Cybersécurité : le coût des marketplaces du "dark web"

Sur les places de marché du dark web, l’exploit moyen est vendu moins de 10 dollars. Mais les failles « zero day » peuvent s’échanger pour plusieurs milliers $.

HP a livré son rapport* sur l’évolution du cybercrime. Les résultats d’une investigation sur le dark web commandée à la société Forensic Pathways* viennent l’alimenter.

Quels sont les principaux enseignements de ce rapport ?

Sur les places de marché du dark web, les recherches se concentrent sur l’exploitation de failles connues dans des logiciels populaires. Les exemples incluent Windows, Microsoft Office, des systèmes de gestion de contenu (CMS), des serveurs web et de messagerie…

En outre, 91% des 174 exploits** repérés en début d’année et promus via le dark web sont vendus moins de 10 $. Par ailleurs, 76% des 1 653 publicités étudiées portant sur des malwares proposent un ensemble de logiciels malveillants au même tarif.

Aussi, le coût moyen d’informations d’identification volées pour accéder à une instance RDP (Remote Desktop Protocol) ne dépasse pas 5 $.

Des tarifs bien plus élevés, entre 1000 $ et 4000 $ en moyenne, sont proposés pour des kits censés permettre à leurs acquéreurs d’exploiter les vulnérabilités de systèmes de niche.

Quant aux failles « zero day » (vulnérabilités qui ne sont pas encore connues du public), elles peuvent se vendre de 10 à « plusieurs milliers de dollars » sur les marketplaces du dark web.

Caution des uns, protection des autres

Les vendeurs se verront souvent imposer une caution.

En outre, 77% des places de marché cybercriminelles analysées exigent des fournisseurs une sorte de licence pour vendre. Celle-ci peut atteindre jusqu’à 3 000 $. Les acteurs maveillants vendent des produits par lots, proposent des kits logiciels « plug-and-play », du malware en tant que service et des didacticiels pour faciliter la vente auprès de profils moins techniques.

En outre, 2 à 3% « seulement » des acteurs de la menace cyber seraient des programmeurs avancés. Que ces indivus et réseaux soient des experts ou non, mieux vaut s’en protéger. HP recommande donc aux entreprises de maîtriser les bases de la sécurité cyber :

Authentification multifacteur, gestion des correctifs et des accès, réduction de la surface d’attaque, matériels et logiciels adoptant la sécurité dès leur conception (security by design)…

*_{Forensic Pathways a collecté entre février et mars 2022 des listings de places de marché (marketplaces) sur le réseau Tor à l’aide de robots (crawlers). source : HP Wolf Security « The Evolution of Cybercrime ».}

**_{Code ou programme qui permet de contrôler des systèmes en tirant parti de vulnérabilités logicielles.}

Lire aussi : Cybersécurité : 5 certifications du CISSP au hacker éthique