David Hétu, chef de la recherche chez Flare Systems, est Docteur en criminologie de l’Université de Montréal. Il concentre ses recherches sur les marchés illicites sur Internet et le darknet. Ses conclusions, publiées dans plus de 40 articles au cours des 10 dernières années, ont aidé à mieux comprendre la structure et le fonctionnement interne de la clandestinité criminelle.

Il s’est associé à la Conférence Forensik 2020 durant laquelle il a fait une présentation pour nous dévoiler les dessous de la cybercriminalité. Il nous a notamment démontré comment les annonces de recherche d’emploi pouvaient prédire les prochaines menaces.

Nous avons donc profité de sa participation pour lui poser quelques questions pour notre podcast INTRASEC, la chaîne cybersécurité d’In Fidem. 

Retrouvez ci-dessous l’entrevue instructive et passionnante de David Hétu avec notre animateur Alexandre Cayla sur la face cachée des cyberattaques, de quoi vous guider pour anticiper les menaces potentielles!

Avant de parler des résultats de votre étude, nous aimerions parler un peu de votre collecte de données. Une des choses qui nous a frappés dans votre présentation, c’était la quantité de données que vous êtes allé chercher. Comment vous y êtes-vous pris? 

Les délinquants sont actifs dans une multitude de plateformes – et c’est peut-être là que se trouve la force de notre travail – c’est qu’on va aller chercher nos données un peu partout. 

On parle beaucoup du dark web depuis les dernières années, on a l’impression que c’est là que tous les délinquants se retrouvent. Mais ce que je voulais souligner, c’est que si le dark web va répondre à certaines de nos questions, on peut aussi collecter des informations complémentaires sur des systèmes de chats et des forums directement accessibles depuis Internet. 

Dans le cadre de la présentation, on voulait déterminer si en analysant les forums et, plus précisément, les petites annonces d’emploi criminel, on serait capable de comprendre ce qu’il se passe dans ce qu’on appelle le « criminal underground » sur Internet.

Par rapport aux autres présentations de la journée qui mettent l’accent sur la gestion et la réponse aux incidents, votre présentation se situait davantage en amont et se concentrait plus sur comment il est possible de comprendre et d’anticiper des attaques potentielles. 

Pour moi, c’est le nerf de la guerre. On bâtit des murs extrêmement hauts, mais si les attaques viennent de l’air ou en creusant des tunnels, notre mur ne va pas nous servir à grand-chose… Alors notre but, c’est de comprendre et de générer du renseignement sur le comportement des délinquants pour pouvoir utiliser les bonnes défenses au bon moment. 

C’est important parce qu’en criminologie, ce qu’on voit fréquemment, c’est à quel point ces délinquants s’adaptent rapidement à ces défenses. 

C’est d’ailleurs sûrement un peu pour ça que le domaine de la cybersécurité est aussi actif. Les délinquants sont toujours en train de s’adapter et de s’essayer! 

Alors pour nous, si les entreprises peuvent elles aussi s’adapter en même temps que les délinquants, elles ont plus de chance de bloquer leurs attaques.

Avez-vous vu certains modèles émerger à travers votre analyse? 

On a été voir les technologies et les compétences que les délinquants recherchaient. On sait que les délinquants travaillent beaucoup en équipe. Personne aujourd’hui ne peut s’attaquer seul à une grande banque canadienne – du moins, sans acheter un produit ou un service de d’autres personnes opérant dans le milieu illicite. 

Alors cette collaboration les force à écrire des messages et dire « voici ce qui me manque pour m’attaquer à ma cible ».

On a vu plusieurs types de produits et de services qui étaient très demandés. Par exemple,  le développement de virus, particulièrement le développement de virus uniques ou de virus capables de contourner les systèmes de sécurité. 

Cela signifie qu’avoir un antivirus c’est bien, mais qu’il faut sûrement d’autres outils pour se protéger. 

On voyait aussi beaucoup de gens qui recherchaient des services de piratage de courriels.

Parce que le courriel, c’est un peu comme un point d’entrée à plein d’autres systèmes? 

Parce que d’habitude les gens font confiance aux courriels, alors on est capable de leur demander de faire certaines choses, comme des transferts d’argent. Par exemple, les fraudes au Président dans les dernières années où on demandait à des employés de transférer des sommes d’argent importantes à des comptes bancaires. 

On peut aussi collecter des noms d’utilisateurs et des mots de passe, des plans de l’entreprise, etc. On parle beaucoup de la donnée comme étant le «pétrole du 21e siècle». Eh bien, c’est tout ça qu’on peut aller chercher quand on a accès à des courriels.

Un autre élément intéressant de votre présentation, c’est que d’un côté, il y a des personnes qui font de la fraude de « base » avec la PCU (Prestation Canadienne d’Urgence), des cartes cadeaux Amazon, etc., et de l’autre, on retrouve des personnes qui vont développer des virus sophistiqués. On a donc deux types de malfaiteurs très différents… Pouvez-vous nous dire à quoi ressemblent ces communautés ?

On retrouve un peu de tout en fait. Un peu comme dans la société en général, on voit une division du travail chez les délinquants. Donc, il va y avoir certaines personnes qui vont être extrêmement bonnes pour développer des virus, d’autres pour les distribuer et d’autres pour être très bonnes pour utiliser le fruit de ces attaques pour faire des achats, etc.  

On peut penser que c’est facile, mais même si je vous donnais aujourd’hui mon numéro de carte de crédit, avec toutes les informations, il n’y a pas grand-chose que vous puissiez faire si vous ne comprenez pas comment abuser de cette information-là. 

Alors, c’est pour cela que c’est super important de pouvoir bénéficier de l’expertise de quelqu’un d’autre pour arriver à nos fins. 

Sur ces plateformes, ce sont tous des malfaiteurs qui veulent voler des gens, mais ils ont besoin de trouver des gens à qui faire confiance… Ça peut paraître un peu contradictoire. Comment réussissent-ils à trouver des partenaires de confiance? 

Ma thèse de doctorat portait justement sur ce sujet! C’est-à-dire « Comment peut-on créer des liens de confiance dans un contexte anonyme et même hostile? ». 

Les personnes se disaient un peu la même chose dans les années 90 avec le e-commerce: « comment est-ce que je peux acheter quelque chose en ligne et faire confiance à une compagnie? ». À l’époque, la plupart des entreprises étaient très petites et n’avaient pas de réputation. 

Et, un peu comme ces compagnies, on va voir que les délinquants vont se bâtir une réputation en ligne et ils vont laisser des traces de cette réputation. Ils vont faire des profils sur des forums et des marchés publics. Donc, on ne sait pas qui est cette personne, mais on sait que 1000 personnes lui ont fait confiance. C’est donc probablement quelqu’un qui est là depuis un certain temps et qui a une certaine crédibilité. 

Un autre élément dont je parlais dans ma conférence, c’est par la présence d’outils qui vont permettre la création de « contrats » presque formels où les délinquants vont inscrire: qui est impliqué, la date, les obligations de chacune des parties, ce qui doit être payé, à qui, quand, etc. On va aussi confier la responsabilité à une tierce partie de gérer ces contrats – souvent des administrateurs de forum. 

Si tout se passe bien, la tierce partie va payer le fournisseur de service. Si les choses se passent un peu moins bien, on a ici un juge qui est capable de dire si l’argent est retourné à l’acheteur ou s’il est envoyé au vendeur.

Bref, on a un ensemble d’outils qui permettent de diminuer les tensions et d’augmenter la fluidité des transactions. 

Est-ce que ces outils et services sont tous « alternatifs » ou est-ce que certains malfaiteurs vont essayer d’utiliser des services « grand public »? 

Généralement, ils vont utiliser des solutions et des services qui sont illégitimes parce que dans les détails de la transaction, il peut y avoir des obligations comme  « fournir 5 cartes de crédit volées », « fournir un accès à un serveur piraté », etc.

Ça serait un peu surprenant d’apprendre qu’un cabinet de Laval aurait géré ce type de contrat, disons! 

Ces types d’analyse sont-elles des analyses que vous faites en continu dans le cadre de projets de recherche? Comment allez-vous chercher cette information ? Comment l’utilisez-vous ? Quel est l’objectif final ? 

Notre but, c’est de collecter le plus de données pour pouvoir les pré-analyser et permettre à nos clients de mieux comprendre les menaces qui s’attaquent à eux. Dans ce cas-ci, c’est le genre de recherche ad hoc qu’on va proposer à nos clients. 

On peut collecter des millions de pages, des millions de mots-clés et le nombre de personnes qui vont mentionner une compagnie peut être astronomique. Si on demande à une petite équipe de cybersécurité de recevoir 20 000 alertes par jour, ça n’a aucun sens. 

On va donc filtrer et prioriser les alertes et vous montrer lesquelles sont importantes et on va vous montrer le genre de renseignement qu’on peut développer. 

Parce que typiquement, les gens vont mentionner leurs cibles? 

Oui, tout à fait! 

Souvent, ça va être des noms de compagnies, mais ça peut aussi être des plateformes – comme WordPress ou des plateformes e-commerce

Notre travail peut permettre de voir si les plateformes qu’on utilise sont très ciblées ou non. 

On va aussi voir des noms de compagnie, comme Amazon, mais il y a moins de chance qu’on voie le nom d’une petite compagnie en Beauce, par exemple. 

C’est plus rare parce que les délinquants vont généralement moins s’intéresser à un site en particulier et davantage à des failles dans des plateformes. Si on reprend notre exemple de la compagnie en Beauce, ils vont finir par rentrer dans leurs systèmes, juste parce qu’elle utilise une certaine technologie. 

Donc, d’une certaine manière, ces attaques ne sont souvent pas personnelles: « je ne vais pas m’attaquer à ton site parce que je le trouve intéressant, mais je vais le pénétrer parce que je connais une faille dans les systèmes que tu utilises »

Exactement. On va voir que les délinquants vont être relativement opportunistes et vont essayer de trouver le plus de victimes possible. Et ensuite, ils vont faire le tri. 

On voit aussi des attaques plus ciblées, mais comme certaines failles sont tellement répandues,  les délinquants ne vont pas nécessairement faire la fine bouche et vont essayer de rentrer dans le plus de systèmes possible. 

L’un des défis les plus importants serait donc d’identifier les menaces qui sont les plus graves ou de trouver celles qui auraient le plus d’impact? 

Exact! À cet égard, on essaie d’évaluer la crédibilité des acteurs et ensuite, de se baser sur le niveau de détail que les personnes vont donner. 

Donc si quelqu’un dit, « Je suis capable d’accéder dans n’importe quel système de la banque JPMorgan Chase aux États-Unis », et que c’est la première fois qu’on le voit, on peut douter de sa crédibilité. 

Si c’est quelqu’un qui est là depuis plusieurs années, il a une certaine cote de popularité. Si cette personne mentionne qu’elle s’attaque à des banques régionales et que, tout d’un coup, elle se manifeste en disant « j’ai réussi à rentrer chez Chase! », il y a plus de crédibilité ici. 

Alors, typiquement, on va regarder l’historique, le nombre de commentaires, le niveau de détails, etc. 

Dans ma présentation, je montrais une vidéo où les délinquants disaient  « Moi je suis capable de rentrer chez JPMorgan Chase et voici une vidéo de moi qui se connecte dans l’infrastructure de JPMorgan Chase ». Dans ces cas-là, il y a des alertes qui vont partir et c’est une menace qu’il faut probablement surveiller. 

Dans votre présentation, vous aviez un petit tableau qui contenait les types de menaces, mais pas nécessairement celles qui avaient le plus d’impact ou de retombées. 

On va voir que les types de menaces vont varier beaucoup d’une plateforme à l’autre. On pense parfois que le « dark web », c’est comme un tout monolithique, mais on va voir que les délinquants vont se regrouper en fonction de leurs intérêts et de leur origine géographique. 

Donc on va davantage avoir de malfaiteurs canadiens dans des forums canadiens, même s’il y a des gens qui vont venir d’un peu partout à travers le monde. 

On l’a vu lorsqu’on analysait des forums canadiens: on voyait beaucoup de conversations sur les banques canadiennes, mais on avait très peu d’informations sur des attaques contre des banques européennes et notamment françaises. 

Ce problème a été réglé une fois qu’on a rajouté certains forums à notre analyse. Tout d’un coup, on a pu découvrir les attaques qui pesaient contre les banques françaises, alors qu’auparavant, on aurait pu croire qu’elles étaient mieux protégées ou moins ciblées par les délinquants. 

Un autre cas assez intéressant est celui d’un forum où l’on parlait beaucoup de blanchiment d’argent. Par exemple, si j’ai accès à un compte Paypal qui a 2 000 $, je ne peux pas faire un transfert vers mon propre compte parce que c’est très facile à retracer. 

Alors on va voir que des délinquants vont essayer de les échanger pour d’autres choses comme des cartes cadeaux Amazon. Ces cartes peuvent s’utiliser à plusieurs endroits et sont presque comme de l’argent comptant. 

Sachant ça, les entreprises pourraient regarder ça et se dire qu’elles devraient faire attention si un nouveau client, qu’on ne connait pas, veut faire un achat avec une carte cadeau Amazon. Peut-être qu’on ne devrait pas l’accepter parce que ça pourrait être le résultat d’une fraude. 

Maintenant que nous comprenons la situation et le type d’informations que vous proposez, comment une entreprise peut-elle utiliser cette information pour mieux se protéger? 

Le but, c’est vraiment de comprendre où sont les menaces. Est-ce que les gens vont s’attaquer à moi d’une manière technique ou en utilisant de l’ingénierie sociale? Et ensuite, on essaie de voir les attaques qui ont réussi. 

C’est difficile de détecter qu’il y a eu des attaques. Souvent, il se passe plusieurs mois avant que la brèche soit détectée, alors on veut essayer de détecter ces brèches le plus rapidement possible. 

On peut utiliser des vidéos qui ont été partagées par des délinquants pour identifier les informations dérobées, les systèmes qui ont été pénétrés et aussi comprendre les patterns qui auraient été utilisés pour accéder aux systèmes. 

Donc notre travail va souvent être combiné à d’autres services de cybersécurité, parfois un peu plus techniques, et nous on va dire « voici où regarder ». 

Au regard de tout ce que vous avez vu cette année. Selon vous, à quoi devons-nous nous attendre pour cette prochaine année? Et, aussi, que souhaiteriez-vous que les entreprises fassent pour mieux se protéger?

C’est pas nécessairement nouveau, mais ce dont on entend beaucoup parler en ce moment, ce sont les attaques de ransomware et on s’attend à ce que ce type d’attaque continue d’augmenter. Mon meilleur souhait serait d’offrir de la formation aux employés pour qu’ils comprennent les menaces existantes et la responsabilité qu’ils leur incombent. Quand on est un employé, on ne réalise pas nécessairement quelles sont toutes les informations auxquelles on a accès et on ne réalise pas nécessairement les conséquences de nos actions. 

Je pense que dans les dernières années, il y a eu beaucoup de formations qui ont été données pour le fishing où on a dit aux gens d’arrêter d’ouvrir n’importe quelle pièce jointe, il faut continuer d’inculquer aux gens ce questionnement: quand quelqu’un m’appelle, est-ce que c’est vraiment cette personne? Est-ce que c’est normal qu’elle me demande de transférer de l’argent? Etc. 

99 % de ces demandes vont être légitimes, mais il faut garder ce sens critique. C’est ce qui fera une différence entre une hausse ou une baisse de la cybercriminalité au Canada. 

L’intégralité de son entrevue est disponible en français sur Ausha, Spotify, Apple Podcasts, Google Podcasts, Podcast Addict.