Pour stopper les criminels, il faut parfois infiltrer profondément leur réseau. En cyber, nul besoin de mettre sa vie en jeu. Andréanne Bergeron et Olivier Bilodeau, tous deux chercheurs canadiens chez GoSecure, ont tout simplement déployé des serveurs sur le web, avec des contrôles à distance, pour piéger les pirates. Ils décrivent le résultat de leur espionnage dans un billet de blog publié ce 9 août 2023.
On désigne ces techniques par le terme « honeypot » (pot de miel, en français). Les cybercriminels pensent que le serveur est sans danger et s’en servent pour mener des activités malveillantes, sans savoir que tous leurs faits et gestes sont espionnés. « C’est comme une caméra de surveillance, car nous voyons tout », a déclaré Andréanne Bergeron, titulaire d’un doctorat en criminologie de l’Université de Montréal au média américain TechCrunch.
Grâce à ces honeypot, les chercheurs ont pu enregistrer 190 millions d’événements et 100 heures de vidéos de pirates. À partir de leurs résultats, ils ont rangé les types de pirates informatiques en différentes classes de « combattants », comme dans le jeu de rôle Donjons et Dragons.
Les différentes classes de cybercriminels
En toute logique, la première classe est celle du « ranger », l’éclaireur, celui qui explore pour préparer l’attaque. Ces hackers entrent discrètement dans le système et ne modifient rien à l’intérieur. Quelques mots de passes sont dérobés de temps à autre. « Notre hypothèse est qu’ils évaluent le système compromis afin qu’un autre profil d’attaquant puisse y revenir plus tard », indiquent les chercheurs dans leur rapport.
Vient ensuite le « barbare ». Ce dernier utilise un ordinateur déjà corrompu pour pénétrer en force sur d’autres postes en s’appuyant sur des listes de noms d’utilisateurs et de mots de passe pour prendre la main sur des comptes.
Le « magicien » se sert d’un serveur pour cacher ses traces et l’origine réelle de l’attaque. Il se connecte d’ordinateur en ordinateur pour éviter que l’on remonte jusqu’à lui.
Le « voleur » monnaye son accès au serveur. Il y installe des outils de minage de crypto-monnaie, des programmes pour réaliser des fraudes au clic ou pour générer un faux trafic vers un site web. Ces accès peuvent être vendus à d’autres malfaiteurs.
Enfin, le « barde » est un pirate très peu qualifié. Il utilise le serveur pour trouver des logiciels malveillants ouvertement sur Google, se connecter à des services illégaux ou regarder du porno. Les deux chercheurs pensent qu’il peut aussi s’agir de personnes pour lesquelles ces sites sont interdits ou du moins limités dans leurs pays.
Andréanne Bergeron et Olivier Bilodeau concluent que la possibilité d’observer les cybercriminels interagir avec ces honeypot pourrait être très utile pour les forces de l’ordre ou les équipes défensives de cybersécurité. En outre, si les hackers commencent à douter du serveur sur lequel ils travaillent, ils seront obligés de réfléchir à de nouvelles stratégies, « ce qui entraînera un ralentissement dont tout le monde profitera en fin de compte », affirment les experts. Une expérience qui pourrait tout autant intéresser les entreprises pour anticiper les attaques des cybercriminels.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
