Qu'est-ce que la surveillance du dark web et comment fonctionne-t-elle

Selon le rapport ENISA Threat Landscape 2025, les malwares infostealers ont augmenté de 30 % par rapport à l'année précédente, ce qui en fait l'une des principales sources d'identifiants volés qui finissent sur les marchés clandestins. L'IOCTA d'Europol confirme que les places de marché du dark web restent le principal point de vente des accès d'entreprise compromis. La surveillance du dark web est le processus de renseignement qui détecte lorsque les données de votre organisation apparaissent dans des fuites, des journaux de stealers, des marchés illégaux et des canaux Telegram avant qu'elles ne puissent être exploitées.

Où apparaissent réellement les données volées

Le terme « dark web » est utilisé au sens large, mais en pratique, les données compromises ne se trouvent pas uniquement sur les sites .onion. Les principales sources sont :

• Places de marché du dark web : sites .onion où sont vendus des accès RDP, des identifiants VPN et des panneaux d'administration. Les Initial Access Brokers (IAB) vendent des accès aux réseaux d'entreprise à des prix allant de 500 $ à 50 000 $ selon la taille de l'organisation.
• Canaux Telegram : ces dernières années, Telegram est devenu le principal canal de distribution des données volées. Des groupes comptant des milliers de membres partagent des journaux de stealers, des bases de données piratées et des identifiants, gratuitement ou via des abonnements payants.
• Forums clandestins et pastes : forums où sont publiés des fragments de bases de données, des configurations exposées et des identifiants en clair.
• Dépôts de journaux de stealers : collections massives de données extraites par des malwares infostealers (Redline, Raccoon, Vidar, Lumma) qui incluent non seulement des identifiants mais aussi des historiques de navigation complets, des cookies de session actifs et des fichiers du bureau des victimes.

Journaux de stealers : la menace que la plupart des organisations ignorent

Les fuites de données traditionnelles exposent des combinaisons e-mail/mot de passe. Mais les journaux de stealers vont bien au-delà. Lorsqu'un infostealer infecte une machine, il extrait :

• Tous les identifiants du navigateur : pas seulement ceux du site cible, mais ceux de tous les services où la victime avait enregistré des connexions : e-mail professionnel, VPN, panneaux d'administration, services cloud, banque en ligne.
• Cookies de session actifs : ils permettent d'accéder à des comptes sans avoir besoin de mot de passe ni de 2FA. Un cookie de session d'un panneau d'administration d'entreprise suffit pour qu'un attaquant entre directement.
• Historique de navigation : il révèle des URL internes de l'organisation qui n'apparaîtraient jamais dans le DNS public : intranets, serveurs Jira, instances Confluence, panneaux Jenkins, points d'accès d'API internes.
• Fichiers du bureau : le module FileGrabber présent dans de nombreux stealers récupère des documents, des configurations, des fichiers .env et des notes depuis le bureau de la victime.

Cela signifie qu'un seul employé infecté peut exposer toute l'infrastructure interne d'une organisation. C'est pourquoi la surveillance du dark web doit inclure l'analyse des journaux de stealers, et pas uniquement la recherche de mots de passe compromis.

Comment fonctionne la surveillance du dark web en pratique

Une plateforme de surveillance efficace combine plusieurs technologies pour couvrir toutes les sources où apparaissent les données compromises :

1. Indexation continue des fuites : à chaque nouvelle fuite publiée, le contenu est traité, dédoublonné et indexé pour une recherche immédiate. Intelligence Security maintient un index de plus de 500 milliards d'enregistrements provenant de fuites historiques et récentes.
2. Collecte de journaux de stealers : les journaux d'infostealers sont collectés depuis les canaux Telegram, les forums et les places de marché, puis parsés et indexés, permettant des recherches par domaine, e-mail ou URL spécifique.
3. Surveillance des cookies de session : les cookies extraits par les stealers sont indexés séparément, ce qui permet aux organisations de détecter les sessions actives compromises qui nécessitent une invalidation immédiate.
4. Reconnaissance de domaine : les données de fuites sont croisées avec l'infrastructure du domaine pour identifier les sous-domaines, les e-mails d'entreprise et les URL exposés à travers les sources de renseignement.

Que faire lorsque vous trouvez des données exposées

Détecter que les données de votre organisation apparaissent sur le dark web n'est que la première étape. Ce qui sépare la surveillance utile de la surveillance décorative, c'est le processus de réponse :

• Identifiants dans des fuites : forcer une réinitialisation immédiate du mot de passe des utilisateurs concernés. Vérifier si les mêmes identifiants sont réutilisés sur d'autres services internes.
• Cookies de session actifs : invalider immédiatement toutes les sessions de l'utilisateur concerné. Examiner les journaux d'accès pour détecter une utilisation non autorisée antérieure.
• Journaux de stealers avec historique de navigation : identifier quels systèmes internes ont été exposés dans l'historique. Auditer les accès à ces systèmes. La machine infectée peut toujours être compromise.
• Accès d'entreprise mis en vente : activer votre protocole de réponse aux incidents. Changer les identifiants de tous les services compromis. Examiner l'infrastructure pour détecter la persistance de l'attaquant.

Mise en œuvre : par où commencer

• Définissez vos actifs critiques : domaines d'entreprise, e-mails des dirigeants et du personnel clé, marques, IP de l'infrastructure.
• Recherchez de manière proactive : n'attendez pas les alertes. Effectuez des recherches périodiques sur vos domaines sur une plateforme qui couvre les fuites, les journaux de stealers, les cookies et les sources du dark web. Intelligence Security vous permet de rechercher tous ces types de données depuis une seule interface.
• Hiérarchisez par gravité : toutes les expositions ne sont pas aussi urgentes. Un cookie de session actif d'un administrateur est critique ; un mot de passe d'un service abandonné est informationnel.
• Intégrez à votre réponse aux incidents : les résultats de la surveillance doivent alimenter directement votre processus de réponse, et non finir dans un rapport que personne ne lit.

Conclusion

La surveillance du dark web va bien au-delà de la simple vérification de l'apparition de votre e-mail dans une fuite. C'est un processus de renseignement qui doit couvrir les fuites de données, les journaux de stealers, les cookies de session et l'infrastructure exposée de votre organisation. Avec plus de 500 milliards d'enregistrements indexés, Intelligence Security fournit un accès au renseignement sur les fuites, aux journaux de stealers, aux cookies de session et à la reconnaissance de domaine dans une plateforme unique, vous permettant de détecter et d'agir sur les menaces avant qu'elles ne causent des dommages.