Qu’est-ce que le Web clandestin? Découvrez comment protéger vos informations et votre identité

Gardez votre identité et vos renseignements à l’abri du Web clandestin grâce à ces meilleures pratiques de sensibilisation à la sécurité

Votre lieu de travail, vos mots de passe, vos données d’accès à votre courrier électronique personnel ou à des sites de magasinage en ligne, vos informations de carte de crédit et tout autre renseignement personnel ont une valeur importante sur le Web clandestin.

Les cybercriminels transitent par le Web clandestin pour monnayer les informations qu’ils ont volées. Ils les vendent au plus offrant, sans se préoccuper de l’utilisation qui sera faite de votre numéro de sécurité sociale ou de vos identifiants de connexion professionnels. C’est l’impact humain d’une violation de données.

Par exemple, lorsque votre organisation est piratée par un courriel d’hameçonnage, les conséquences se font sentir bien au-delà des coûts monétaires liés à la restauration des serveurs, au rétablissement de la confiance du public et à la perte de clients. À partir du moment où un cybercriminel a accès aux données confidentielles de votre organisation et de tous vos employés, les pertes et dommages personnels sont sans limites.

Purement et simplement, les informations volées sont extrêmement précieuses sur le Web clandestin. Un article récent paru dans la revue Wired dépeint le vaste filet lancé par les cybercriminels, qui ne se limitent ni à la taille ni au type d’organisation ciblée.

En mai 2020, ShinyHunters, un groupe de cybercriminels, a confirmé qu’il avait volé des informations auprès d’une série d’entreprises. Parmi les victimes, on retrouve Unacademy, une entreprise de formation indienne, Zoosk, une application de rencontre en ligne, Home Chef, une compagnie de livraison de boîtes repas, Minted, une place de marché virtuelle axée sur le design, Mindful, un site consacré à la santé et au bien-être, le Minnesota Star Tribune et le compte GitHub de Microsoft.

Les données neuves sont celles qui ont le plus de valeur sur le Web clandestin. Toutefois, les cybercriminels réorganisent constamment leurs vieilles données pour les vendre à plusieurs acheteurs. Par conséquent, si votre organisation est piratée, toutes vos données, y compris les renseignements concernant vos clients, vos employés et vos partenaires, peuvent être vendues à un nombre incalculable de cybercriminels, tous avec des motifs différents. Comme certaines informations ne perdent jamais leur valeur, l’incidence d’un vol de données peut ne pas se faire sentir immédiatement. Il peut s’écouler un certain temps avant que les cybercriminels n’utilisent les informations volées.

Le Web clandestin n’est pas un mythe. C’est un vrai marché qui génère des revenus et où les informations volées sont très prisées. Il ne faut pas grand-chose pour que les renseignements de votre organisation (ou les vôtres) se retrouvent sur le Web clandestin. Il suffit de cliquer sur un lien dans un courriel d’hameçonnage, ou d’un mot de passe trop simple, pour ouvrir grande la porte à un cybercriminel ingénieux.

La meilleure façon de protéger vos données d’une violation ou d’un piratage est de miser sur la sensibilisation à la sécurité. Il suffit de présenter à vos collègues quelques exemples de cas réels de vols de données pour leur rappeler l’importance d’être vigilant et de suivre les meilleures pratiques de sensibilisation à la sécurité.

Qu’est-ce que le Web clandestin?

 Le Web clandestin est une zone cachée d’Internet qui n’est pas accessible via Google ou Bing. Il s’agit principalement d’une place de marché pour des activités criminelles.

Bien qu’il semble sortir tout droit d’un film policier ou de science-fiction, le Web clandestin est réel et extrêmement actif. Essentiellement, vous pouvez y trouver tout ce que vous voulez. Si vous êtes prêt à payer le prix, il est possible de s’y procurer des numéros de carte de crédit, des armes, de la drogue, des détails de compte volés, des données d’accès à Netflix, des logiciels de piratage d’ordinateurs personnels et bien plus.

Dans son étude publiée en 2019, Into the Web of Profit, le D^r Michael McGuires, de l’Université de Surrey, s’est intéressé de près aux inscriptions du Web clandestin. Voici quelques-uns des éléments à vendre et songez aux conséquences possibles si ces informations se retrouvaient entre les mauvaises mains.

• Les données d’accès à un compte de la Bank of America d’une valeur de 50 000 $ pour 500 $.
• 3 000 $ de faux billets de 20 $ pour 600 $.
• Sept cartes de débit prépayées affichant un solde de 2 500 $ pour 500 $.

Il est impossible de tomber sur le Web clandestin par hasard à partir d’une recherche sur Google. La seule façon d’y accéder est de passer par le navigateur Tor. Ce navigateur est conçu pour dissimuler votre identité et rend votre adresse IP impossible à retracer.

Contrairement à ce qu’on pourrait croire, toutes les activités du Web clandestin ne sont pas liées à la vente illégale de biens volés ou interdits. Sa nature anonyme permet aux gens qui vivent dans des endroits où la liberté d’expression, voire l’accès à Internet, est restreinte de communiquer et de réseauter.

Le Web clandestin héberge également des livres rares, des groupes de discussion pour des événements, des clubs d’échec et de jeux vidéos ainsi que des sites de nouvelles légitimes.

Les racines du Web clandestin, les violations de données et comment les criminels en profitent

Les racines du Web clandestin remontent aux tout premiers jours de ce qui est éventuellement devenu Internet tel que nous le connaissons aujourd’hui. Créé dans les années 1960, dans la foulée d’ARPANET, il a évolué avec l’ouverture d’Internet au public, l’augmentation des sites illégaux de diffusion de musique en continu dans les années 1990, le lancement de Freenet en 2000 puis la création du navigateur Tor en 2002. Le Web clandestin en est venu à ressembler à un oignon.

En effet, on trouve de tout en épluchant les couches du Web clandestin : des données volées, des discours de militants pour la liberté d’expression, des transactions de drogues et d’armes, du trafic sexuel, des réseaux de lanceurs d’alerte et un vaste marché pour tout ce qui peut être acheté, vendu ou volé.

Silk Road est un exemple parmi d’autres d’utilisation du Web clandestin pour des activités illicites et criminelles. Silk Road était une place de marché dédiée à la vente de stupéfiants et de biens volés exploitée par Ross Ulbricht. Ulbricht a été arrêté et condamné à une double peine de prison à vie plus 40 ans pour le rôle qu’il a joué en tant que fondateur de la plateforme. Même si celle-ci a été fermée en 2013, les bénéfices engrangés sous forme de bitcoins n’ont été saisis qu’en novembre 2020 par le département de la Justice des États-Unis.

« Plus tôt cette semaine, la communauté du bitcoin s’est dite choquée lorsqu’un portefeuille numérique contenant environ un milliard de dollars de bitcoins — vraisemblablement les recettes de Silk Road, une place de marché du Web clandestin maintenant fermée — a été vidé par un individu non identifié. Aujourd’hui, le responsable de ce grand ménage s’est dévoilé. Il s’agit du gouvernement des États-Unis. »

C’est précisément pour cette raison qu’il est essentiel que tous les membres de votre organisation comprennent qu’un manque de jugement, s’il mène à une attaque d’hameçonnage, à un vol de mots de passe, à un rançongiciel ou à une violation de données, peut avoir des conséquences graves sur votre organisation et les personnes qui y sont associées.

Les coûts liés à une violation de données ne s’arrêtent pas avec la restauration du réseau et des relations avec les clients, les investisseurs et les employés. Les informations volées perdurent sur le Web clandestin, où elles sont échangées, achetées et vendues pour :

• Créer des fausses identités numériques
• Pirater des comptes de courrier électronique
• Rediriger du courrier
• Ouvrir des comptes de carte de crédit
• Magasiner en ligne sous une identité d’emprunt
• Déposer des demandes d’hypothèque, de prêt automobile et de prestations gouvernementales
• Créer des documents falsifiés ou commettre des vols d’identité

Il n’existe aucune limite à la manière dont les cybercriminels profitent du Web clandestin.

Même si les grands titres consacrés au Web clandestin se concentrent sur la drogue, les armes et d’autres activités illicites, les dommages subis au quotidien par les gens qui sont font pirater leur adresse courriel ou voler leurs informations de carte de crédit ne peuvent être ignorés.

Comment conserver vos données confidentielles à l’abri du Web clandestin

En tant que CISO ou leader en sécurité, votre rôle est d’offrir à votre organisation et à vos collègues toutes les opportunités possibles pour se protéger des cybercriminels, des violations de données et des cybermenaces. La meilleure façon est de bâtir une organisation sensibilisée et cybersécuritaire.

Pour y arriver, la sensibilisation à la sécurité doit être valorisée 365 jours par année. Comme vous le savez, le Web clandestin est toujours actif, et les cybercriminels ne prennent pas de congés pendant les vacances ou les pandémies.

On observe actuellement une augmentation sans précédent de la consommation du Web. Les gens font du télétravail, assistent à des conférences virtuelles, magasinent en ligne, suivent des cours à distance et se divertissent sur Internet. Plus que jamais, les renseignements professionnels et personnels sont à risque d’être volés et vendus sur le Web clandestin.

Pour conserver les informations confidentielles de votre organisation à l’abri du Web clandestin, souvenez-vous de ces éléments clés de la sensibilisation à la sécurité et de la protection des données :

• Rappelez à vos employés les impacts réels d’un vol d’identité. Donnez-leur l’opportunité de suivre une formation en sensibilisation à la sécurité sur le vol d’identité et comment s’en protéger.
• Établissez des règles strictes sur les mots de passe et les comptes applicables à tous les membres de votre organisation. Renforcez ces politiques grâce à des scénarios de formation réalistes qui montrent comment les cybercriminels utilisent les mots de passe dérobés pour voler et causer du tort.
• Permettez à vos employés d’accéder facilement aux vidéos et aux microapprentissages de sensibilisation à la sécurité sur les mots de passe, l’hameçonnage et la protection des données.
• Gardez les voies de communication ouvertes avec vos employés concernant les risques et menaces liés à la cybersécurité. Indiquez clairement à vos employés qu’ils doivent vous contacter immédiatement s’ils croient avoir cliqué sur un lien d’hameçonnage, exposé accidentellement leur mot de passe ou reçu un message texte, un appel téléphonique ou un courriel suspect.
• Développez une culture de cybersécurité grâce à des communications régulières, des infolettres, des campagnes et des cyberhéros. Encouragez vos collègues à être proactifs et à s’informer sur le Web clandestin, les violations de données et la protection des données. Plus ils en savent, plus ils seront vigilants aux menaces.
• Évaluez régulièrement la sensibilisation des employés aux cyberattaques grâce à des simulations d’hameçonnage et de rançongiciels.
• Profitez de ressources en ligne gratuites, comme le Hub de cybersécurité de Terranova, pour partager avec vos employés du contenu engageant et pertinent sur les meilleures pratiques de cybersécurité.
• Définissez des règlements d’accès au réseau qui limitent l’utilisation d’appareils personnels et le partage de renseignements à l’extérieur de votre réseau d’entreprise.
• Assurez-vous que toutes les applications, les systèmes d’exploitation, les outils réseau et les logiciels internes sont à jour et sécurisés. Installez des logiciels de protection contre les maliciels et les pourriels.
• Rappelez à vos employés les meilleures pratiques à adopter en télétravail. Insistez sur les risques associés au fait de laisser un portable ouvert et déverrouillé, d’utiliser des réseaux Wi-Fi gratuits et de travailler dans un lieu public.
• Optez pour des services de surveillance du Web clandestin. Certaines agences de sécurité offrent de surveiller le Web clandestin à la recherche d’activités ou de renseignements liés à votre organisation.

Une organisation informée et sensibilisée à la cybersécurité vous aide à garder vos données confidentielles à l’abri du Web clandestin. Prenez des mesures dès maintenant pour protéger vos données et vos employés des conséquences réelles liées aux vols de mots de passe, aux faux sites Web et aux rançongiciels.

 

---

Partagez cette section sur la protection des données avec vos employés

 

7 façons de protéger vos renseignements des cybercriminels et du Web clandestin

Lorsque vous vous connectez au réseau de la compagnie, ou que vous achetez un article en ligne, vous ne pensez pas au vol de mots de passe ni à la fuite ou la violation de données.

Même si notre objectif n’est pas de vous faire peur, nous souhaitons que vous soyez conscient des menaces réelles qui guettent vos informations personnelles et celles de votre entreprise lorsque vous travaillez et interagissez en ligne. Ultimement, les cybercriminels veulent mettre la main sur vos informations à des fins illégales, souvent pour les revendre sur le Web clandestin.

Pour protéger et sécuriser vos informations, gardez en tête ces 7 éléments clés de la cybersécurité :

1. Ne partagez jamais votre mot de passe et nom d’utilisateur avec des collègues, des amis, des membres de la famille ou avec le service des TI. Si vous avez fourni ces informations par inadvertance, changez votre mot de passe immédiatement et communiquez avec votre gestionnaire.
2. Assurez-vous de toujours créer des mots de passe uniques et sûrs. Lorsque vous créez un mot de passe pour un compte personnel, utilisez une combinaison d’au moins huit lettres majuscules et minuscules, de chiffres et de symboles. Évitez d’intégrer des noms, des mots ou des phrases courantes.
3. Soyez conscient des cybermenaces qui se profilent quotidiennement dans votre boîte courriel. Faites attention aux messages qui proviennent de banques, d’entreprises et d’organismes de bienfaisance qui vous demandent de mettre à jour votre mot de passe, de confirmer les détails de votre compte ou de prouver que vous êtes une vraie personne.
4. Évitez de cliquer sur des liens, de télécharger des pièces jointes ou de répondre à des courriels ou messages textes non sollicités. Rendez-vous directement sur le site Web en saisissant l’URL ou en utilisant vos favoris/signets pour y accéder.
5. N’activez pas la fonction d’entreposage de vos noms d’utilisateur et mot de passe dans votre navigateur. En faisant cela, vous facilitez de beaucoup l’accès des cybercriminels à vos comptes en ligne, et ce, même si vos mots de passe sont très robustes.
6. En cas de doutes, posez des questions. Si vous recevez un courriel de la part de votre gestionnaire vous demandant de transférer des fonds, de partager des documents ou de confirmer les détails d’un compte – communiquez directement avec cette personne et alertez le service des TI.
7. Sachez reconnaître les signes de l’ingénierie sociale. Les cybercriminels envoient des courriels, des messages textes et des messages vocaux vous pressant d’agir rapidement. Ils peuvent prétendre que vos données ont été volées et que vous devez mettre à jour vos informations de carte de crédit sans tarder, ou être un membre de la famille qui a un besoin urgent d’argent.

Nous souhaitons que vous soyez proactif et que vous vous impliquiez dans la cybersécurité de notre organisation. Merci d’être notre première ligne de défense contre les cybercriminels et les violations de données.

 

 

---

Hub de la Cybersécurité: accédez à du contenu exclusif

Tirez profit du Hub de cybersécurité gratuit.  En un clic, vous aurez accès à une plateforme centralisée de connaissances et de sensibilisation à la sécurité. N’hésitez pas à consulter les différentes trousses disponibles, dont la Trousse pour un mot de passe robuste, ainsi que celles sur la COVID-19, le télétravail, l’hameçonnage et plus.