Podcast: Play in new window | Download (Duration: 11:08 — 7.2MB)
Subscribe: Apple Podcasts | Spotify | Android | | More
Flare est un éditeur de logiciels québécois qui s’est spécialisé dans le balayage du Dark Web, qu’on n’hésite pas à appeler Web obscur ou « côté obscur de la toile » au Québec, et ils ont bien raison. Sur ce Dark Web, originellement conçu pour protéger l’anonymat des utilisateurs, et largement dévoyé par les cybercriminels, on trouve absolument tout. Et notamment beaucoup de mots de passe, ce qui n’est pas sans effrayer les entreprises. J’ai interrogé Éric Boivin, Technical Platform Specialist chez Flare à Ready for IT à Monaco afin d’en savoir plus.
Le Dark Web : ce côté obscur de la toile
Sur le Dark Web, il semblerait qu’il y ait beaucoup de mots de passe
Les mots de passe sont une des nombreuses choses qu’on peut trouver sur le Dark Web. Celui-ci est une plateforme utilisée pour faire commerce de marchandises illicites, en évitant les détections. Les personnes malveillantes l’utilisent souvent en toute impunité, grâce à l’anonymat qu’il procure et qui n’existe pas sur le Web.
Le commerce de mots de passe est l’une de ces entreprises malveillantes.
D’où vient ce Dark Web ?
Le Dark Web a été créé initialement dans un but de protection de la vie privée, pour que les personnes puissent faire des échanges sans que des autorités puissent décortiquer les messages ou analyser les conversations. Mais avec le temps, il y a eu une perversion de son usage, où certains se sont dit : « Puisque c’est anonyme, je pourrais m’en servir pour faire du commerce. »
Plus de 1,7 milliard de mots de passe se promèneraient dans la nature !
Chaque jour, c’est plus d’un million de nouveaux mots de passe que l’on retrouve. Ce sont les mots de passe de monsieur et madame Tout-le-Monde. La quantité de mots de passe qui sont distribués est vraiment impressionnante. Notre mission est de collecter ces informations.
Comment ces mots de passe sont-ils volés ?
La principale méthode que nous observons fait appel à des malwares dont je réclame la paternité de la traduction en français : c’est ce que j’appelle des cléptogiciels, ou « infostealers » en anglais. Les cléptogiciels sont intégrés dans des logiciels “craqués”. Quand quelqu’un décide d’installer la version illégale d’un logiciel payant, il y a de fortes chances pour que le logiciel en question vienne lui voler ses informations.
Ainsi, c’est une quantité massive d’informations qui est collectée à l’insu des utilisateurs, sans même qu’ils sachent qu’ils ont été infectés, car souvent, les cléptogiciels ne s’installent pas sur la machine, ils disparaissent tout simplement.
Des plateformes comme YouTube servent beaucoup à faire la promotion de ces logiciels illégaux et dangereux.
Quelqu’un cherche, par exemple, ChatGPT pour Mac, qui n’existe pas vraiment. Cette personne va donc sur YouTube, en tapant dans la barre de recherche : « Comment avoir accès à ChatGPT gratuitement sur Mac ? » Et un Youtubeur aura la solution qu’il recherche. Sous la vidéo qu’il aura postée, il y aura un lien à activer et c’est là que le logiciel malveillant s’installera sur la machine de la victime.
Votre solution permet de scanner le Dark Web pour le compte des entreprises
Flare copie l’intégralité de l’écosystème cybercriminel issu principalement du Dark Web. Nous en gardons une copie conforme dans nos bases de données afin de pouvoir prévenir nos clients lorsque nous interceptons des mentions de leur entreprise. Lorsque, par exemple, le mot de passe d’un employé se fait déceler.
Les entreprises nous fournissent les noms de domaine, les systèmes qu’ils utilisent, les URL, ou parfois, tout simplement, le format des adresses email de l’entreprise (ex.: nom.prenom@domaine.com). Nous sommes donc capables de détecter ces informations et de prévenir les clients par la suite.
Il s’agit d’une utilisation vertueuse de l’IA
En effet, l’utilisation de l’intelligence artificielle sert à trouver du sens dans tout ce bruit. Dans une journée normale, Flare va collecter plus de 10 millions de messages provenant du Dark Web. On parle de bottes de foin absolument phénoménales. Si l’on veut réussir à trouver, dans cette masse de données, les bribes d’informations les plus importantes, nous n’avons pas le choix. Nous devons utiliser l’intelligence artificielle afin de faire le tri.
Que fait-on de ces mots de passe qui sont à vendre sur le Dark Web ?
Certains groupes vont concevoir des logiciels comme Raccoon, qui est bien connu, Vidar ou Luma. Ces groupes trouvent des affiliés, des personnes qui vont s’emparer du logiciel et qui, en échange de redevances, vont en assurer la distribution. Une fois cette distribution de ces « infostealers » effectuée, il y aura échange des résultats de ces infections sur des plateformes, principalement par Telegram. Il y aura même des options d’abonnement.
Ainsi, les cybercriminels s’inscrivent à un service afin de recevoir les « infostealers » les plus récents. De nombreux cléptogiciels existent et des nouveaux apparaissent constamment. Nous sommes dans une course incessante qui vise à déceler les nouvelles sources qui émergent sur le marchéLa notion même de marché B2B ou B2C est au cœur de la démarche marketing. Un marché est la rencontre d’une offre et d’une demande.
Comment mettre un peu d’ordre dans tout ce désordre ?
C’est très difficile à faire, mais les autorités commencent à être au courant de la situation. Même les éditeurs d’antivirus, de solutions d’EDR (Endpoint Détection and Response) par exemple, commencent à se soucier des infostealers, alors qu’auparavant, ils se concentraient sur les autres types de malwares.
C’est un bon début. Nous avons même assisté à des fermetures de groupes. Raccoon, que j’ai mentionné tout à l’heure, a été fermé. Redline également. Nous coopérons avec les autorités autant que possible, en partageant les informations que nous trouvons, afin d’aider au démantèlement de ces groupes.
Toutefois, avec le Dark Web, c’est comme l’Hydre de l’Erne, quand on lui coupe une tête, il y en a dix autres qui repoussent.
Mais il y a de l’innovationL’innovation va de la compréhension (intuitive ou non) du comportement de l’acheteur à la capacité d’adaptation à l’environnement. Les mots de passe, par exemple, sont en voie d’extinction. L’authentification à double facteur (2FA) se met en place. On y ajoute de nouveaux mécanismes afin d’éviter les mots de passe du type 12345678. L’innovation vise à réduire la dépendance à la mémoire humaine pour faire plus confiance à des systèmes plus robustes de gestion des identités.
Pourtant, certains de ces cléptogiciels contournent les MFA…
Absolument. Les cléptogiciels sont capables de capter les cookies de session. Prenons un site WebLe site web B2B est la vitrine digitale de votre entreprise. C’est le moyen le plus simple et efficace de présenter les produits et services de votre entreprise à vos futurs clients., qui pour des raisons d’expérience utilisateur, ne demande pas systématiquement à l’utilisateur de se connecter avec son mot de passe. Dans ce cas, les cléptogiciels vont aspirer les cookies de session, ainsi que tous les détails de l’ordinateur de la cible.
Ensuite, l’attaquant n’a qu’à répliquer la session de l’utilisateur, se faire passer pour lui, et usurper son identité sans même avoir à fournir un mot de passe. La protection des sessions fait donc aussi partie des dispositifs à mettre en place, au-delà du mot de passe.
Vous venez du Canada, pourquoi vous intéressez-vous à l’Europe ?
L’Europe est intéressante pour nous parce que dans la situation géopolitique actuelle, nous devons nous tourner vers d’autres marchés. La France est un marché très intéressant pour nous. Certes, il y a des questions spécifiques ici, comme la souveraineté des données utilisées par l’intelligence artificielle.
Nous devons nous aligner sur les besoins locaux et bien comprendre la législation européenne. Notre objectif est de continuer à évoluer sur le marché et faire en sorte que Flare soit présent partout dans le monde.