D’un point de vue cybersécurité, le dark web est semblable à une immense marketplace où des données sensibles (données personnelles, données bancaires, adresses email, identifiants, etc.) côtoient des kits permettant de réaliser des cyberattaques. En effet, 15 milliards d’identifiants y seraient actuellement en circulation [1], et il serait possible d’acheter des malwares pour un tarif compris entre $50 et $5000 [2].
Pourquoi des données professionnelles se retrouvent sur le dark web ? Et comment identifier des éventuelles fuites de données ? Avant d’entrer dans le vif du sujet, quelques précisions sur les termes deep web, dark web et dark net.
Deep web, dark net, dark web : quelles différences ?
L’image de l’iceberg reste l’illustration la plus adaptée pour comprendre les différences entre le web « visible », le deep web et le dark web.
La partie émergée représente le web visible, accessible via les moteurs de recherche. Elle est constituée de toutes les pages et contenus indexés. À contrario, les sites web et contenus non indexés par les moteurs de recherche (environ 90% du web) se retrouvent donc dans la face cachée de l’iceberg, aussi appelé deep web.
Le dark web est quant à lui la partie la plus immergée de l’iceberg. Pour s’y rendre, il faut d’abord utiliser un réseau privé chiffré, aussi appelé dark net (tel que Tor – The Onion Router -, le plus connu et le plus utilisé, I2P – Invisible Internet Project – ou Freenet). Assurant l’anonymat aux utilisateurs, le dark web est utilisé par des activistes et lanceurs d’alertes pour échapper à une surveillance et par des internautes dans des pays où le web est censuré.
Malheureusement, le dark web est également un vivier fertile d’activités criminelles en tout genre, et le terrain de jeu favori des pirates informatiques. On y retrouve des forums où le partage de ressources (tutoriels, comptes piratés, etc.) est très présent ; et de nombreuses marketplaces spécialisées dans la vente de données professionnelles ou d’outils permettant de réaliser des cyberattaques ciblées : malwares, exploits de type zero-day, infrastructure de botnets permettant de réaliser des attaques DDoS, etc.
Le dark web, place de marché spécialisée dans la vente de données professionnelles
Suite à un vol ou une fuite de données, les informations collectées peuvent être mises en ligne sur le dark web, et ce pour différentes raisons. La vente, l’échange et le partage sur des places de marché ou des forums étant les principales.
Adresses email, données bancaires, données de santé, documents d’architecture, identifiants, etc., toutes ces données ont une valeur marchande car elles permettent aux attaquants d’optimiser leurs campagnes de phishing, d’usurpations d’identité et facilitent leurs actions de fraude et de détournements.
Par ailleurs, les attaquants ne s’intéressent pas qu’aux données personnelles. Bien au contraire, les données professionnelles sont aujourd’hui le nerf de la guerre et les produits les plus onéreux sur le dark web. En effet, un rapport de Digital Shadows sur l’écosystème du dark web publié en juillet 20, estimait le coût d’accès administrateurs à des domaines d’entreprises autour de $3 000 [3].
Comment identifier les fuites de données professionnelles sur le dark web ?
Pour identifier des éventuelles fuites de données ou de documents sensibles, la solution est d’effectuer des recherches sur le web visible et d’explorer le dark web.
Sur le web visible, il s’agira de collecter tout type d’information (adresses IP, DNS, informations sur l’architecture du SI et les technologies utilisées, organigramme et coordonnées, documents internes, diverses données techniques ou business, etc.) accessibles publiquement et potentiellement utilisables dans le cadre d’une cyberattaque.
Cette approche permet d’obtenir une idée globale et précise de votre surface d’attaque, avec comme objectif de la réduire. Ces recherches peuvent être conduites en interne avec les bons outils et en mobilisant les bonnes compétences. Vous pouvez également vous appuyer sur l’expertise d’un tiers spécialisé pour réaliser ce type d’audit, aussi appelé audit de reconnaissance.
Cependant, il est plus difficile d’effectuer des recherches sur le dark web, car les pages ne sont pas indexées. En effet, il faut utiliser les bons outils et savoir où et comment chercher des informations pertinentes dans la masse de données qu’on peut y trouver. De plus, les risques de piratage sont très élevés. C’est pourquoi il peut être intéressant de confier les recherches à un tiers spécialisé en sécurité offensive.
Pour plus de détails sur les objectifs, l’approche, la méthodologie, les livrables, etc. d’un audit d’exposition dark web, vous pouvez consulter notre livre blanc qui présente tous ces éléments.
Ainsi, les informations remontées lors d’un audit d’exposition dark web peuvent être de différentes natures : liste des éléments d’infrastructure informatique, liste des coordonnées et autres fuites de données (identifiants, mots de passe, documents confidentiels concernant votre entreprise, etc.), informations concernant des backdoors, etc.
En définitive, ce type d’audit permet de déterminer précisément votre niveau d’exposition puis de corriger les failles techniques ou humaines à l’origine des fuites de données. Il s’agira de mettre en œuvre des mesures adaptées à la dangerosité de cette exposition pour la rendre obsolète pour des attaquants car il sera particulièrement difficile voire impossible de les supprimer.
Les actions pouvant être mises en place suite à un audit de reconnaissance ou un audit d’exposition dark web peuvent être les suivantes : changer les autorisations, modifier les accès réseau ou les identifiants d’accès à une application par exemple, complexifier le système d’authentification ou prévenir vos clients si leurs données ont fuité (et, en fonction de votre législation, prévenir également un organisme officiel de surveillance).
Intégrer la sécurité en amont pour prévenir les fuites de données
Pour prévenir les fuites de données, il est important de s’interroger sur la sécurité de vos infrastructures et de vos applications. Les applications web ou mobiles notamment sont des portes d’entrées très exposées aux attaques. Il convient de limiter autant que possible toute information exposée sur le web. En réduisant votre surface d’attaque, vous limiterez les possibilités de compromission de vos données et de vos systèmes.
Réaliser un pentest est également un bon moyen d’identifier les failles potentielles afin de sécuriser l’échange et le stockage de vos données pour prévenir des fuites sur le web et sur le dark web.
Enfin, la sensibilisation aux cyber-risques en interne est un élément indispensable pour renforcer son niveau de sécurité. Des mauvaises pratiques et la méconnaissance des dangers actuels peuvent provoquer des incidents considérables. Lors d’une formation ou d’un pentest d’ingénierie sociale, vos équipes sont exposées à des menaces réelles adaptées au contexte de votre entreprise. La sensibilisation par la mise en situation facilite l’application des bonnes pratiques et le respect des procédures.