres humains, l’apologie du terrorisme... Ainsi, un enquêteur spécialisé, habilité par l’autorité judiciaire, peut désormais participer sous pseudonyme à des échanges électroniques, être en contact avec les suspects d’une infraction, tant qu’il n’incite pas à l’infraction, et échanger des contenus illicites sur demande expresse.

Pourquoi les RSSI doivent-ils s’intéresser au Dark Web ?

Les entreprises aussi peuvent avoir un intérêt à se pencher sur la question et observer la partie sombre du Net. Effectivement, le RSSI est vulnérable et doit se préparer à la menace, constate Henri Codron, Responsable de l’Espace RSSI du CLUSIF et RSSI Schindler France. Les entreprises peuvent être des cibles (soit en raison de leurs données sensibles ou secteur d’activité, soit par opportunité ou facilité…). De plus, dans le Dark Net, n’importe quel acteur malveillant va pouvoir trouver tous les outils nécessaires à la réalisation de ces attaques.

Quelles parades existent alors pour l’entreprise ? Elle va pouvoir agir sur la détection des signaux faibles, explique-t-il, en travaillant par exemple avec un SOC (Security Operation Center) et donc une entité dédiée. L’objectif est à la fois de mieux connaître les risques de son organisation, son niveau d’infection potentiel, et les attaques de manière générale. En naviguant sur le Dark Web, en plus du Web de surface et du Web invisible, l’entreprise pourra ainsi savoir si elle est infectée, si elle fait partie d’un botnet ou encore si elle est une cible. En effet, les personnes en charge de cette détection pourront éventuellement trouver sur le Dark Net un certain nombre d’indices laissant à penser que la société pourrait bien être prochainement visée : par exemple des outils avec le logo de l’entreprise prêts pour lancer une attaque de phishing, des bases de comptes utilisateurs qui vont augmenter le risque d’accès à son SI… Sans compter que certaines informations de l’entreprise peuvent être diffusées sur le Dark Net, parfois via un piratage tierce (ex : Domino’s Pizza), et venir simplifier le travail des criminels. En allant sur le Dark Web, l’entreprise pourra donc récolter toutes ces informations, et ainsi mieux détecter les risques en amont, renforcer le niveau de sécurité quant aux points d’accès sensibles, et être le mieux préparé aux attaques.

Comment réagir ? Quelles mesures appliquer ?

Parmi les différentes mesures permettant d’anticiper ou de lutter contre ces phénomènes, Benoit Mercier, Resp. Coordinateur de missions de cyber intelligence chez CEIS, recommande, pour sa part, la mise en place d’une cellule de Cyber Threat Intelligence. L’objectif est de se mettre à la place de l’attaquant, de manière à anticiper au mieux la menace. Il conseille de s’inspirer en la matière de la « Cyber Kill Chain » de Lokheed Martin, qui repose sur 7 principales étapes.

La démarche de Cyber Threat Intelligence qu’il propose va permettre d’identifier les vulnérabilités chez le client. Pour ce faire, l’entreprise va s’appuyer sur un process de collecte d’informations et de renseignements, à la fois sur le Web de surface, le Web profond et le Dark Web afin de pouvoir répondre aux questions suivantes : quelles sont les vulnérabilités, qui pourrait lui en vouloir, quels sont les mobiles, l’entreprise est-elle citée par quelque acteur malveillant, dans quel contexte… Il s’agit d’un travail qui s’effectue en amont (anticipation, prévention…), mais aussi en aval (préconisation de patchs…). L’approche est à la fois technologique (outils sur étagères et développement d’outils spécifiques) et humaine (équipe multilingue et profils variés).

Le Web de surface est également une passerelle vers le Dark Web, explique Adrien Petit, Consultant en cybercriminalité, CEIS. Plusieurs outils et vecteurs de communication doivent faire l’objet d’une attention particulière. Parmi eux :
- Les réseaux sociaux : par exemple, les cybercriminels spécialisés dans le rançonnage du groupe Rex Mundi ont publié des documents de leurs récentes victimes (Domino’s pizza et Labio) sur leur site .onion ;
- Les bases de données de pasties (pastebin.com, JustePaste.it…) : on y retrouve, entre autres, des instructions d’attaques DDoS, des exemplaires de cartes bancaires récoltées… ;
- D’autres outils sont également à observer : channels IRC, sites de diffusion, forums de conseils de piratage, et tout autre lien vers le Dark Web… En effet, les cybercriminels utilisent massivement ces différents canaux pour se faire de la publicité, mener à bien leurs revendications et recrutements ou encore faire du recel.

Les criminels sont donc partout, aussi bien sur le Web de surface, le Deep Web que le Dark Web. Etre présent sur ces trois faces d’Internet va ainsi favoriser le repérage des cibles potentielles. Comprendre les évolutions de ces acteurs malveillants va, en outre, permettre de mieux anticiper la menace et de se prémunir contre les attaques, et donc de gagner du temps.




Voir les articles précédents

    

Voir les articles suivants