«C’est une course», dit Alexandre Dulaunoy à propos de la relation «chat et souris» entre les criminels et les spécialistes de la cybersécurité. (Photo: Andrés Lejona/Archives Maison Moderne)

«C’est une course», dit Alexandre Dulaunoy à propos de la relation «chat et souris» entre les criminels et les spécialistes de la cybersécurité. (Photo: Andrés Lejona/Archives Maison Moderne)

Le CIRCL est une initiative luxembourgeoise qui développe des outils open source utilisés dans le monde entier pour la détection des cybermenaces. Delano s’est entretenu avec Alexandre Dulaunoy  au sujet des darknets, des ransomwares et de la traque des hackers.

La criminalité est de plus en plus digitale. Selon un rapport d’Europol de 2021, plus de 400 millions de dollars ont été versés aux auteurs de ransomwares en 2020, soit une augmentation de 300% par rapport à l’année précédente. Les ransomwares (aussi appelés «rançongiciels») fonctionnent en gelant les actifs de votre ordinateur jusqu’à ce qu’une certaine somme – une rançon – soit payée.

L’utilisation néfaste des deepfakes, c’est-à-dire des technologies d’émulation de voix et d’images, est également en hausse: entre autres activités illégales, les acteurs de la menace peuvent utiliser de fausses vidéos pour se faire passer pour des personnes de confiance et demander de l’argent ou des informations à des victimes potentielles.

Pour discuter et coordonner les assauts, les auteurs s’appuient sur le dark web – un terme générique pour les réseaux superposés qui utilisent des logiciels ou des configurations spécifiques pour se connecter à internet, ce qui signifie que les utilisateurs peuvent mener leurs activités de manière anonyme ou intraçable. Les plateformes populaires du dark web, connues sous le nom de darknets, sont par exemple Tor ou I2P.

Toutes les activités sur les darknets ne sont pas illégales. Parmi les utilisations légitimes, citons les communications militaires ou les échanges d’informations entre journalistes d’investigation et informateurs en danger.

Néanmoins, Alexandre Dulaunoy, chef du Computer Incident Response Center Luxembourg (CIRCL), estime qu’environ 70% de Tor est utilisé pour des transactions de «zone grise».

Surveiller les acteurs de la menace

Alexandre Dulaunoy explique que le CIRCL scanne et surveille les darknets. Comment? Un outil open source appelé AIL Project, composé de modules qui filtrent les données non structurées, a notamment été développé dans ce but. «Cet outil a évolué au fil du temps pour suivre les tendances concernant le type d’informations partagées par les assaillants», explique-t-il.

Parmi les cas surveillés par le CIRCL, on trouve principalement des criminels utilisant des ransomwares, mais Dulaunoy et son équipe recherchent également des méthodes de phishing et d’autres cybercriminels. Ils examinent par exemple les corrélations de coûts: si deux sites qui vendent des données de connexion utilisent les mêmes adresses bitcoin pour les paiements, il s’agit probablement du même groupe. Cette corrélation permet de se faire une meilleure idée de quel groupe il s’agit, où il se trouve, ce qu’il est capable de faire, etc.

Les forums sont un autre domaine où les activités criminelles sont monnaie courante. «Les forums sont un marché pour de nombreuses organisations», explique Alexandre Dulaunoy. «Certaines [de ces organisations] sont évidemment grises… et d’autres sont vraiment, vraiment sombres.»

Obtenir l’accès aux forums est la partie la plus difficile. «De toute évidence, les hackers font tout leur possible pour éviter d’être surveillés», explique Dulaunoy. Le CIRCL utilise des techniques comme les comptes marionnettes pour tenter d’obtenir un accès, tandis que les opérateurs de forums ont leurs propres défenses.

«Ce n’est un secret pour personne que c’est une course», déclare Alexandre Dulaunoy à propos de la concurrence entre les criminels et ceux qui cherchent à les détecter. «Les gens créent de nouveaux logiciels, de nouveaux outils. Ces innovations percolent partout, aussi bien chez les attaquants que chez les défenseurs.»

Cependant, le fait que les défenseurs soient embourbés dans la réglementation est un problème. «Les assaillants peuvent facilement innover sans se soucier de la réglementation. Mais si vous regardez l’aspect défenseur… ils ont un ensemble de réglementations [à respecter] qui ne les aide pas vraiment à se défendre.»

Le Luxembourg joue dans la cour des grands

«Le Luxembourg produit des logiciels libres qui sont utilisés par de nombreuses organisations dans le monde entier», conclut Alexandre Dulaunoy. Outre le projet AIL, il existe également le MISP, une plateforme de partage et de renseignement sur les menaces. En janvier, l’Otan a commencé à utiliser cette plateforme pour communiquer avec l’Ukraine au sujet des cybermenaces.

Alexandre Dulaunoy s’est exprimé lors de la Journée de formation à la sécurité de l’information 2022, organisée par l’Université du Luxembourg, le 20 mai.

Cet article a été rédigé par  en anglais, traduit et édité par Paperjam en français.

Articles Associés