[Tribune] La protection des marques sur le deep et le dark Web

Les difficultés rencontrées par les détenteurs de marques pour protéger leur propriété intellectuelle en ligne s'accumulent à mesure que les cybercriminels trouvent de nouveaux moyens de pénétrer les infrastructures des entreprises. Il suffit de jeter un oeil aux derniers gros titres dans les médias pour prendre conscience du pic de cyberattaques et de l'ampleur des dégâts qu'elles font subir à leurs cibles.

Qu'il s'agisse d'entreprises possédant une vaste clientèle, qui échangent ou accèdent à des informations financières ou personnelles en ligne, ou de petites marques spécialisées, qui doivent protéger leur propriété intellectuelle, personne n'est à l'abri. Les fraudeurs sont prêts à tout pour exploiter les failles de sécurité des entreprises, et les données qu'ils dérobent se monnaient au prix fort sur les places de marché en ligne souterraines.

Si les établissements bancaires et financiers restent des cibles de choix, de plus en plus d'attaques ciblent des entreprises d'autres secteurs....Les violations de données peuvent avoir un impact négatif sur la solidité de l'infrastructure informatique interne de l'entreprise et affecter ses ressources financières, ses partenaires commerciaux et ses clients, sans compter son image de marque, qui se bâtit souvent pendant de longues années.

Les limites des moteurs de recherche

L'un des principaux facteurs de la multiplication des cyberattaques est la capacité grandissante des pirates à naviguer dans le deep et le dark Web. Ces zones à la fois vastes et cachées changent les règles du jeu du cybercrime et de l'hacktivisme. On emploie souvent l'image de l'iceberg pour décrire Internet dans sa globalité. La partie immergée correspond au Web surfacique, qui comprend les sites visibles, indexés par les moteurs de recherche habituels. Bien qu'utilisé au quotidien par la grande majorité des internautes pour trouver des informations, effectuer des achats et communiquer en ligne, cet espace ne représente qu'environ 4% du réseau.

Les 96% restants se trouvent sur le deep Web, qui inclut des pages non indexées par les moteurs de recherche. La majorité du deep Web est licite. Cette zone rassemble en effet les intranets d'entreprise ou les ressources universitaires résidant derrière un pare-feu.

Toutefois, certaines parties du deep Web renferment également une quantité considérable de contenus potentiellement illicites ou suspects: sites d'hameçonnage qui collectent des identifiants, sites qui diffusent des programmes malveillants tentant de masquer leur existence, places de marché vendant des biens de contrefaçon ou encore plateformes de peer-to-peer souvent consacrées au piratage. Sans même s'en rendre compte, le grand public est susceptible de tomber sur ces sites illicites par le biais de spams, de publicités ou de domaines cybersquattés, et court le risque de transmettre à son insu des informations personnelles ou d'authentification à des entités frauduleuses. Il peut être délibérément attiré sur ces sites par des fraudeurs.

Plus loin encore se trouve le dark Web. Il se caractérise par une série de sites et de contenus hébergés sur des réseaux superposés dont les adresses IP sont totalement masquées et seulement accessibles par le biais de logiciels d'anonymisation comme Tor. Si ce dernier compte de nombreux utilisateurs non malveillants, notamment des défenseurs du respect de la vie privée, des journalistes et des services de police, son caractère anonyme en fait aussi un repaire idéal pour les activités illicites. Ainsi, des volumes considérables d'informations privées (authentifiant, coordonnées bancaires, etc.) sont revendus sur ses places de marché. L'infiltration de ces réseaux criminels s'avère extrêmement difficile pour les analystes de sécurité, car il faut d'abord être invité à rejoindre une conversation en ligne pour interagir avec un groupe.

Face aux menaces, les consciences s'éveillent

Si l'existence même du deep Web et du dark Web n'a plus rien de secret depuis quelques années déjà, les fraudeurs et les cybercriminels ont affiné au fil du temps leurs tactiques sur ces réseaux numériques cachés pour frapper leurs proies plus efficacement, tout en limitant le risque de se faire attraper.

Si les sites du deep Web ne sont pas indexés, le grand public peut tout de même y accéder en étant y redirigé à son insu. En effet, les voies d'accès sont nombreuses: pages à la typographie plagiée et affichant des noms ressemblant à des marques authentiques, publicités de moteurs de recherche pour certains mots-clés qui renvoient vers des sites du deep web, e-mails contenant des liens d'hameçonnage, voire applications mobiles redirigeant vers des sites non indexés.

Le dark Web est encore plus problématique pour les professionnels de la cybersécurité. L'anonymat qui y règne permet à cet espace de proliférer et de s'imposer comme le refuge idéal pour les cybercriminels, où des identifiants d'accès aux réseaux d'entreprise (obtenus par hameçonnage auprès de salariés, par exemple) peuvent être achetés et revendus au plus offrant, ce qui ouvre la voie à des cyberattaques difficiles à détecter ou à prévenir pour la majorité des entreprises.

Pire encore: de plus en plus d'utilisateurs apprennent à maîtriser les subtilités de Tor, et l'anonymat ne cesse de prendre de l'ampleur. Avec la hausse du nombre de points sur le réseau distribué de relais du dark Web, il devient plus difficile d'identifier un utilisateur et de traquer les cybercriminels. Cela revient à chercher une aiguille dans une botte de foin qui ne cesse de grandir.

L'art et la stratégie de la protection

Selon le site concerné, les marques peuvent limiter les activités frauduleuses sur le deep Web. Si un site tente de masquer son identité auprès d'un moteur de recherche, certaines solutions technologiques permettent de détecter et de contrer la manoeuvre. Les outils couramment utilisés par les entreprises pour protéger leurs marques peuvent aussi s'attaquer aux activités frauduleuses, notamment les demandes de fermeture adressées aux FAI, les mises en demeure et, si nécessaire, les principes directeurs de règlement des litiges relatifs aux noms de domaine (Uniform Domain-Name Dispute-Resolution Policy, UDRP).

Pour ce qui est du dark Web, où l'achat et la revente d'informations confidentielles et personnelles sont monnaie courante, les entreprises peuvent se doter de technologies appropriées et obtenir des renseignements sur les menaces afin d'améliorer leur visibilité sur les risques imminents. Ainsi, l'étroite surveillance des échanges entre fraudeurs sur les réseaux sociaux permet aux entreprises de prendre les mesures de sécurité qui s'imposent avant une cyberattaque, ou de prévenir ou réduire l'impact d'une attaque à venir. En cas de violation de données impliquant un vol de coordonnées bancaires, les systèmes de renseignement sur les menaces peuvent contribuer à limiter le préjudice financier subi par les consommateurs en publiant les numéros volés avant qu'ils ne puissent être utilisés, et en faisant opposition auprès de la banque.

La technologie peut même aider à identifier et à infiltrer efficacement les réseaux de cybercriminels du dark Web, ce qui nécessiterait sinon des moyens humains considérables de la part des équipes d'analystes de la sécurité. L'accès aux technologies peut considérablement réduire la charge de travail des équipes de sécurité et poser les bases d'une stratégie de protection plus fiable et évolutive. Au vu de la multitude de cybermenaces, les équipes de sécurité doivent s'appuyer sur ces technologies pour identifier les activités criminelles et limiter leurs conséquences financières pour l'entreprise, ainsi que les dommages causés à la marque.

Les principaux secteurs en danger

Si le nombre de secteurs ciblés par les cybercriminels ne cesse d'augmenter, les entreprises peuvent prendre un certain nombre de mesures concrètes pour se protéger. Pour les institutions financières, la visibilité sur les activités du dark Web comporte des avantages non négligeables. Les indices pointant vers une attaque imminente peuvent être mis au jour et contribuer à économiser des millions de dollars en violations et à éviter l'érosion de la confiance de la clientèle. Une meilleure visibilité peut aussi aider les entreprises à identifier ceux qui partagent des informations d'initié ou confidentielles sur le dark Web, et à déterminer la marche à suivre pour limiter les dégâts.

Dans le secteur des services financiers, les attaques les plus courantes concernent les cartes bancaires, et plus précisément les "dumps", c'est-à-dire les informations contenues dans la bande magnétique. Les cybercriminels piratent le réseau d'un commerçant ou utilisent un programme malveillant pour accéder à un terminal de paiement afin de voler puis revendre sur le dark Web des numéros de carte bancaire avec leur date d'expiration et d'autres informations sur les utilisateurs. D'autres criminels exploitent ensuite ces informations pour effectuer des achats frauduleux.

Dans le secteur médical, les violations de données peuvent être particulièrement inquiétantes, car elles exposent non seulement les données confidentielles du prestataire de soins de santé, mais aussi un nombre considérable d'informations médicales et personnelles sur les patients: images de signature autorisée, adresses e-mail, adresses de facturation, numéro de compte, etc. Les cybercriminels exploitent ce genre d'informations pour compromettre d'autres données, par exemple les numéros de Sécurité sociale et les dossiers médicaux. Les informations d'authentification pourraient même déboucher sur la vente de fausses identités.

Une protection complexe

La plupart des entreprises ont mis en place des protocoles stricts pour protéger leur infrastructure informatique, mais les mesures de sécurité classiques ne fournissent pas de renseignements suffisants pour analyser les cyberattaques qui se propagent sur le deep et le dark Web. Par essence, il est bien plus difficile de naviguer au sein d'un espace où les pages web ne sont pas indexées et où l'anonymat permet de masquer les activités illicites.

Pendant ce temps, les cyberattaques visant des entreprises de secteurs de plus en plus variés continuent d'augmenter, mettant en danger les informations confidentielles, les secrets industriels et les identifiants d'accès aux intranets du personnel. Les entreprises doivent prendre conscience de toutes les menaces pesant sur leur propriété intellectuelle dans les différents recoins d'Internet, sachant que les plus visibles ne sont que la partie immergée de l'iceberg. Pour se prémunir contre les menaces tapies dans les zones les plus sombres du web, il est vital de tirer parti de tous les outils à disposition pour surveiller le trafic, détecter les menaces et agir le cas échéant.

L'expert:

Stéphane Berlot est responsable des ventes de la filiale France et Benelux de MarkMonitor. Il est notamment chargé de planifier, d'organiser, de diriger et de contrôler les activités de vente de la société. Stéphane Berlot a plus de 15 ans d'expérience en direction des ventes dans le secteur IT, au sein de Silicon Graphics (1996-1999), QSS (1999-2001), Hyperion (2001-2005), OpenPages (2005-2007) et dernièrement Temis (2008-2010). Stéphane Berlot est diplômé en ingénierie des ventes de l'Université Paris Sud (Paris XI, 1993).

Pour aller plus loin:

La cybersécurité est confrontée à la dialectique du glaive et du bouclier