Données entreprises dark web

D’un point de vue cybersécurité, le dark web est semblable à une immense marketplace, où les données sensibles (données personnelles, données bancaires, identifiants, etc.) côtoient des kits pour réaliser des cyberattaques. En effet, on y trouve des malwares à acheter entre $50 et $500 [1], 15 milliards d’identifiants y seraient en circulation… [2]
Commet savoir si vos données professionnelles se trouvent sur le dark web ?

Après avoir éclairci les termes deep web, dark web et dark net, nous verrons comment vérifier si des données d’entreprise sont présentes sur le dark web et que faire si c’est le cas.

Deep web, dark net, dark web : quelles différences ?

Malgré leurs noms proches, on distingue le deep web, le darknet et le dark web. Pour cela, on peut comparer le web à un iceberg :

  • une partie est accessible via les moteurs de recherche : le web visible (la partie émergée de l’iceberg)
  • les contenus non indexés par les moteurs de recherche forment le deep web (la face cachée de l’iceberg). Il est souvent dit que le deep web représente 90% d’internet.

Le dark web fait partie du deep web. Le dark net est quant à lui un réseau qui se « superpose » au réseau classique d’internet. Pour se rendre sur le dark web, il faut d’abord se connecter au dark net via un réseau d’anonymisation. Tor est l’un des plus connus et des plus utilisés.
Dans l’usage courant, le dark web est souvent employé pour parler du deep web en général.

Les darknets sont conçus pour préserver l’anonymat. Côté positif, le dark web est utilisé par des activistes et lanceurs d’alertes pour échapper à une surveillance et par des internautes de pays où une censure règne sur internet. Certaines organisations très connues y ont un site, comme Facebook, le New York Times, la BBC, etc.
Côté négatif, le dark web est utilisé par des cybercriminels, où se retrouvent des activités criminelles, terroristes ou mafieuses. 

Le dark web, place de marché pour la vente de données confidentielles 

Suite à une fuite de données, les attaquants peuvent publier sur le dark web les informations collectées pour différentes raisons :

  • vente / recel de données : identifiants, données bancaires, données de santé, données sur l’infrastructure… Toutes ces données ont une valeur marchande, car elles permettent aux attaquants d’optimiser leurs campagnes de phishing, d’usurpation d’identité ou de détournement d’argent.
  • chantage envers les propriétaires légitimes des données (personnelles comme professionnelles),
  • raisons idéologiques : dénonciation de pratiques, révélations pouvant entraîner des scandales… Les attaquants peuvent avoir des raisons politiques ou religieuses.

Le gain financier est la principale motivation des attaquants pour mettre des données sur le dark web. Ils ne vendent pas que des données personnelles, des données professionnelles s’y échangent aussi. Une étude de Digital Shadow en juillet 2020 [3] montrait par exemple que des accès administrateurs à des domaines d’entreprises étaient vendus autour de $3 000. Les documents sensibles d’entreprise sont une mine d’or pour les personnes qui ont l’intention de commettre des cyberattaques ciblées.

Comment savoir si vos données sensibles d’entreprise sont sur le dark web ?

Pour identifier des fuites de documents sensibles, la solution est de faire des recherches sur le web visible, le deep web et le dark web. Cependant, naviguer sur le web caché est difficile, car les pages ne sont pas indexées. Il faut connaitre les URLs des pages auxquelles on souhaite accéder ou utiliser des moteurs de recherche underground. De plus, les risques de piratage sont très élevés.

Investiguer le dark web permet tout d’abord de détecter si vos données professionnelles y sont présentes. Cela peut aussi permettre de détecter et corriger des failles à l’origine de fuites de données dont vous n’aviez pas conscience.
Ces recherches peuvent être conduites en interne ou bien vous pouvez vous appuyez sur un tiers pour réaliser un audit de reconnaissance. Cet audit identifie tous les éléments liés à votre entreprise exposés en ligne.

Si des données confidentielles sont effectivement sur le dark web, il est alors nécessaire de confirmer si les données sont exactes. En fonction des données, vous pourrez prendre des premières mesures d’urgence. Vouloir les supprimer du web est un vœu pieux ; il vaut mieux avoir pour objectif qu’elles soient inutiles et obsolètes pour des attaquants.

Il peut s’agir par exemple de changer les autorisations, de modifier les accès réseau ou de prévenir vos clients si leurs données ont fuité (et, en fonction de votre législation, prévenir également un organisme officiel de surveillance).

Intégrer la sécurité en amont pour prévenir les fuites de données 

Il est important de s’interroger sur la sécurité de vos infrastructures et de vos applications. Les applications web ou mobiles sont des portes d’entrées très exposées aux attaques. Réaliser un pentest permet de sécuriser les données qui circulent ou qui sont stockées dans ces applications, pour éviter les fuites sur le web (que ce soit sur le web visible ou le web caché). 

Il convient également de limiter autant que possible toute information exposée sur le web. En réduisant la surface d’attaque exploitable par des attaquants, les attaques seront moins pertinentes et un peu plus freinées. 

Enfin, la sensibilisation aux cyber-risques en interne est un élément indispensable pour renforcer son niveau de sécurité. Des mauvaises pratiques et la méconnaissance des dangers actuels peuvent provoquer des incidents majeurs. Lors d’une formation ou d’un pentest d’ingénierie sociale, vos équipes sont exposées à des menaces adaptées au contexte de votre entreprise. La sensibilisation par la mise en situation facilite la mémorisation des bonnes pratiques et le respect des procédures.

Pour conclure, toute fuite de données risque de se retrouver sur le dark web, car les attaquants peuvent en retirer différents gains. Ces données alimentent de nouvelles cyberattaques et de nouvelles fuites de données. Pour rompre ce cercle vicieux, il faut renforcer sa cybersécurité, tant technique qu’humaine.

[1] Dark Web Price Index 2021. Privacy Affairs
[2], [3] From Exposure to Takeover: The 15 billion stolen credentials allowing account takeover. Digital Shadow

Comment définir le scope d'un pentest - Télécharger