La communauté infosec réalise désormais que la malveillance externe classique n’est qu’une partie d’un plus grand puzzle, incluant la négligence des acteurs internes et des tierces parties. Cela ne signifie pas qu’il faille arrêter de surveiller les menaces externes, la cybercriminalité étant plus que jamais une menace pour les entreprises. Cela signifie simplement qu’il faille regrouper ces menaces dans le cadre d’une stratégie de cybersécurité plus globale.
Les exactions des acteurs du dark web chinois sont un des exemples les plus criants en terme de menace de malveillance. Nous suivons ces derniers depuis pas mal de temps, dans le cadre de la surveillance du dark web pour nos clients. Beaucoup d’idées préconçues existent autour de ces acteurs malveillants, avec son lot d’espionnage industriel, de cyber-armes et ou de soi-disant cyber-dragons. La réalité est légèrement différente.
Le dark web en Chine
La Chine est un pays très vaste. Sur ses 1,4 milliard d’habitants, 750 millions sont connectés à internet. On pourrait imaginer le trafic sur le dark net à peu près aussi significatif. En réalité, les statistiques données par le réseau Tor montrent que l’activité sur le dark net en Chine est relativement faible par rapport à celle aux Etats-Unis et en Russie.
Ce n’est pas dû au manque de hackers, la Chine n’ayant pas à rougir à ce sujet-là. Ces pirates ne font pas qu’espionner les activités militaires et industrielles américaines. Ils volent aussi des données, réalisent des transactions illégales, consomment du porno et tentent de pirater des systèmes informatiques.
L’activité de la Chine sur le dark net est proportionnellement faible car une forte part de ses activités illégales est effectuée dans le clear web (ou web référencé).
Les acteurs malveillants chinois sur le web référencé
Au cours de notre surveillance des activités illégales chinoises, nous avons rencontré de nombreux acteurs malveillants chinois sur le web référencé. Beaucoup des sites fréquentés par ces hackers ressemblent trait pour trait aux sites que l’on voit sur le dark web, à la différence près qu’ils sont accessibles au moyen d’un navigateur standard. La majorité de ces sites peuvent même être accessibles via Baidu, l’équivalent chinois de Google. D’autres peuvent être accessibles via Freebuff, le Reddit chinois.
Plus de la moitié des sites inspectés sont dédiés au partage d’informations pour lancer une attaque informatique – ces informations seraient très utile aux personnes chargées de la protection des entreprises attaquées.
Quelle importance accorder à la sécurité des réseaux internes ? Des éléments de réponse dans le livre blanc produit par CybelAngel afin d’examiner la nature des fuites de données et les mesures qui peuvent être prises pour réduire les risques liés aux parties tierces.
Nous avons trouvé des sites web sur lesquels les pirates peuvent télécharger des logiciels pour récupérer les identifiants sur Linux, et ainsi créer facilement une place de marché dédiée aux pirates souhaitant acheter des identifiants dérobés.
Nous avons aussi trouvé un forum de plus de 250 000 membres où l’on peut avoir accès à des méthodes de piratage, notamment pour les appareils mobiles. Une autre source expliquait aux utilisateurs comment hacker des adresses mails QQ, l’équivalent chinois à Gmail.
Enfin, nous avons trouvé un site permettant aux utilisateurs de publier de nombreux types de contenus illégaux, et notamment les vidéos d’appareils photo volés à des jeunes filles.
Activités illégales sur le web référencé : une contradiction de termes ?
A priori, l’idée d’activités illégales sur le web référencé peut paraître contradictoire. Pourquoi quelqu’un choisirait d’entreprendre des activités illégales sans l’anonymat que lui procure le Dark Net ? D’un côté, l’internet chinois reste difficile à réguler malgré “le Grand Firewall”, principalement à cause de son trafic énorme. Les acteurs malveillants chinois semblent penser qu’il est finalement plus facile de conserver l’anonymat au milieu de la foule. Dans le même temps, il est plus avantageux d’avoir des activités illégales sur le web référencé, où le trafic est plus élevé. Le web référencé constitue un emplacement efficace et avantageux pour les activités illégales de ces acteurs.
Pourquoi est-ce important ?
Notre définition d’une fuite de données ne se limite pas à de l’information exposée suite à une malveillance. Nous nous intéressons aussi aux fuites provenant de négligence, qui, selon notre expérience, représente la majorité des fuites très graves. Et pourtant, tant que les activités illégales resteront une source de fuites – ce qui sera très sûrement le cas – la malveillance aura sa place dans toute stratégie de gestion des cyber-risques au sein d’une entreprise.
Nos investigations sur les activités de la Chine nous montrent que la cyber-criminalité s’est complexifiée, et dans le cas présent allant jusqu’à se répandre dans le web référencé. Les entreprises ne peuvent pas se permettre de négliger les agissements des acteurs malveillants, et ils se doivent d’adapter leurs stratégies de surveillance pour être à jour des changements s’opérant au sein du milieu cyber-criminel.
Après une expérience à l’OTAN en tant qu’experte en stratégie cyber, Apolline Aigueperse a rejoint la start-up parisienne CybelAngel peu après sa création. Il s’agit d’une société spécialisée dans la détection de fuites de données sur des parties cachées d’Internet (Dark Web, Deep Web, Objets connectés etc.). Désormais membre du COMEX et associée, elle est responsable du département Cyber de la société qui compte aujourd’hui environ 80 personnes.