L’intelligence des menaces passe par le Dark Net. Près d’une dizaine de chercheurs de Trend Micro y scrutent en permanence ce qui s’y passe. Explications de Olivier Bertrand. 

° Beaucoup d’intérêt autour du Dark Net, souvent présenté comme l’empire du mal. Quelle en est l’origine ?

Olivier Bertrand (*) : «Le terme Dark Net a été utilisé pour la première fois par quatre ingénieurs de Microsoft dans un article de 2003. A l’époque, il désignait les réseaux de téléchargement illégal; aujourd’hui, il désigne tout réseau parallèle crypté ou nécessitant un protocole très spécifique afin de s’y connecter.

«Parfois, on confond Deep Web et Dark Net. Le premier forme un ensemble de pages Internet non indexées par les moteurs de recherche classiques; les pages non répertoriées peuvent correspondre à des formats particuliers difficiles à intégrer aux fonctions des moteurs de recherche ou à des sites volontairement cachés, mais qui ne sont pas forcément illégaux. Le second, le Dark Net est la partie du Deep Web où se déroulent des activités illégales.»

° Comment fonctionne le Dark Net ?

«Le Dark Net fonctionne comme un lieu de rencontre entre offreurs et clients, autrement dit ceux qui veulent acheter des biens ou services illégaux, dont la monnaie principale est le Bitcoin… L’organisation du cyber-crime est similaire à celle d’une entreprise traditionnelle, plusieurs métiers sont nécessaires et complémentaires : les développeurs conçoivent les logiciels malveillants, mais ils ne sont pas pour autant ceux qui vont les exploiter. Souvent, au sein de l’underground, les forums, places de marché et autres autoshops nécessitent pour y accéder une adhésion -conditionnée par un score de réputation. Comme dans un gang mafieux, il faut montrer patte blanche grâce à une expérience reconnue par le groupe du forum concerné. Une fois admis, les membres intègrent un classement toujours en fonction de leurs exploits et de leur notoriété.

«Principal outil pour accéder au Dark Net, Tor. Ce réseau informatique superposé et décentralisé -développé avec les fonds de la Navy dans les années 90- devait servir au départ de plate-forme de communication cryptée pour les agents américains. Tor, aujourd’hui, n’est plus propriété de la Navy; son développement est géré par une ONG et le public qui le fréquente est très divers, comptant sans doute aussi nombre de représentants des agences de sécurité et de renseignements de différents pays.»

° Le Dark Net, l’endroit du pire ?

«Oui et non. Si le Dark Net donne asile à des activités parfaitement illégales, du trafic de drogue au trafic d’armes en passant par la pornographie illégale et la pédopornographie, il apparait aussi comme un endroit de liberté pour les lanceurs d’alertes et autres dissidents. Bref, l’anonymat et les protocoles d’accès du Dark Net ne sont pas négligeables.

«Pour nous, le Dark Net est important. Près d’une dizaine de collaborateurs de Trend Micro le scrutent en permanence. Ils ont pour mission de comprendre ce qui s’y passe, mieux appréhender les méthodes utilisées pour rester furtif. C’est un moyen d’anticiper la cybercriminalité de demain, d’imaginer par exemple comment une attaque Zero-Day massive pourrait être lancée et mettre les marchés financiers à genoux…»

° A vous entendre, l’intelligence de la menace passe par le Dark Net ? La connaissance du pire pour anticiper ?«Effectivement. Se défendre efficacement demande une bonne compréhension du fonctionnement des attaques ciblées, de leurs différentes étapes, ainsi que des outils et techniques utilisés. Cette connaissance est le point de départ d’une protection efficace contre les cybercriminels. Après tout, comment une organisation peut-elle garantir la sécurité de ses informations et de ses actifs les plus critiques si elle ne sait pas à quel type d’intrusion elle doit être spécifiquement protégée?

«C’est là que l’intelligence de la menace entre en jeu, en aidant à identifier et à mieux faire connaître les dernières menaces en matière de sécurité des informations et les meilleurs moyens de se protéger contre ces approches d’attaque. Gartner la définit comme ‘une connaissance fondée sur des preuves concernant une menace existante ou émergente, ou un danger pour des actifs, qui peut être utilisée pour éclairer les décisions relatives à la réaction du sujet à cette menace ou ce danger’. Les réponses les plus efficaces aux menaces émergentes consistent à étudier ces éléments dans leur environnement d’origine.»

° Concrètement, comment cela se passe ?

«La base des informations sur les menaces commence par la collecte d’échantillons et d’identificateurs de logiciels malveillants uniques, y compris ceux liés à une même famille de programmes malveillants. Ces exemples sont ensuite utilisés pour établir des bases de données de renseignement robustes, qui peuvent être utilisées pour identifier les activités et les processus associés à des attaques spécifiques, ainsi que pour documenter les meilleures stratégies de protection.

«Plusieurs centaines de milliers nouveaux échantillons de logiciels malveillants sont découverts chaque jour. Ainsi, les pirates informatiques mettent à jour et améliorent en permanence leurs approches d’attaque et leurs styles d’intrusion, s’appuyant sur les violations réussies du passé et tirant des enseignements des tentatives infructueuses.

«Cela rend l’intelligence des menaces plus importante que jamais : une base de données robuste peut repérer des échantillons connus et aider à établir des parallèles entre les styles d’attaque identifiés et les menaces émergentes. De plus, le rythme auquel de nouvelles menaces se créent signifie que la participation aux informations sur les menaces est une activité importante à tous les niveaux. Plus les entreprises et les utilisateurs individuels sont informés des menaces actuelles, mieux ils peuvent être préparés à les protéger.»

(*) Olivier Betrand, Presales Engineer, Trend Micro Belgium-Luxembourg