La reprise de compte est une menace sérieuse pour nous tous. Les experts en cybersécurité soulèvent le problème depuis des années, nous avertissant du risque de fuite de nos informations d’identification, ce qui pourrait entraîner un vol d’identité. Il existe désormais des ressources disponibles pour que les utilisateurs vérifient si leurs détails ont été compromis, mais nous savons également qu’au moment où votre nom d’utilisateur et votre mot de passe ont été divulgués, il est probable que la communauté cybercriminelle y ait accès depuis plus de six mois.
Beaucoup d’efforts sont consacrés à la prévention des violations, mais nous devons toujours supposer qu’une violation est possible. La question est de savoir comment les entreprises peuvent-elles détecter ces violations, identifier les données et les protéger avant qu’elles ne soient divulguées?
Une énorme quantité de données est extraite par le biais de la surveillance du Web sombre, et il existe de nombreux outils automatisés gratuits et commerciaux pour cela comme ligne de défense utile. Les types les plus courants sont les scanners qui recherchent en ligne des listes de données volées «vidées». Ces données volées peuvent être quelque chose de précieux pour une personne ou une entité, ce qui signifie qu’il pourrait potentiellement y avoir beaucoup de données à rechercher.
A propos de l’auteur
Tom Gaffney est consultant principal chez F-Secure
Le plus évidemment pour les consommateurs, cela concerne les informations d’identification des utilisateurs provenant de comptes compromis, mais cela pourrait également inclure des numéros de sécurité sociale ou d’assurance nationale, des détails de passeport ou des données financières. Probablement le plus connu des outils grand public disponibles pour que les gens voient leur exposition est Have I Been Pwned?, Qui permet aux utilisateurs individuels de rechercher leurs détails. Plus récemment, nous avons assisté à des développements intéressants d’outils axés non seulement sur les données des consommateurs, mais également sur des informations spécifiques à l’entreprise allant des documents autonomes à la propriété intellectuelle. Cela a évidemment de la valeur pour toute organisation ou entreprise préoccupée par son exposition aux cyberattaques.
Le défi pour tous les outils de surveillance du Dark Web est de savoir comment gérer l’échelle, la pertinence et la vitesse des informations. En ce qui concerne l’échelle, il est difficile d’estimer la taille du Web sombre en tant que sous-ensemble du Web profond plus large, en particulier lorsque vous considérez que le Web profond est plusieurs centaines de fois plus grand que l’Internet standard auquel nous accédons chaque jour. Cela signifie que les outils d’analyse doivent avoir la capacité d’identifier et de se concentrer sur les emplacements du Dark Web. C’est là que la pertinence et la vitesse d’identification des données s’appliquent, car une grande partie de celles-ci n’est déversée dans des forums Web sombres qu’une fois que les criminels en ont eu recours. Plusieurs vidages des mêmes données sont également souvent effectués sur différents forums et sources; d’après notre expérience, c’est le cas pour 70% des données que nous trouvons.
Pour répondre au besoin de vitesse, les entreprises utilisent des processus plus avancés et un cyber-personnel qualifié, car des techniques plus sophistiquées sont nécessaires pour trouver des données de violation exploitables. Une méthode consiste à devenir une partie active de la communauté du Dark Web. Cela ne signifie pas devenir un criminel ou un hacker, mais pour les identifier et les arrêter, nous devons voir les choses du point de vue de l’attaquant, identifier les groupes de hackers et comprendre comment le processus fonctionne. Par exemple, un pirate informatique peut avoir les compétences complexes nécessaires pour exposer les systèmes de l’entreprise et accéder aux informations d’identification, mais peut alors être confronté à une base de données cryptée de mots de passe. À moins qu’ils ne puissent déchiffrer ces données, ce qu’ils ont est inutile. Alors, que font-ils avec ces données? Vends le? Le mien? Ils n’ont pas nécessairement toutes ces compétences et se tourneront donc vers le dark web pour trouver des personnes proposant des services de décryptage et de monétisation.
Les chercheurs – de vrais humains – font partie de cette communauté, à travers un réseau de pseudo identités (sockpuppets) et les analystes surveillent l’activité des hackers dans certains endroits connus pour se spécialiser dans les données volées. Pour les entreprises de sécurité, cela signifie aller profondément dans la communauté pour trouver des personnes, des lieux et des méthodes pour identifier les malfaiteurs, ce qui signifie que nous pouvons nous engager avec eux avant que les données ne soient mises à disposition sous une forme non cryptée sur le dark web. Cela réduit la partie détection du processus à quelques semaines, au lieu de six mois, ce qui augmente la probabilité que les données puissent être identifiées avant d’être utilisables. Cela signifie que les entreprises concernées par une prise de contrôle par un pirate informatique peuvent gérer de manière proactive les comptes des utilisateurs finaux et limiter le risque de fraude ou de vol d’identité.
La prise de contrôle de compte continue d’être une menace très réelle, mais l’hygiène de base en matière de cybersécurité peut aider à atténuer cela en premier lieu. Le dénominateur commun à tout compte en ligne est qu’ils ont tous besoin d’un mot de passe pour y accéder. Alors que la majorité des gens savent qu’ils devraient utiliser des mots de passe et des phrases forts et uniques pour chaque compte, il peut être difficile de se souvenir des informations d’identification qu’ils doivent utiliser. C’est pourquoi nous, et tous nos collègues du secteur, recommandons l’utilisation d’un gestionnaire de mots de passe. Pourquoi rendre la vie plus compliquée quand vous n’êtes pas obligé?
