[Petit déjeuner XMCO] Le Dark Web, vu de l’œil d’un cabinet de Cyber-sécurité

[Petit déjeuner XMCO] Le Dark Web, vu de l’œil d’un cabinet de Cyber-sécurité

Le 12 février dernier, XMCO a réuni plusieurs de ses clients avec pour objectif majeur de leur fournir les clés pour mieux appréhender le Dark Web grâce au retour d’expérience de nos experts du CERT-XMCO.

Qu’est-ce que le Dark Web ?

Il est commun de représenter le Web en 3 strates :

  • Le Web surfacique regroupe tous les sites et les pages indexés par les moteurs de recherches classiques tels que Google ou Bing.
  • Le Deep web représente la partie du web qui n’est pas référencée par les moteurs de recherche généralistes. On y retrouve par exemple les serveurs de fichiers accessibles au travers de protocoles spécifiques.
  • Et enfin le Dark Web est composé de l’ensemble des sites et des pages accessibles au travers de réseaux privés chiffrés. On appelle ces réseaux, tels que Tor, I2P ou encore Freenet, des “Dark Nets”.

Le Deep Web et le Dark Web font régulièrement l’objet d’un amalgame. La différence est pourtant importante, car il s’agit de réseaux bien distincts. Enfin, à noter, le concept du Dark Web (et des Dark Nets) est tout aussi vieux qu’Internet.

Forums vs Black Markets

Deux grandes catégories de sites sont particulièrement représentées dans ces réseaux.

D’une part, les Forums, des espaces communautaires, que les visiteurs utilisent pour aborder des discussions en tout genre et où le partage de ressources (tutoriels, comptes piratés, etc.) est courant. Certains de ces forums permettent également l’achat et la vente de produits ou de services, via l’échange de messages privés, à la manière du site LeBonCoin.

D’autre part, les Black Markets assimilés à des “Ebay du Dark Web”, sont des plateformes quasiment, voire, complètement automatisées : dépôt de monnaie sur des comptes personnels (Bitcoin, Monero), achat/vente et livraison en quelques clics, séquestre du montant de la transaction le temps de la livraison (service d’“escrow”), système de notes et avis des vendeurs et des produits, etc.

Le point commun entre ces deux types de sites est leur caractère éphémère. Un site peut ainsi rester en ligne quelques semaines ou quelques jours avant de disparaître soudainement.

 

Aperçu de la plateforme d’échange FDW Market

Aperçu de la plateforme d’échange FDW Market

 

1. Démystifions

Le Dark Web soulève de nombreux fantasmes depuis des années. Voici quelques questions qui reviennent souvent.

Est-il compliqué d’accéder au Dark Web ? Non

Par définition, les sites du Dark Web ne peuvent pas être référencés par les moteurs de recherche tels que Google. Il est donc nécessaire de se connecter au réseau (Dark Net) sur lequel est hébergé le site, et ensuite de disposer de son adresse exacte pour pouvoir y accéder.

Toutefois, il est très facile de trouver sur le web “traditionnel” des guides détaillant comment accéder simplement à ces réseaux parallèles, ainsi que des annuaires de sites du Dark Web (HiddenWiki).

 

Aperçu du site web The Hidden Wiki

Aperçu du site web The Hidden Wiki

 

A noter, quelques ébauches de moteurs de recherche spécifiques au Dark Web existent également. Ces derniers sont cependant peu exhaustifs et rarement à jour.

 

Trouve-t-on que des choses illégales sur le Dark Web ? Non

A l’origine, les Dark Net, et donc le Dark Web ont été conçus pour garantir l’anonymat de leurs utilisateurs et de contourner les systèmes de censure.

L’utilisation de ces réseaux anonymes permet ainsi à des journalistes, à des activistes et aux opposants des régimes totalitaires restreignant la liberté d’expression (Corée du Nord, Chine, …), d’éviter la censure et d’accéder à des ressources et à des contenus sans être traqués par les autorités.

Certaines ONG proposent ainsi des formations et des tutoriels sur l’utilisation de ces outils afin d’éviter la censure. Par ailleurs, un grand nombre de sites populaires (Facebook, le moteur de recherche DuckDuckGo, Wikileaks…) disposent de versions accessibles via le Dark web.

On est donc bien loin de l’idée de ne proposer que des contenus illégaux.

 

Le Dark Web est-il le marché noir d’Internet ? Oui

Le Dark Web reste le lieu de prédilection pour tous ceux qui ont des choses à cacher ou qui se livrent à des activités illégales.

Ainsi, en complément des plateformes “généralistes” comparables à de véritables Ebay ou Amazon du Dark Web qui proposent aussi bien de la drogue, que des données volées ou des services de piratage informatique ; on retrouve également des plateformes spécialisées dans un domaine : achat de numéros de cartes bancaires volées, services de DDoS, pédophilie …

 

Les pirates sont-ils anonymes sur le Dark Web, et agissent-ils en toute impunité ? Oui et non

On pourrait croire qu’il est très difficile de s’immiscer dans ces réseaux et il est vrai qu’ils garantissent un certain niveau d’anonymat. Néanmoins, cet anonymat est très relatif et peut vite être levé par manque de vigilance.

Comme le démontrent les fermetures et démantèlements de certains sites, les forces de l’ordre (police, services de renseignement) sont actives et cherchent à s’infiltrer dans ces réseaux sur le Dark Web, comme elles pourraient le faire dans le monde physique. Encore très récemment (janvier 2019), dans le cadre d’une coopération internationale, les forces de l’ordre européennes et américaines ont mis un terme à la place de marché xDedic particulièrement exposé. Celles-ci sont cependant souvent vite remplacées, car la concurrence est vive.

Par ailleurs, les chercheurs en sécurité identifient régulièrement des vulnérabilités ou des problèmes de conception au sein des Dark Net, qu’il est ensuite possible d’exploiter dans le cadre d’attaques dans l’objectif de réduire l’anonymat des visiteurs ou des serveurs.

Ainsi, les Black Markets suivants ont été fermés par les forces de l’ordre au cours des dernières années :

  • Atlantis (2013)
  • Silk Road (2013, 2014, 2017)
  • Agora (2015)
  • TheRealDeal (2016)
  • AlphaBay (juillet 2017)
  • Hansa (2017)
  • Black Hand (juin 2018)
  • XDEDIC (janvier 2019)

 

2.Comment accéder au Dark Web ?

Le Dark Web est accessible au travers de trois Dark Net principaux, proposant chacun une implémentation logicielle de référence permettant d’accéder à du contenu qui leur est propre. D’après une étude réalisée en 2017, le réseau privé Tor est le Dark Net le plus connu et médiatisé, il regroupe 90% des utilisateurs du Dark Web. Celui-ci permet d’accéder aux sites en .onion (TLD). Le client Tor officiel est baptisé Tor Browser. Il s’agit d’une version modifiée du navigateur web Firefox de Mozilla, couplée à un proxy donnant l’accès au réseau.

Semblable à Tor, I2P est un réseau anonyme regroupant 6% des utilisateurs. Il se présente sous la forme d’une couche logicielle permettant à un ensemble d’applications (P2P, IRC, navigateur Internet, client mail, etc.) de se connecter au réseau privé de manière chiffrée. À l’instar de Tor, il possède également son type de sites web : les eepsites.

Enfin, Freenet compte 4% des utilisateurs. C’est un espace de stockage partagé et distribué (pair à pair chiffré), il est ainsi très différent de Tor et I2P. Freenet est un Dark Net reconnu comme très lent et représente le réseau de prédilection pour la publication de documents (pages web, PDF, images, vidéos…) de manière anonyme et résistante à la censure.

3. Les enjeux du Dark Web pour XMCO

Ces réseaux contiennent à la fois du contenu légal et illégal. Comme mentionné plus tôt, c’est le lieu de prédilection pour tous les échanges qui nécessite une forme d’anonymat : journalistes, dissidents, lanceurs d’alertes, pirates, trafiquants. On y trouve la vente d’armes de poing, armes de guerre, faux documents, produits de contrefaçon, drogue (cannabis, cocaïne, MDMA, etc.), cartes bleues (CC, CVV), comptes PayPal, comptes compromis (e-commerce), tutoriels divers et variés (ouvrir un compte bancaire anonymement, techniques de monétisation, carding, etc.).

 

Aperçu des types de produits disponibles à la vente sur le Dark Web

Aperçu des types de produits disponibles à la vente sur le Dark Web

 

Dans le cadre de notre service de Cyber-surveillance Serenety, ces recherches sur le Dark Web ont pour objectif l’identification :

  • des partages de comptes piratés (identifiants et mots de passe) appartenant aux collaborateurs de nos clients, pour limiter les intrusions frauduleuses dans leur SI et pour sensibiliser les collaborateurs aux attaques en cours (phishing, etc.) ;
  • des discussions citant nos clients, pour identifier des attaques en cours de préparation ;
  • ou encore la vente de données confidentielles leur appartenant.

 

4. Comment procédons-nous ?

Les analystes du CERT-XMCO effectuent une veille quotidienne sur un grand nombre de plateformes du Dark Web, à la recherche des éléments relatifs à nos clients. Ainsi, pour l’année écoulée, nous avons surveillé plus de 150 plateformes d’échanges distinctes, qu’il s’agisse de Forums ou de Black Market. Cependant, étant donné le caractère éphémère de ces sites, il est nécessaire de maintenir un annuaire de sites à jour, en surveillant en permanence l’apparition de nouvelles sources.

Afin d’accéder au plus grand volume d’informations, les efforts du CERT-XMCO sont aussi concentrés vers l’infiltration dans les plateformes, dont l’accès est limité à un “réseau de confiance” disposant des comptes d’accès délivrés selon des procédures plus ou moins rigoristes. L’obtention du sésame est synonyme de la possibilité d’accéder à ces espaces plus restreints, et donc à des données ou à des conversations potentiellement plus pertinentes concernant nos clients.

Sur 440 alertes relatives à des fuites d’informations sensibles envoyées cette année à nos clients, 40 d’entre elles ont directement été le fruit de nos recherches sur le Dark Web. Ces 40 alertes faisaient référence à une dizaine de clients.

Par ailleurs, cette veille permanente a permis de collecter et d’indexer 4 milliards de comptes compromis au sein de notre plateforme d’indexation.

 

Aperçu de notre outil d’indexation de comptes compromis

Aperçu de notre outil d’indexation de comptes compromis

 

5. Quelles sont les données vraiment pertinentes ?

On peut regrouper l’ensemble des alertes envoyées par le CERT-XMCO selon 6 grandes catégories.

  • Accès à des sites et/ou serveurs

Au cours des investigations réalisées durant l’année passée, nous avons pu identifier la mise en vente de 5 accès à des sites et des serveurs appartenant à nos clients. Il s’agissait de comptes d’accès à des serveurs SQL, ou encore des comptes Administrateur ou des vulnérabilités présentes sur des sites.

  • Fichiers confidentiels

Nous avons identifié plus de 2 000 fichiers confidentiels mis en vente et faisant référence à nos clients. Parmi ces derniers figuraient des contrats, des documents stratégiques ou encore des documents techniques.

  • Attaques à venir et/ou en cours

Nos investigations sur le Dark Web ont également permis d’identifier des annonces d’attaques à venir ciblant nos clients, et de suivre en temps réel leur progression le jour venu. Ces éléments ont permis à nos clients d’organiser leur défense, afin de limiter l’impact de ces attaques.

 

Aperçu d’un document détaillant l’organisation de l’opération #OpFrance en décembre 2018

Aperçu d’un document détaillant l’organisation de l’opération #OpFrance en décembre 2018

 

  • Comptes collaborateurs compromis

En une année, XMCO a été en mesure de récupérer et d’indexer 1,5 milliard de comptes compromis. Parmi ces informations, plus de 50 000 comptes appartenant aux collaborateurs de nos clients ont pu être identifiés durant l’année écoulée.

  • 1,1 million de comptes clients compromis (B2C)

Nos clients dans le secteur du e-commerce B2C sont particulièrement affectés par la vente des comptes de leurs propres clients. Du fait de leur ancienneté et parfois de la présence de moyens de paiement préenregistrés, ces comptes sont utilisés par les attaquants afin de légitimer des achats frauduleux (carding).

Nos contrôles nous ont permis de détecter plus de 1 million de comptes appartenant aux clients de nos clients mis en vente.

 

Aperçu de la vente de comptes e-commerce sur les Black Markets Wolf Shop et House of Cards

Aperçu de la vente de comptes e-commerce sur les Black Markets Wolf Shop et House of Cards

 

  • 100e de comptes collaborateurs partagés quotidiennement

Outre la vente de compte, le partage de comptes piratés (Netflix, Spotify, Steam, etc.) est également fréquent. Il n’est pas rare d’y retrouver des adresses mail professionnelles. Les utilisateurs ayant souvent pour habitude de réutiliser des mots de passe pour différents accès professionnels et/ou personnels. Ces fuites d’informations pourraient donc fournir des identifiants valides à des attaquants. Le CERT-XMCO observe quotidiennement le partage de plusieurs centaines de comptes collaborateurs, représentant une réelle menace pour le Système d’Information de nos clients.

 

Aperçu de partages de comptes collaborateurs

Aperçu de partages de comptes collaborateurs

 

6. Bilan : 99% de bruit, 1% de pépites

Pour conclure, le Dark Web regorge de données, généralement relatives à des problématiques régaliennes, telles que la vente de drogues, d’armes à feu, de faux documents permettant d’usurper une identité, etc.

Ainsi, l’enjeu sur le Dark Web n’est pas tant d’accéder à des informations, mais de naviguer parmi les 99% de bruit, pour n’identifier « que » le 1% de pépites. Cela implique un traitement massif des données tout en tenant compte du contexte. C’est ici que réside toute l’expertise d’XMCO sur le Dark Web.

 


Références

Source : XMCO
Image de couverture : TheHackerNews


Jean-Christophe Pellat

Cert-XMCO