SlideShare une entreprise Scribd logo
1  sur  43
Approche stratégique et tactique de la
Threat Intelligence sur le Dark Web
Adrien Petit – CEIS
• Concept de la Threat Intelligence
• Visite guidée du Dark Web
• Interaction entre Threat Intelligence et Dark Web
• Étude de cas
Roadmap
Concept de la Threat Intel
• Threat = Menace
o Menace = Intention + Capacité + Opportunité
o 3 grandes menaces
 Hacktivistes  Idéologie
 Cybercriminels  Profit
 Groupes « state-sponsored »
 Dans une moindre mesure : concurrents –
« insiders »
Threat Intelligence – Notions
• Le renseignement est un produit
 Il n'est pas le fruit d'une ingestion
pure et simple d'information mais le
produit d'une analyse particulière dans un
contexte donné
Thomas Chopitea – CERT SG
Threat Intelligence – Notions
• Intelligence = Renseignement
o Donnée  Information  Renseignement
o Cycle du renseignement
Threat Intelligence – Notions
Question
Collecte
TraitementAnalyse
Diffusion
• Technique
o IOC : IPs, URLS, listes de hashs, artefacts
système/réseau, etc.
o Destinée aux machines
o Durée de vie limitée
• Opérationnelle
o Permet d’anticiper une attaque
o HUMINT
4 types de Threat Intel
• Tactique
o Information sur les outils et méthodologies de
la menace (TTPs)
o Destinée aux équipes techniques
• Stratégique
o Peu technique
o Rapport de tendances sur les menaces :
intentions, affiliations, intérêts, objectifs,
capacités, plans, campagnes, etc.
o Destinée au board
4 types de Threat Intel
Visite guidée du Dark Web
• Clear Web
o Ensemble des contenus indexés par les
moteurs de recherche classiques
o Contient des blogs, réseaux sociaux, sites de
diffusion, etc.
Notions
• Deep Web
o Ensemble des contenus non-indexés par les
moteurs de recherche classiques
o Contient des bases et banques de données,
bibliothèques en ligne gratuites ou payantes,
DNS, adresses IP, etc.
Notions
• Dark Web
o Outils spécifiques pour y accéder : Tor, I2P,
Freenet
o Très grande majorité des sites à caractère
criminel, mais pas que..
Notions
• Dark Web
o Analogie aux catacombes
o Moteurs de recherche de très faible qualité
o Utilisation des wikis pour s’orienter
Notions
Dark Web sous-ensemble du Deep
Clear Web
Deep Web
Dark Web
Interaction TI & Dark Web
Opération
•Reconnaissance
•Scenario d’attaque
•Scan
•Obtention de l’accès
•Maintien de l’accès
•Exécution
•Effacement des traces
Publicité
•Recel
•Revendication
Actes
préparatoires
•Acquisition de capacités
•Organisation humaine
et recrutement
Contexte
•Emergence du mobile
•Définition des objectifs
•Choix du mode
opératoire
Cyber Kill Chain revisitée
• Approche technologique
o Outils sur étagère
o Développement d’outils spécifiques
• Approche humaine
o Equipe multilingue
o Profils variés
Cellule TI stratégique/technique
• Où trouver les éléments permettant
d’identifier une menace potentielle ?
o Black markets généralistes
o Black markets spécialisés
o Forums restrictifs
Threat Intel & Dark Web
• Le précurseur Silk Road
o 02/2011 - Commerce de tous les types de biens
illégaux issus du banditisme classique (stupéfiants,
armes ou encore faux papiers)
o Ne proposait pas directement la vente des biens
o Mise en relation acheteurs et vendeurs --> Système
Escrow
Black markets généralistes
Source : FBI, entre 02/2011 et 09/2013
• Système Escrow ou dépôt fiduciaire
Black markets généralistes
• Depuis la fermeture de Silkroad (11/2014) :
o Environ 80 blackmarkets
o Une vingtaine perdurent
o Evolution: Exit Scam en mars 2015 (#Evoscam)
Black markets généralistes
• Que trouve-t-on sur ces black markets ?
o Étude à partir des 3 plus gros black markets
o 65 000 annonces publiées
Black markets généralistes
Black markets généralistes
Source : Etude CEIS – Juin 2015
• Que trouve-t-on sur ces black markets ?
o La plupart du temps : drogues, faux papiers,
carding, etc.  Beaucoup de fraudes
Black markets spécialisés
Black markets spécialisés
Black markets spécialisés
• TRD fait figure d’exception
o Orienté exploits : 0day – FUD – 1day private
Black markets spécialisés
Black markets spécialisés
Black markets spécialisés
• Échanges avec le gérant de TRD
o Concepteur de 0day(IRL) vendent en direct aux
mêmes clients
o TRD = Rôle d’intermédiaire
o Profite des surenchères anonymes
o IRL  Dark Web : juste une question de temps
o Quelques 0day vendus très rapidement (Office
et Flash = 100 k USD
Black markets spécialisés
• Forums restrictifs
o Cooptation souvent obligatoire
o Paiement d’un droit d’entrée
o Structure : catégories hacking, logiciels, fuite
de données, services, etc.
Forums restrictifs
• Base de données Adult Friend Finder
Forums restrictifs
Étude de cas – MaaS
• Hacker Ping
MaaS – Ping
• Contexte
o Février 2015 : diffusion d’une BDD par un profil
inconnu
o Analyse des 15 fichiers par du social
engineering
o Mai 2015 : AFF admet publiquement la fuite
MaaS – Forum Hell
• Diffusion du code source de kits d’exploit sur le
forum Hell par Ping
MaaS – Forum Hell
• Diffusion du code source de malware
MaaS – Serveur de Ping
MaaS – Revente sur les BM
MaaS – Revente sur les BM
MaaS – Builder + Panel
MaaS – Builder + Panel
• Approche technique et stratégique de la
Threat Intel sur le Dark Web
o Limitée pour les APT
o Hacktivisme surtout sur le Clear/Deep Web
o Essentiellement cybercrime
 Tendances générales et sectorielles
 Mais peu ciblée (entreprises)
Conclusion
Merci pour votre attention !
Contact : apetit@ceis.eu

Contenu connexe

En vedette

#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & Lumières#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & LumièresNetSecure Day
 
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...NetSecure Day
 
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...NetSecure Day
 
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent CasseNetSecure Day
 
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
#NSD16 - Et si on parlait d'authentification forte - Nicolas GlonduNetSecure Day
 
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)NetSecure Day
 
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...NetSecure Day
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
 
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...NetSecure Day
 
#NSD14 - Sécuriser l'infrastructure réseau des datacenters
#NSD14 - Sécuriser l'infrastructure réseau des datacenters#NSD14 - Sécuriser l'infrastructure réseau des datacenters
#NSD14 - Sécuriser l'infrastructure réseau des datacentersNetSecure Day
 
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan NitotNetSecure Day
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif ibtissam el hassani
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographieibtissam el hassani
 
Integracion de las tic en las
Integracion de las tic en lasIntegracion de las tic en las
Integracion de las tic en lassapz77
 
20141128 demogr bxl_01_xd
20141128 demogr bxl_01_xd20141128 demogr bxl_01_xd
20141128 demogr bxl_01_xdSocDemoFB
 

En vedette (20)

#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & Lumières#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & Lumières
 
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
 
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
 
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
 
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
 
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
 
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné
 
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
 
#NSD14 - Sécuriser l'infrastructure réseau des datacenters
#NSD14 - Sécuriser l'infrastructure réseau des datacenters#NSD14 - Sécuriser l'infrastructure réseau des datacenters
#NSD14 - Sécuriser l'infrastructure réseau des datacenters
 
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
 
Integracion de las tic en las
Integracion de las tic en lasIntegracion de las tic en las
Integracion de las tic en las
 
Carta Esc En El 2070
Carta  Esc En El 2070Carta  Esc En El 2070
Carta Esc En El 2070
 
Enamorarse
EnamorarseEnamorarse
Enamorarse
 
Dios
DiosDios
Dios
 
20141128 demogr bxl_01_xd
20141128 demogr bxl_01_xd20141128 demogr bxl_01_xd
20141128 demogr bxl_01_xd
 
Informe Final Poo
Informe Final PooInforme Final Poo
Informe Final Poo
 
Tema 4 la jornada laboral
Tema 4 la jornada laboralTema 4 la jornada laboral
Tema 4 la jornada laboral
 

Similaire à #NSD15 - Threat intelligence et Deep/Dark web

Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrDavid Girard
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllNet4All
 
Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!ColloqueRISQ
 
Internet invisible spujade nov2013
Internet invisible spujade nov2013Internet invisible spujade nov2013
Internet invisible spujade nov2013Sébastien PUJADE
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptKhaledabdelilah1
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012University of Geneva
 
Voyage dans le cyberespace 2018
Voyage dans le cyberespace 2018Voyage dans le cyberespace 2018
Voyage dans le cyberespace 2018Regis Le Guennec
 
Sites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugleSites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugleISACA Chapitre de Québec
 
Surfer en journaliste Cours 2015
Surfer en journaliste Cours 2015Surfer en journaliste Cours 2015
Surfer en journaliste Cours 2015Olivier Bot
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée CybercriminalitéEvenements01
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISNet4All
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 

Similaire à #NSD15 - Threat intelligence et Deep/Dark web (20)

Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg Fr
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!
 
AMAN - APT 2016
AMAN - APT 2016AMAN - APT 2016
AMAN - APT 2016
 
Les menaces apt
Les menaces aptLes menaces apt
Les menaces apt
 
Internet invisible spujade
Internet invisible spujade Internet invisible spujade
Internet invisible spujade
 
Internet invisible spujade nov2013
Internet invisible spujade nov2013Internet invisible spujade nov2013
Internet invisible spujade nov2013
 
Internet invisible spujade
Internet invisible spujadeInternet invisible spujade
Internet invisible spujade
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).ppt
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012
 
Voyage dans le cyberespace 2018
Voyage dans le cyberespace 2018Voyage dans le cyberespace 2018
Voyage dans le cyberespace 2018
 
Sites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugleSites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugle
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications web
 
Surfer en journaliste Cours 2015
Surfer en journaliste Cours 2015Surfer en journaliste Cours 2015
Surfer en journaliste Cours 2015
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée Cybercriminalité
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
 
Exposé hackers
Exposé hackersExposé hackers
Exposé hackers
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 

Plus de NetSecure Day

#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...NetSecure Day
 
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...NetSecure Day
 
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou
#NSD16 - vos informations ont de la valeur  prenez-en soin - Florence Feniou#NSD16 - vos informations ont de la valeur  prenez-en soin - Florence Feniou
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence FeniouNetSecure Day
 
#NSD15 - Attaques DDoS Internet et comment les arrêter
#NSD15 - Attaques DDoS Internet et comment les arrêter#NSD15 - Attaques DDoS Internet et comment les arrêter
#NSD15 - Attaques DDoS Internet et comment les arrêterNetSecure Day
 
#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objets#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objetsNetSecure Day
 
#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big Data#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big DataNetSecure Day
 
#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'Internet#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'InternetNetSecure Day
 

Plus de NetSecure Day (7)

#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
 
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
 
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou
#NSD16 - vos informations ont de la valeur  prenez-en soin - Florence Feniou#NSD16 - vos informations ont de la valeur  prenez-en soin - Florence Feniou
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou
 
#NSD15 - Attaques DDoS Internet et comment les arrêter
#NSD15 - Attaques DDoS Internet et comment les arrêter#NSD15 - Attaques DDoS Internet et comment les arrêter
#NSD15 - Attaques DDoS Internet et comment les arrêter
 
#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objets#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objets
 
#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big Data#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big Data
 
#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'Internet#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'Internet
 

#NSD15 - Threat intelligence et Deep/Dark web

  • 1. Approche stratégique et tactique de la Threat Intelligence sur le Dark Web Adrien Petit – CEIS
  • 2. • Concept de la Threat Intelligence • Visite guidée du Dark Web • Interaction entre Threat Intelligence et Dark Web • Étude de cas Roadmap
  • 3. Concept de la Threat Intel
  • 4. • Threat = Menace o Menace = Intention + Capacité + Opportunité o 3 grandes menaces  Hacktivistes  Idéologie  Cybercriminels  Profit  Groupes « state-sponsored »  Dans une moindre mesure : concurrents – « insiders » Threat Intelligence – Notions
  • 5. • Le renseignement est un produit  Il n'est pas le fruit d'une ingestion pure et simple d'information mais le produit d'une analyse particulière dans un contexte donné Thomas Chopitea – CERT SG Threat Intelligence – Notions
  • 6. • Intelligence = Renseignement o Donnée  Information  Renseignement o Cycle du renseignement Threat Intelligence – Notions Question Collecte TraitementAnalyse Diffusion
  • 7. • Technique o IOC : IPs, URLS, listes de hashs, artefacts système/réseau, etc. o Destinée aux machines o Durée de vie limitée • Opérationnelle o Permet d’anticiper une attaque o HUMINT 4 types de Threat Intel
  • 8. • Tactique o Information sur les outils et méthodologies de la menace (TTPs) o Destinée aux équipes techniques • Stratégique o Peu technique o Rapport de tendances sur les menaces : intentions, affiliations, intérêts, objectifs, capacités, plans, campagnes, etc. o Destinée au board 4 types de Threat Intel
  • 9. Visite guidée du Dark Web
  • 10. • Clear Web o Ensemble des contenus indexés par les moteurs de recherche classiques o Contient des blogs, réseaux sociaux, sites de diffusion, etc. Notions
  • 11. • Deep Web o Ensemble des contenus non-indexés par les moteurs de recherche classiques o Contient des bases et banques de données, bibliothèques en ligne gratuites ou payantes, DNS, adresses IP, etc. Notions
  • 12. • Dark Web o Outils spécifiques pour y accéder : Tor, I2P, Freenet o Très grande majorité des sites à caractère criminel, mais pas que.. Notions
  • 13. • Dark Web o Analogie aux catacombes o Moteurs de recherche de très faible qualité o Utilisation des wikis pour s’orienter Notions
  • 14. Dark Web sous-ensemble du Deep Clear Web Deep Web Dark Web
  • 15. Interaction TI & Dark Web
  • 16. Opération •Reconnaissance •Scenario d’attaque •Scan •Obtention de l’accès •Maintien de l’accès •Exécution •Effacement des traces Publicité •Recel •Revendication Actes préparatoires •Acquisition de capacités •Organisation humaine et recrutement Contexte •Emergence du mobile •Définition des objectifs •Choix du mode opératoire Cyber Kill Chain revisitée
  • 17. • Approche technologique o Outils sur étagère o Développement d’outils spécifiques • Approche humaine o Equipe multilingue o Profils variés Cellule TI stratégique/technique
  • 18. • Où trouver les éléments permettant d’identifier une menace potentielle ? o Black markets généralistes o Black markets spécialisés o Forums restrictifs Threat Intel & Dark Web
  • 19. • Le précurseur Silk Road o 02/2011 - Commerce de tous les types de biens illégaux issus du banditisme classique (stupéfiants, armes ou encore faux papiers) o Ne proposait pas directement la vente des biens o Mise en relation acheteurs et vendeurs --> Système Escrow Black markets généralistes Source : FBI, entre 02/2011 et 09/2013
  • 20. • Système Escrow ou dépôt fiduciaire Black markets généralistes
  • 21. • Depuis la fermeture de Silkroad (11/2014) : o Environ 80 blackmarkets o Une vingtaine perdurent o Evolution: Exit Scam en mars 2015 (#Evoscam) Black markets généralistes
  • 22. • Que trouve-t-on sur ces black markets ? o Étude à partir des 3 plus gros black markets o 65 000 annonces publiées Black markets généralistes
  • 23. Black markets généralistes Source : Etude CEIS – Juin 2015
  • 24. • Que trouve-t-on sur ces black markets ? o La plupart du temps : drogues, faux papiers, carding, etc.  Beaucoup de fraudes Black markets spécialisés
  • 27. • TRD fait figure d’exception o Orienté exploits : 0day – FUD – 1day private Black markets spécialisés
  • 30. • Échanges avec le gérant de TRD o Concepteur de 0day(IRL) vendent en direct aux mêmes clients o TRD = Rôle d’intermédiaire o Profite des surenchères anonymes o IRL  Dark Web : juste une question de temps o Quelques 0day vendus très rapidement (Office et Flash = 100 k USD Black markets spécialisés
  • 31. • Forums restrictifs o Cooptation souvent obligatoire o Paiement d’un droit d’entrée o Structure : catégories hacking, logiciels, fuite de données, services, etc. Forums restrictifs
  • 32. • Base de données Adult Friend Finder Forums restrictifs
  • 33. Étude de cas – MaaS
  • 35. • Contexte o Février 2015 : diffusion d’une BDD par un profil inconnu o Analyse des 15 fichiers par du social engineering o Mai 2015 : AFF admet publiquement la fuite MaaS – Forum Hell
  • 36. • Diffusion du code source de kits d’exploit sur le forum Hell par Ping MaaS – Forum Hell
  • 37. • Diffusion du code source de malware MaaS – Serveur de Ping
  • 38. MaaS – Revente sur les BM
  • 39. MaaS – Revente sur les BM
  • 40. MaaS – Builder + Panel
  • 41. MaaS – Builder + Panel
  • 42. • Approche technique et stratégique de la Threat Intel sur le Dark Web o Limitée pour les APT o Hacktivisme surtout sur le Clear/Deep Web o Essentiellement cybercrime  Tendances générales et sectorielles  Mais peu ciblée (entreprises) Conclusion
  • 43. Merci pour votre attention ! Contact : apetit@ceis.eu