Faites du dark web votre système d’alerte précoce
Avec l’équipe et les outils adéquats, vous pouvez transformer le dark web en un système d’alerte précoce, tel le canari dans la mine de charbon, et détecter ainsi les attaques avant qu’elles ne causent des dommages importants.
Imaginez que vous êtes cadre dans une compagnie aérienne, et que vous arrivez au bureau avec une tasse de café fraîchement préparée par un lundi matin inhabituellement calme. Le week-end a été reposant ; vous êtes en pleine forme et avez hâte de commencer la semaine.
Alors que vous consultez votre boîte de réception, le tapotement familier d’une notification Slack attire votre attention.
Vous ouvrez la fenêtre. Il s’agit d’un message de votre responsable du centre des opérations de sécurité (SOC), et ce n’est pas bon signe : « Un courtier en données sur le dark web propose à la vente une quantité considérable de nos données client. »
Que faites-vous ? Vous convoquez une réunion d’urgence avec les dirigeants de l’entreprise ? Vous appelez la police ?
Votre premier réflexe pourrait être de paniquer. « Nos données sont sur le dark web. C’est grave. »
Mais, dans l’idéal, vous devriez demander à vos analystes en renseignements sur les menaces d’approfondir leurs recherches avant de réagir.
En effet, il n’est pas vraiment possible de faire confiance aux cybercriminels, et il se peut que les données qu’ils vendent soient différentes de ce qu’ils prétendent. Peut-être qu’il s’agit en réalité de données provenant d’un site de voyage qui n’a qu’un lien lointain avec votre entreprise. Ou peut-être qu’ils utilisent simplement le nom très reconnaissable de votre entreprise pour attirer des acheteurs.
Dans ce cas, les données de vos clients seraient en sécurité et vous n’auriez pas besoin de lancer une intervention publique massive et coûteuse. Vous n’auriez peut-être même rien à faire.
Le but de cet exercice de réflexion, inspiré d’un incident réel traité par IBM X-Force, est de montrer que le dark web est beaucoup plus banal que sa sinistre réputation ne le laisse croire.
Banal et connaissable.
Certes, le dark web abrite de nombreuses activités louches et purement malveillantes, mais les légendes qui entourent ce coin obscur d’Internet peuvent brouiller le jugement des gens.
En surveillant l’activité du dark web de façon étroite, calme et rationnelle, les entreprises peuvent dissiper les mythes et se faire une idée précise de ce qui se passe réellement dans ce célèbre repaire de pirates informatiques.
Cela dit, le dark web est un milieu plutôt délicat à arpenter. En effet, il arrive que des criminels s’infectent mutuellement pour obtenir des informations ou accéder à des données et à des comptes bancaires. Il est donc judicieux de faire appel à des professionnels qualifiés en cybersécurité, capables de distinguer les menaces vaines des risques réels.
Newsletter Think
Votre équipe sera-t-elle en mesure de repérer la prochaine attaque de type zero-day à temps ?
Rejoignez les responsables de la sécurité qui font confiance à la Newsletter Think pour obtenir des informations ciblées autour de l’IA, de la cybersécurité, des données et de l’automatisation. Apprenez rapidement grâce à des tutoriels et des fiches explicatives d’experts, envoyés directement dans votre boîte de réception. Consultez la Déclaration de confidentialité d’IBM.
Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.
Ne vous laissez pas intimider par son nom inquiétant et les légendes urbaines. Le dark web n’est finalement qu’une partie spécifique d’Internet, bien qu’elle soit volontairement obscure.
D’un point de vue général, on peut dire qu’Internet comporte trois couches.
- Le web ouvert, qui comprend tous les sites publics que vous pouvez trouver sur les moteurs de recherche.
- Le web profond, qui comprend les éléments que les moteurs de recherche n’indexent pas. Le web profond est beaucoup plus vaste que le web ouvert, et la plupart de son contenu est inoffensif. Par exemple, votre compte bancaire en ligne et les contenus payants, cela relève du web profond.
- Le dark web est une subdivision du web profond, qui nécessite un logiciel de navigation spécial, tel que le navigateur Tor, pour y accéder.
Mais alors, à quoi ressemble le dark web ? En réalité, il n’est pas si différent du web ouvert. Les gens se rassemblent dans des forums. Ils vendent des choses sur des plateformes de vente. La grande différence est que les sujets dont ils discutent et les produits qu’ils vendent nécessitent un certain anonymat.
Tout ce qui se passe sur le dark web n’est pas malveillant pour autant. Les journalistes, par exemple, l’utilisent pour trouver et partager des informations confidentielles.
Mais effectivement, on y trouve de nombreux cybercriminels. Leurs forums ne sont pas consacrés aux séries télévisées ou à des loisirs originaux, mais au commerce d’exploits et au recrutement de nouveaux membres. Au lieu de vendre des vêtements ou des jeux vidéo, ils vendent des logiciels malveillants, des numéros de carte de crédit et des identifiants volés. Beaucoup d’identifiants volés.
Selon le X-Force Threat Intelligence Index, le piratage de comptes valides est l’un des vecteurs initiaux de violation de données les plus courants, représentant 30 % des cyberattaques.
Au cours du seul quatrième trimestre 2024, X-Force a recensé 1,2 million d’identifiants en vente sur le dark web, souvent pour seulement 14 dollars américains l’unité. D’autres pirates informatiques achètent ces identifiants et les utilisent pour commettre des usurpations d’identité ou s’introduire dans les réseaux d’entreprises.
Certains cybercriminels proposent ce que nous appelons des « logiciels malveillants en tant que service », qui appliquent le modèle classique du logiciel en tant que service (SaaS) aux ransomwares, entre autres. Ces acteurs de la menace vendent ces logiciels propriétaires à des affiliés, qui les utilisent pour lancer des attaques et partagent une partie de leurs gains illicites avec les créateurs.
Il y a également les courtiers en accès, qui s’introduisent dans les systèmes cibles et vendent l’accès à d’autres cybercriminels pour qu’ils puissent agir à leur guise.
Qu’ils vendent des données, des accès ou des logiciels malveillants, ces cybercriminels s’organisent généralement en bandes. Cependant, il est difficile de surveiller ces groupes, car ils ont tendance à se former, à se développer et à disparaître assez rapidement. Par exemple, plus de la moitié des bandes de ransomware les plus actives sur le dark web au premier trimestre 2025 existaient depuis un an ou moins.
Les rapports de force ne cessent d’évoluer sur le dark web : les autorités démantèlent les bandes, puis leurs membres se séparent pour créer leur propre structure. Parfois, la concurrence entre bandes conduit à des attaques directes. Ce fut le cas en février de cette année, lorsqu’une bande rivale a divulgué le code de la dernière version du célèbre ransomware du groupe Lockbit.
Cette évolution rapide et la dynamique complexe entre les groupes et les plateformes de vente ne sont que quelques-unes des raisons pour lesquelles il est avantageux de travailler avec des analystes spécialisés dans les renseignements sur les menaces, capables de surveiller les transactions sur le dark web pour votre entreprise. Dans un tel chaos, il est très facile de passer à côté des signaux d’alerte qui pourraient indiquer une menace active pesant sur vos activités.
La plupart d’entre nous savons qu’il ne faut pas prendre pour argent comptant les publications anonymes de personnes inconnues sur les réseaux sociaux. Pourtant, lorsque des cybercriminels affirment détenir des données sensibles, sans fournir la moindre preuve, nous avons tendance à les croire.
Or, nous ne devrions vraiment pas. C’est là qu’interviennent les analystes en renseignements sur les menaces : pour faire la part des choses entre réalité et fiction sur le dark web.
Les cybercriminels mentent. Beaucoup. Ils prétendent régulièrement détenir des données provenant de grandes entreprises de premier plan, alors qu’ils n’ont rien en réalité. Pourquoi ? Pour se faire passer pour plus compétents qu’ils ne le sont et se forger ainsi une réputation injustifiée de pirates informatiques chevronnés. Ou alors, ils essaient d’attirer des clients pour des données moins intéressantes qu’ils possèdent.
Par exemple, une bande peut prétendre détenir des données provenant d’une grande marque mondiale. Lorsque des clients potentiels se présentent, elle prétend que ces données ont déjà été vendues, mais qu’elle peut proposer à la place d’autres données provenant d’une entreprise moins connue. Il s’agit essentiellement d’une forme d’ingénierie sociale visant d’autres cybercriminels.
Par ailleurs, les cybercriminels ne font pas toujours ouvertement la promotion des données qu’ils possèdent. Pour éviter d’être pris, ils brouillent souvent les pistes auprès de leurs victimes. Au lieu de dire qu’ils possèdent des données provenant de l’entreprise X, il leur arrive de déclarer : « Nous disposons de données provenant d’une entreprise de taille X dans le secteur Y, d’une valeur estimée à Z. »
Les entreprises ont donc besoin d’un programme de surveillance sophistiqué capable d’identifier avec précision les fausses fuites et les menaces réelles mais dissimulées.
L’intérêt ultime d’investir des ressources dans la surveillance du dark web ne réside pas simplement dans le fait de dissiper les mythes et de démasquer les mensonges des cybercriminels. Au contraire, avec l’équipe et les outils adéquats, les entreprises peuvent transformer le dark web en un système d’alerte précoce, tel le canari dans la mine de charbon, et détecter ainsi les attaques avant qu’elles ne causent des dommages importants.
Si les données ou les points d’entrée du réseau d’une entreprise sont vendus sur le dark web, cela signifie qu’ils ont déjà été compromis. Cependant, il s’agit parfois du premier signe permettant de détecter une attaque.
Cela est particulièrement vrai aujourd’hui, où les acteurs de la menace adoptent de plus en plus des méthodes d’attaque furtives, telles que la prise de contrôle de comptes d’utilisateurs ou même le partenariat avec des initiés malveillants qui abusent de leurs autorisations légitimes. Nous avons observé sur le dark web des courtiers en accès qui affirment être des employés ou des partenaires d’employés des entreprises qu’ils ont compromises.
Les attaquants ont également commencé à utiliser des logiciels malveillants mineurs, dits « nuisibles », pour diffuser des charges utiles plus importantes, comme introduire discrètement un ransomware via un infostealer (voleur d’informations). Lorsqu’ils pénètrent dans un réseau, ils exploitent souvent les ressources disponibles. Cela signifie qu’ils utilisent l’infrastructure réseau légitime, notamment les scripts PowerShell et les comptes d’utilisateurs réels, pour se déplacer dans le réseau et accéder aux ressources sensibles.
Ces activités échappent souvent aux outils de sécurité réseau standard, car elles n’ont pas de caractère malveillant apparent : elles ressemblent à des actions autorisées effectuées par des utilisateurs et des systèmes autorisés.
Par conséquent, il arrive que personne ne se rende compte de quoi que ce soit avant que les données n’atteignent le dark web. En interceptant ces données dès leur apparition, les entreprises sont à même de prendre rapidement des mesures pour minimiser les conséquences. Elles peuvent modifier les identifiants des comptes compromis ou fermer les serveurs présentant des portes dérobées connues. Les données volées deviennent alors inutiles et l’attaque ne peut pas être menée à son terme.
Pour atteindre ce niveau de surveillance, il ne suffit pas d’acheter des flux de renseignements sur les menaces ou une plateforme en libre-service. Il faut des analystes spécialisés qui savent interpréter toutes ces données et détecter les menaces que les cybercriminels s’efforcent de dissimuler. Ces experts sont capables d’analyser les résultats, de les replacer dans leur contexte, de hiérarchiser les risques réels et d’orienter l’entreprise vers des mesures efficaces.