Chaque jour, des cyberattaques visent des sites gouvernementaux, bancaires et autres dont l’information est sensible. Oubliez toutefois l’image du cybercriminel en loup solitaire qui opère de son sous-sol: il s’agirait plutôt de véritables communautés d’informaticiens s’échangeant des moyens de ramasser les sites dans leurs filets.
«Ils s’échangent des trucs et des manuels. Il existe même des Wiki sur comment percer à jour un site ou quoi dire pour se défendre si l’on se fait attraper», résume le Pr Richard Khoury du Département d’informatique et de génie logiciel de l’Université Laval. Il présentait récemment ses travaux au Colloque annuel du Centre de recherche en données massives de l’Université Laval.
Alors qu’en octobre, une cyberattaque massive ciblait des médias et des sites populaires de l’est de l’Amérique, il devient important pour le commun des internautes d’écouter à travers les portes closes du Dark Web — ou Web obscur, la zone sombre du méconnu Web profond (Deep Web).
Légitime
Le Web profond — qui, bien que méconnu, est tout à fait légitime — inclut par exemple des sites privés et protégés par mots de passe, des bases de données institutionnelles, l’ensemble ayant en commun de ne pas être indexé par les outils de recherche traditionnels.
C’est dans la partie sombre de ce Web profond se négocient des armes et de la drogue, et que se planifient des cyberattaques. Autant dire qu’on est loin de Facebook et de YouTube.
«Le Web tel que les gens le connaissent est le web de surface, la partie d’internet que les gens voient et à laquelle ils accèdent par un outil de recherche tel que Google. Le Deep Web n’est pas accessible de cette manière. Et le Dark Web est une section du Deep Web intentionnellement cachée, de manière à ne pas être du tout accessible par un navigateur web ordinaire», explique le Pr Khoury.
La plus connue des portes d’accès du Web obscur figure sur le réseau TOR, un réseau utilisant un protocole particulier de communication, dit en «oignon»: avec plusieurs niveaux de protection. Les sites dissimulés — ceux, littéralement, qui sont dans les couches inférieures de l’oignon — ne sont donc accessibles qu’avec le navigateur TOR, aux protocoles ciblés.
Monde interlope
S’il est difficile de s’y hasarder, la surveillance doit se faire à la fois discrète… et large. C’est là qu’intervient l’équipe du Pr Khoury qui travaille actuellement à la conception d’un assistant intelligent pour les agents de surveillance (police, services de renseignement) de cette partie sombre d’Internet.
«Il est impossible de suivre de nombreuses discussions sur de nombreux forums en même temps. Notre logiciel va repérer les conversations pertinentes, identifier les profils des individus suspects, envoyer un rapport résumé et même suggérer des messages susceptibles de s’insérer dans ces discussions.»
Les travaux, initiés à la demande de la compagnie internationale de sécurité défense Thales et soutenus par une subvention du CRSNG, ont déjà permis de mettre au point une première version de l’assistant intelligent. À la base, c’est une série d’algorithmes et d’applications développés pour le web ordinaire, que les chercheurs ont adapté à leur nouvelle mission.
Percer le Web obscur
Phishing, pharming, DDos (déni de service distribué), virus Zipto… «Pour s’infiltrer et participer aux conversations, il faudra employer la même manière de parler et le même vocabulaire qu’eux, mais aussi pouvoir improviser et adopter une structure de langage fluide, ce qu’une machine ne peut pas réaliser à 100%», note le Pr Khoury.
Impossible donc d’utiliser un système complètement automatisé, qui serait facilement repéré par les cybercriminels. Ce qui pousse le chercheur à soutenir que le premier défi serait en définitive plus social que technologique. «Il faut que l’agent de surveillance puisse dissimuler sa vraie identité dans la communauté criminelle. L’assistant ne sera jamais un avatar indépendant, en tout temps les messages pourront être réécrits pour s’assurer de la fluidité et de la pertinence de la conversation», ajoute le chercheur.
Et il n’y a pas que les cybercriminels qui sont ciblés. l’assistant intelligent pourrait seconder les agents au sein des chemins de traverse du Web plus traditionnel. L’analyse de conversation pourrait par exemple s’étendre aux tentatives d’intimidation, des menaces jusqu’aux prédateurs sexuels. À l’écoute du Web, certains veillent.