Cybercriminalité et réseaux sociaux : liaisons dangereuses

Guillaume Tissier

Directeur général, CEIS (co-organisateur du Forum International de la Cybersécurité 2015) 

L’usage constant et distribué des réseaux sociaux tout au long de la chaîne cybercriminelle, de l’acquisition de capacités à l’opérationnel, puis au recel de données, est évident. De même, il n’est plus à démontrer, grâce à l’écho dont bénéficient certains groupes comme les Anonymous, que les hacktivistes font de l’usage des réseaux sociaux l’un des piliers de leur stratégie de communication.

   C’est bien via Twitter que le groupe d’hacktivistes Rex Mundi annonçait avoir publié la base de données de clients de la chaîne Domino’s Pizza, après des mois de rançonnage. C’est également sur ce réseau social que le groupe de hackers Lizard Squad revendiquait, le 2 décembre dernier, le piratage du Microsoft ’s Xbox Live Network. Autre cas de figure : l’opération #OpAreva qui s’est annoncée, coordonnée puis lancée via ce même réseau. À l’instar de Twitter, les réseaux sociaux semblent prendre une part de plus en plus importante au sein des stratégies et modes opératoires hacktivistes et cybercriminels. Recel, publicité, revendications, recrutement… : l’usage des réseaux sociaux par ces deux catégories d’acteurs est vaste et couvre la quasi-totalité du processus opérationnel.

   Si les channels IRC, les sites de diffusion d’exploits ou les forums restent les outils traditionnels de communication, ils ne suffisent plus à donner l’envergure attendue aux opérations menées. Les plates-formes YouTube, Facebook ou encore Reddit jouent ainsi un rôle majeur : ce sont à la fois des relais et des sources primaires de diffusion de l’information. Et les cybercriminels et hacktivistes n’hésitent pas à exploiter des outils et services du web ouvert (clear net) pour communiquer et opérer. Objectif : démultiplier l’impact de leur message auprès des sympathisants, des médias et, plus généralement, des internautes, en bénéficiant du potentiel de viralité de certains réseaux. Ce sont de véritables campagnes médiatiques qui sont organisées au tweet près. L’actualité démontre également que l’usage de ces réseaux peut être plus offensif : diffuser des bases de données piratées (ou menacer de le faire) est aujourd’hui une tendance croissante en matière de rançonnage. Conséquence : les modes opératoires, auparavant plus opaques, sont désormais plus faciles d’accès. Cette double présence – sur le dark net et le clear net – qui caractérise aujourd’hui beaucoup de cas est une véritable aubaine pour la veille et la détection au service de la lutte contre les cybermenaces. Pour ce qui est de la veille et de l’analyse, elle offre un regard nouveau sur les modes opératoires cybercriminels et hacktivistes ; la rapidité de diffusion et de revendication de cyberattaques peut, quant à elle, en faciliter la détection.

   Les cybercriminels et les hacktivistes font des réseaux sociaux un, si ce n’est le média principal de leur communication. Et si les cybercriminels sont en cours d’adoption de ce mode de communication, les hacktivistes placent les réseaux sociaux au cœur de leurs modes opératoires depuis bien longtemps.

   Tous ces éléments témoignent de l’importance, pour le professionnel de la cybersécurité, de garder un œil ouvert sur l’ensemble des médias sociaux actuels et à venir. Mais n’oublions pas que l’usage cybercriminel et hacktiviste des réseaux sociaux n’échappe pas aux stratégies de désinformation. Les publications détectées pourront être de l’info, ou de l’intox. Pour se concentrer sur l’information pertinente, l’observation des cybercriminels et hacktivistes sur le web 2.0 exige donc avant tout une approche globale des menaces et une compréhension accrue des modes opératoires.