13 décembre 2014

[Note stratégique] Cybercriminalité et réseaux sociaux : liaisons dangereuses

C’est bien via Twitter que le groupe de hacktivistes Rex Mundi annonçait avoir publié la base de données de clients de la chaîne Domino’s Pizza, après des mois de rançonnage. C’est également sur ce réseau social que le groupe de hackers Lizard Squad revendiquait, le 2 décembre dernier, le piratage du Microsoft’s Xbox Live network. Autre cas de figure : l’opération #OpAreva qui s’est annoncée, coordonnée puis lancée via ce même réseau. A l’instar de Twitter, les réseaux sociaux semblent prendre une part de plus en plus importante au sein des stratégies et modes opératoires hacktivistes et cybercriminels. Recel, publicité, revendications, recrutement… : l’usage des réseaux sociaux par ces deux catégories d’acteurs est vaste et couvre la quasi-totalité du processus opérationel.

Si les channels IRC, les sites de diffusion d’exploits ou les forums restent les outils traditionnels de communication, ils ne suffisent plus à donner l’envergure attendue aux opérations menées. Les réseaux sociaux (YouTube, Facebook, ou encore Reddit) jouent ainsi un rôle majeur : ils sont à la fois des relais et des sources primaires de diffusion de l’information. Et les cybercriminels et hacktivistes n’hésitent pas à exploiter des outils et services du web ouvert (clear net) pour communiquer et opérer. Objectif : démultiplier l’impact de leur message auprès des sympathisants, des médias et, plus généralement, des internautes en bénéficiant du potentiel de viralité de certains réseaux. Conséquence : les modes opératoires, auparavant plus opaques, sont désormais plus faciles d’accès. Cette double-présence – sur le dark net et le clear net – qui caractérise aujourd’hui beaucoup de cas est une véritable aubaine pour la veille et la détection au service de la lutte contre les menaces cyber. Pour ce qui est de la veille et de l’analyse, elle offre un regard nouveau sur les modes opératoires cybercriminels et hacktivistes ; la rapidité de diffusion et de revendication de cyberattaques peut, quant à elle, en faciliter la détection.

Quelle place occupent aujourd’hui les réseaux sociaux au sein des modes opératoires cybercriminels et hacktivistes ? Comment les cybercriminels tirent-ils profit du potentiel considérable qu’offrent les réseaux sociaux en termes de relais de communication ? Quel serait l’apport d’une veille active et d’un monitoring avancé de ces réseaux en matière de lutte contre les cybermenaces ?

L’observation de certaines plateformes communautaires sur une période de 6 mois a permis à CEIS d’identifier un usage constant et distribué des réseaux sociaux tout au long de la chaîne cybercriminelle, de l’acquisition de capacités, à l’opérationnel, puis au recel de données. De même, il n’est plus à démontrer, grâce à l’écho dont bénéficient certains groupes comme les Anonymous, que les hacktivistes font de l’usage des réseaux sociaux l’un des piliers de leur stratégie de communication.

Cette note stratégique a été réalisée par CEIS, en partenariat avec Visibrain.