Le Cloud dans le Darkweb s’organise, Europole utilise le terme Crime as a Service (CaaS). Le CaaS est constitué par des plateformes mettant à disposition des solutions malveillantes sous forme de services payants.

D’où viennent ces génies qui fabriquent ces offres ?

Sur le Darkweb, les participants sont anonymes, leur renommée est avant tout basée sur leur réputation. Pour un participant, il est indispensable d’avoir des clients et des recommandations pour progresser dans ce système basé sur une hiérarchie de recommandations.

Les offres CaaS sont disponibles en grand nombre, le RaaS (Ransomwareas a Service) est celui qui a le plus de succès : un service payant permettant de bloquer les données d’une entreprise pour en faire un racket. Puis on trouve le PhaaS (Pishing as a Service) qui propose de fabriquer des copies de sites pour collecter des identifiants de connexion.

Comment ces données sont-elles collectées ?

En 2018, cela coûte environ 10 centimes pour disposer de chats personnels d’utilisateurs Facebook (informations collectées par une application connexe à Facebook).

La tentation serait-elle une des sources ?

La sécurité des informations n’a jamais été aussi dépendante de la bonne gestion des ressources humaines de ses fournisseurs. Confier ses applications à un fournisseur SaaS, c’est aussi une évidence : les données et les applications deviennent accessibles hors de l’entreprise.

Pourtant, le Darkweb fait recette, avec des spécialistes qui sont, parfois, aussi ceux qui travaillent dans les grandes entreprises qui fournissent du SaaS.

Pour un client, cela implique de s’intéresser de près aux normes de sécurité de ses fournisseurs, et au delà, de s’assurer de sa politique des Ressources Humaines.