Un cyberméchant du darkweb.

La viralité de la peur à l’ère du numérique : une aubaine commerciale ?

De nombreuses activités lucratives se développent jouant sur la prétendue capacité technique à protéger les organisations de cyberméchants sévissant dans le darkweb. Ces initiatives posent de nombreux problèmes plus qu’elles n’en résolvent.

Le titre de ce billet est une question rhétorique, bien sûr.

Bien sûr.

Je suis consciente que ma propension à formuler des critiques documentées et un tantinet structurées de tendances commerciales ne me crée pas que des ami-es mais… alea jacta est. La stratégie business autour du leitmotiv “LE DARKWEB EST DANGEREUX, ON VA TOUS MOURIR” est aussi digne de confiance que “l’eau mouille, on va tous se noyer à la première pluie” pour vendre un parapluie à 5 euros qui va se casser au premier coup de vent.

Sur le darkweb, les cannibales hackeurs tueurs à gages rodent…

La réponse à l’épouvantail darkweb est, inévitablement : comme dans la vie de tous les jours, il y a du bon et du mauvais. Dans mon dernier bouquin, je passe 100+ pages à expliquer exactement ce qu’il y a dans ce darkweb en question (un parmi d’autres en réalité), son fonctionnement, ses graphes sociaux, etc. En me disant que la peur est virale à l’ère du numérique mais en éduquant les autres, ça ira.

Je suis allée en expliquer les subtilités au WSIS 2017 (le Sommet mondial pour la société de l’information, organisé par Unesco et l’Union Internationale des Télécommunications) ; dire que “réguler le darkweb” est une mauvaise idée, que des gens ont essayé et ils ont eu des problèmes.

En résumé, mon propos était que les pouvoirs publics font déjà leur travail, le plus souvent consciencieusement, même si on sait qu’il y a eu des dérapages. Comme à chaque fois qu’il y a une forme de délinquance ou de criminalité caractérisée, les forces de l’ordre s’en saisissent et adaptent leurs approches. L’espace connecté, qu’il soit “dark” ou pas, est un espace d’activités humaines parmi d’autres et non pas un espace extra-ordinaire. Le définir comme un espace sortant de l’ordinaire est justement problématique parce que l’impression est celle d’un appel d’air, donc de non-droit. Or, il y a des choses telles que le Code de procédure pénale qui semble opérantes, merci bien.

Puisqu’on parle des pouvoirs publics, rappelons qu’il y a beaucoup d’efforts à faire niveau éducation aux enjeux du numérique. Je radote, mais : ce n’est pas parce que c’est “sur Internet”, comme on dit, que c’est forcément malfaisant. Mais c’est comme toute chose : il faut de la patience, des efforts et un souhait de comprendre et d’écouter.

Je l’ai martelé chez @framasoft l’autre jour :

Jef Mathiot, aka @TouitTouit l’a martelé il y a des mois chez Reflets :

Xavier de la Porte en a fait une chronique, comme à son habitude, sensible et en finesse, aussi :

Mais que nenni, rien n’y fait. De nombreuses startups et entreprises de sécurité informatique jouent sur la viralité de la peur et se greffent sur le sujet en martelant moult fantasmes sans aucun fondement. Le souci est qu’à force de vendre des solutions à des problèmes qui n’existent pas, on amplifie et laisse se développer les problèmes qui existent.

Instrumentaliser la peur : une fausse bonne idée

Prenons le très récent entretien du directeur régional France & BeNeLux de Radware chez Zataz pour illustrer l’instrumentalisation de la peur pour le profit. Faisons donc une lecture critique (à défaut que l’écriture le soit) de ce PR de la peur. Début :

Capture. Surlignage par l’auteure.

Qu’est-ce que “le blackmarket” ? Un supermarché dont les murs sont noirs ? Ou bien Radware devrait remettre leur veille au goût du jour et nous rejoindre au XXI siècle : des RAT (des outils d’administration de machines à distance) sont disponibles à 3 mots-clé de distance sur Google, des ransomwares sont proposés en spam sur Jabber, du phishing à grande échelle toutes les heures, du typosquatting très lucratif (voir l’article de @x0rz), etc. Alors, bon…

Voici donc venu le moment où tombe le couperet :

Capture. Surlignage par l’auteure.

Il y aurait “surtout de l’illégal”… Ah bon ? Plutôt que de dédramatiser et de se positionner en expert qui sait de quoi il parle, la personne sort des assertions péremptoires dignes des feuilles de chou les plus criardes. C’est dommage de décrédibiliser son activité de cette façon.

Alors, remettons les pendules à l’heure : il est impossible — repeat after me — im-po-ssi-ble de connaître l’exact nombre d’ .onion existants et encore moins de s’accorder sur une classification unitaire des activités qui y prennent place. Encore moins peut-on comparer à ce même type d’activités sur le “clearweb”.

Oui, il est plus ou moins possible de cartographier “le darkweb” (et ça dépend de quel darkweb on parle déjà). Si on prend le darkweb onionland dont il semble être question là, des cartographies existent déjà. Leurs résultats montrent surtout la complexité de cet écosystème. Elle est d’une part technique : les sites sont très dynamiques, ils peuvent avoir une durée de vie de quelques heures, être dupliqués et/ou clonés pour servir différents buts, etc. Et d’autre part, il faut qualifier les services en question.

C’est là où ça commence à devenir compliqué : la qualification varie en fonction de celui qui décide des critères. Oui, il y a beaucoup d’activité potentiellement illicite. Mais qu’est-ce qu’illicite ? Puisque le sujet est la cyberdélinquance et qu’on a évoqué les RAT plus haut : un RAT n’est pas un logiciel malveillant (coucou, les drones en ont, c’est ainsi que vous pouvez les piloter en fait, même qu’il y en a qui en mettent dans les sextoys). Alors, oui, il y a des RAT en vente sur des marchés du darkweb onionland et y en a sur le “clearweb” — so what? Le logiciel devient illicite juste en raison de son site d’achat ? Si on change d’exemple (pensez à l’achat d’un médicament que, faut de couverture santé, d’aucuns ne peuvent se permettre d’acheter en pharmacie), on touche rapidement à l’éthique aussi. La question est donc très loin de la définition binaire que d’aucuns souhaiteraient y attribuer.

Ensuite, il y a plein d’autres considérations qui sont totalement ignorées dans les analyses que l’on a vues paraître jusque-là. Par exemple, si plusieurs sites web sont créés et opérés par un même groupe criminel, devrait-on dire qu’on a une proportion de sites dont l’activité est illicite ou pas vu qu’ils sont gérés par le même acteur ? En termes de qualification et de mesure de l’activité criminelle et criminogène, ce genre de distinction a son importance.

Malheureusement, personne ne parle de tous les aspects légaux. Il y a des communautés entières de passionnés, j’y ai vu des forums dédiés à de la poésie, des clubs de lectures, des archives sur certains compositeurs célèbres qui feraient pâlir n’importe quelle bibliothèque, etc. Il y a également de nombreux dissidents politiques qui s’y retrouvent pour échanger des informations notamment quand les moyens de communication classiques sont lourdement surveillés. Bref, pour beaucoup de gens, il s’agit surtout de trouver un espace tranquille, où on ne se fait pas agresser verbalement par toutes sortes de gens malpolis, etc. C’est une recherche d’espace rassurant où on peut parler librement et sans inquiétude de choses qui nous importent.

Lien direct Slideshare. Téléchargement et consultation via GitHub.

Mais bon, revenons à notre entretien avec le directeur France & BeNeLux de Radware. On vient de clarifier les problèmes inhérents au fantasme “le darkweb, c’est le Far West numérique”. La suite de l’entretien est tout aussi folklo :

Un à un : dans les trucs mégadangereux et super illégaux qu’on trouve sur le darkweb, “des scanners de port”. Des. Scanneurs. De. Ports.

Pour ceux et celles du fond de la salle, je rappelle que toutes les distributions Linux ont presque-nativement un outil pour ça : nmap. (Il n’est pas inclus par défaut dans toutes les distribs, mais je pense que vous savez comment installer un nouveau paquet.) Alors, tous les adminsys et DevOps Linux, c’est tous des cybercriminels méga trop ouf parce qu’ils ont du nmap sur leurs machines.

Ensuite, super tranche de rire : autre grand danger que l’on trouve sur le “darkmarket” est “LOIC (Low Orbiter Ion Collider), un outil qui permet de lancer des attaques de déni-de-service”.

Dude, you are so 2011. On s’arrache les cheveux sur du Mirai, le monsieur nous parle de LOIC.

L’histoire ne dit jamais si les résultats espérés par les clients de ce genre d’entreprises sont atteints. Le produit principal vendu semble être un système d’alerte mais la communication entourant ce genre d’offres ignore totalement tout le reste. En effet, ce qui importe est le nécessaire travail d’investigation et d’analyse une fois que quelque chose est détecté. Est-ce qu’il est fait, comment, par qui, etc. sont les questions à se poser.

Les cyberfantasmes opportunistes, un problème pour nous tous

Pourquoi prendre du temps à décortiquer les dires des uns et des autres ? Parce que ces personnes et les entreprises qu’elles représentent font partie de l’écosystème et sont des partenaires de confiance pour de nombreuses organisations en qui nous avons confiance. Si demain ma banque est victime d’une fuite de données, c’est à ces boîtes-là qu’on demandera de ramasser les pots cassés. Alors, sincèrement, j’ai un peu peur. La communication sortante que l’on croise le plus souvent indique une ignorance profonde des sujets. Alors, comment faire confiance en les compétences de ces entreprises de sécurité quand ce que j’entends est un niveau de culture générale du domaine de prédilection qui est inférieur au mien ?

Mais pire encore : comment établir si mes données sont comprises dans un jeu de données fuité/volé ? En achetant le jeu de données en question… En voilà un modèle économique et une activité un chouilla problématiques : d’une part, on nourrit l’activité ; d’autre part, on commet une potentielle infraction en acquérant des données volées contre rémunération. Je ne suis pas juriste, donc c’est à prendre avec des pincettes. Mon propos est que ce qu’on voit dans beaucoup de jeux de données vendus, c’est un mélange de sources. Alors, certes, vous allez acheter le jeu pour vérifier la présence/absence de données de votre client ; mais après ? Vous en faites quoi ? Comment gérez-vous les données issues d’autres organisations ? Une fois votre intervention terminée, vous faites quoi avec ce jeu de données ? Vous le gardez ?

Ensuite, je suis curieuse de savoir comment ces entreprises contribuent à améliorer la sécurité globale de leurs clients — if at all. Ce que je veux dire est qu’il ne suffit pas juste de dire “ouais, on vous a hacké, les identifiants de tous vos clients carte bleue sont en vente sur ce forum de cyberméchants”. Quelle communication en interne au sein de l’entreprise ? Et quelle communication en externe ? Je suis cliente, je reçois un mail me disant que je dois changer mon mot de passe… et c’est tout. Au mieux. C’est anxiogène pour les clients, je passe sur la chasse aux sorcières en interne.

Mais imaginons que vous allez plus loin : vous crawlez le darkweb, achetant des données provenant de fuites et compromissions. Votre client trouve que c’est une super façon de vérifier que ses clients n’utilisent pas les mêmes identifiants ailleurs. Parce que, par effet de réseau, si j’utilise les mêmes identifiants pour Tumblr et pour ma banque, on va au devant de quelques difficultés. Donc, vous vous rendez compte que les identifiants des clients de votre client sont compromis sur des services tiers. Vous faites quoi ? Vous en informez qui ? Les personnes à qui appartiennent les comptes compromis ? Mais… si je reçois un mail de ma banque me disant que mes identifiants sur un service tiers non-nommé sont compromis, ce sera compliqué. Et d’où êtes-vous au courant déjà ? Or, ne pas me le dire pose d’autres problèmes.

Le pitit élément amusant dans ce scénario (autre que le RGDP/GDPR, j’entends) est technique : alors que les logins sont en clair (les adresses mail, quoi), les mots de passe sont généralement hashés (on va dire chiffrés, en tout cas rendus illisibles par un humain). Cela signifie que — idéalement, hein — votre client (une banque dans notre exemple) ne conserve pas les mots de passe de ses clients en clair, mais hashés. La partie amusante se cache dans la diversité d’approches utilisées pour hasher. Votre client a la sienne, mais elle diffère de celle de Facebook qui diffère de celle de LinkedIn, etc.

Du coup, pour pouvoir comparer des trucs comparables, vous devez user de quelques prouesses techniques prenant des largesses avec l’éthique. J’aime à imaginer donc la situation où votre super entreprise de la peur explique à, disons, la Société Générale qu’il faut compromettre un élément technique de la protection des clients LinkedIn pour pouvoir s’assurer que les clients de la banque n’ont pas été compromis par la fuite de données LinkedIn.

Bien sûr, on peut trouver tout un tas de façons techniques de contourner ce menu (sic) problème. Mais ce n’est pas le propos. Ce que j’entends est que ce sont là, les vrais trucs qui méritent discussion. Pas les cyberfantasmes dignes de série télé à petit budget.

En fin de compte, ce que l’on ne doit pas perdre de vue, c’est qu’utiliser Internet fait partie de notre quotidien au même titre que voir des amis et manger. Ainsi, les activités qui s’y développent sont un reflet de notre réalité hors Internet. Il y a donc du bon et du moins bon. Si l’on veut réguler le médium en lieu et place de l’activité véritablement problématique (qualifiable pénalement quoi), on ne fera que déplacer le problème sur un autre médium. Et si on continue à perdre notre temps à dramatiser des pseudo-problèmes, on sera très vite dépassés par les problèmes réels.


Merci à Jef Mathiot et à Stéphane Bortzmeyer pour la relecture et les commentaires.