Initial Access Brokers – Et si j’achetais l’accès à votre système informatique ?

Auteur
Etudiante du MAS LCE
Thématique
Cybercriminalité et nouvelle technologie

Lorsque Henry Ford a introduit le travail à la chaîne en 1913, il a révolutionné le monde du travail. Au lieu de fabriquer un produit de A à Z, un ouvrier était désormais spécialisé dans une étape précise du processus de production. Plus d’un siècle plus tard, ce principe a également trouvé sa place dans le domaine de la cybercriminalité : aujourd’hui, un seul hacker n’est souvent plus responsable de toutes les phases d’une cyberattaque. Pour chaque phase d’une attaque, il existe des spécialistes qui, pour la plupart, proposent leurs services en ligne contre rémunération. Le but du présent article est de faire la lumière sur les personnes qui se spécialisent sur l’obtention de données d’accès à des réseaux informatiques : les « Initial Access Brokers » (IAB). Dans une première partie, nous définirons ce terme avant d’expliquer les détails de ce concept. En conclusion, nous nous poserons la question de l’avenir de ces acteurs.

« Initial Access Broker » – une définition

Les « Initial Access Broker » – ou courtiers d’accès initial en français – sont des acteurs qui fournissent à d’autres cybercriminels (par exemple des groupes de ransomware) des accès illicites à des machines et des réseaux informatiques contre paiement1Team CrowdStrike Intelligence, « Improved ECX Model Shows Increasing Relevance of Access Broker Market », crowdstrike.com, 22.04.2021, https://www.crowdstrike.com/blog/increasing-relevance-of-access-broker-market-shown-in-improved-ecx-model/, consulté le 20.07.2023., 2Tatar Sule, « Initial Access Brokers », Arctic Wolf, 21.03.2023, https://arcticwolf.com/resources/glossary/what-are-initial-access-brokers/, consulté le 24.07.2023., 3Sakellariadis John, « Behind the rise of ransomware », Atlantic Council, 02.08.2022, https://www.atlanticcouncil.org/in-depth-research-reports/issue-brief/behind-the-rise-of-ransomware/, consulté le 24.07.2023.. Ces courtiers n’exploitent généralement pas directement les réseaux d’entreprise, mais vendent l’accès qu’ils ont récolté à ceux qui paient le plus4« Exposing initial access broker with ties to Conti », Google, 17.03.2022, https://blog.google/threat-analysis-group/exposing-initial-access-broker-ties-conti/, consulté le 24.07.2023., 5Walter Jim, « More Evil Markets | How It’s Never Been Easier To Buy Initial Access To Compromised Networks », SentinelOne, 17.08.2022, https://www.sentinelone.com/blog/more-evil-markets-how-its-never-been-easier-to-buy-initial-access-to-compromised-networks/, consulté le 24.07.2023..

Certains IAB agissent de manière opportuniste, d’autres sont des professionnels qui font de cette activité leur métier à plein temps6« Exposing initial access broker with ties to Conti », doc. cit.. On distingue principalement trois types de courtiers en accès initial en fonction de leur degré de professionnalisation7« Investigating the Emerging Access-as-a-Service Market – Security News », https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/investigating-the-emerging-access-as-a-service-market, consulté le 24.07.2023., 8Cozens Bill, « How Initial Access Brokers get into corporate networks (and how to stop them) », Malwarebytes, 18.11.2022, https://www.malwarebytes.com/blog/business/2022/11/initial-access-brokers-iabs-3-ways-they-break-into-corporate-networks-and-how-to-detect-them, consulté le 24.07.2023. :

  • les vendeurs opportunistes ou mercenaires, pas forcément professionnels, qui publient leurs offres occasionnelles sur des forums criminels en ligne
  • les courtiers spécialisés avec de nombreux accès à vendre : non seulement la liste de leurs victimes, mais également leur réseau clandestin de vente sont plus vastes que ceux des vendeurs opportunistes
  • les boutiques en ligne constituées d’un groupe de vendeurs qui proposent une panoplie de données pouvant être exploitées à des fins criminelles, dont des accès à des machines informatiques.

Les IAB tirent leurs accès de différentes sources, ce que nous aborderons un peu plus loin dans l’article. Une fois ces accès obtenus de manière illicite, les courtiers tenteront de les revendre sur des forums du dark web9Tatar, « Initial Access Brokers », art. cit., 10Cozens, « How Initial Access Brokers get into corporate networks (and how to stop them) », doc. cit.. De nombreux groupes de rançongiciels et leurs associés comptent notamment parmi leurs clients11Tatar, « Initial Access Brokers », art. cit., 12Team CrowdStrike Intelligence, « Access Brokers: Their Targets and Their Worth | CrowdStrike », crowdstrike.com, 23.02.2022, https://www.crowdstrike.com/blog/access-brokers-targets-and-worth/, consulté le 20.07.2023., mais on pourrait aussi imaginer des cyberacteurs étatiques qui achètent des accès à des cibles haut de gamme. Ce type d’offres d’accès est parfois appelé « access-as-a-service », même s’il s’agit plutôt d’une vente d’un produit numérique que d’un véritable service13« Investigating the Emerging Access-as-a-Service Market – Security News », doc. cit..

Qui sont les victimes ? Et comment se font elles avoir ?

En 2022, la société américaine spécialisée en sécurité de l’information et en cyber-sécurité Crowdstrike a publié une analyse citant les dix pays et les dix secteurs les plus touchés par les activités des Initial Access Brokers14Team CrowdStrike Intelligence, « Access Brokers: Their Targets and Their Worth | CrowdStrike », doc. cit..

Les États-Unis sont les plus visés par les IAB, plus de la moitié de leurs victimes y étant situées. Viennent ensuite, notamment, de grands pays industrialisés occidentaux comme la France, la Grande-Bretagne et le Canada. Malgré sa petite taille, la Suisse fait également partie des 10 nations les plus touchées par les activités des courtiers d’accès initial15Ibid..

Figure 1 : Le top 10 des victimes de Initial Access Brokers selon le pays. Copyright : CrowdStrike Intelligence Team 2022.

Non seulement la liste des pays touchés, mais également celle des secteurs économiques concernés est longue : selon Crowdstrike, des accès à des entreprises ou organisations de plus de 30 secteurs différents ont été vendus par des IAB16Ibid.. Le monde académique semble être le plus impacté, mais les gouvernements, les secteurs de la technologie, de la finance, de l’énergie et de la santé sont également des cibles de prédilection17Ibid.. Il convient de noter que les secteurs particulièrement touchés abritent souvent des infrastructures critiques : citons par exemple les hôpitaux, les banques et les fournisseurs d’énergie. Les cybercriminels ne font preuve d’aucun scrupule dans leurs activités commerciales. Par le passé, les IAB ont vendu non seulement des accès à des infrastructures critiques, mais également des accès à des systèmes d’autorités policières et judiciaires ou d’hôpitaux pour enfants18Walter, « More Evil Markets | How It’s Never Been Easier To Buy Initial Access To Compromised Networks », doc. cit..

Figure 2 : Le top 10 des secteurs touchés par les activités des Initial Access Brokers. Copyright: CrowdStrike Intelligence Team 2022.

Qui cherche, trouve (souvent…)

Pour avoir accès à des réseaux informatiques, les IAB peuvent soit lancer eux-mêmes des attaques, soit acheter des accès à des tiers criminels19« Investigating the Emerging Access-as-a-Service Market – Security News », doc. cit..

Lorsque les courtiers d’accès initial se procurent eux-mêmes les accès, ils recourent souvent à des techniques telles que le « password brute-forcing », le « password guessing » ou le « password spraying », ou ils orchestrent des attaques de phishing par le biais de l’ingénierie sociale20Team CrowdStrike Intelligence, « Improved ECX Model Shows Increasing Relevance of Access Broker Market », doc. cit., 21Cozens, « How Initial Access Brokers get into corporate networks (and how to stop them) », doc. cit., 22« Investigating the Emerging Access-as-a-Service Market – Security News », doc. cit.. Enfin, l’exploitation de failles qui n’ont pas été corrigées est un moyen très répandu d’accéder aux systèmes informatiques23Team CrowdStrike Intelligence, « Improved ECX Model Shows Increasing Relevance of Access Broker Market », doc. cit., 24Cozens, « How Initial Access Brokers get into corporate networks (and how to stop them) », doc. cit., 25« Investigating the Emerging Access-as-a-Service Market – Security News », doc. cit..

Parlons un peu argent…

Nous connaissons maintenant les secteurs les plus touchés et les principaux vecteurs par lesquels les IAB obtiennent les accès à des systèmes informatiques. Mais qu’est-ce que cela représente en termes d’argent ?

Il n’existe pas de prix unique pour un accès au réseau. De nombreux facteurs ont une influence considérable sur le prix26Team CrowdStrike Intelligence, « Access Brokers: Their Targets and Their Worth | CrowdStrike  », doc. cit., 27Cozens, « How Initial Access Brokers get into corporate networks (and how to stop them) », doc. cit., 28Team CrowdStrike Intelligence, « Improved ECX Model Shows Increasing Relevance of Access Broker Market », doc. cit., 29« Investigating the Emerging Access-as-a-Service Market – Security News », doc. cit. :

  • le secteur d’activité (les accès aux organisations gouvernementales ou financières sont particulièrement lucratifs)
  • le pays (si l’on considère la liste des pays concernés, des accès à des organisations américaines sont probablement fort prisés)
  • le vendeur (les vendeurs établis peuvent demander des prix plus élevés)
  • les droits de l’utilisateur (plus les droits de l’utilisateur d’un accès sont élevés, plus le prix peut être élevé).
  • la taille de l’entreprise (les accès aux grandes entreprises avec un chiffre d’affaires annuel élevé ont plus de valeur que les accès aux PME).

Afin de rendre l’offre attrayante pour les acheteurs potentiels, les IAB créent une sorte de petite annonce, dans laquelle sont indiqués les facteurs pertinents mentionnés ci-dessus pour justifier le prix30Team CrowdStrike Intelligence, « Improved ECX Model Shows Increasing Relevance of Access Broker Market », doc. cit., 31Sakellariadis, « Behind the rise of ransomware », art. cit.. En règle générale, ni le prix exact de l’accès, ni le nom de la victime ne sont publiés32« Investigating the Emerging Access-as-a-Service Market – Security News », doc. cit..

Figure 3 : Exemple d’une offre publiée par un Initial Access Broker. Trendmicro 2021.

Un peu comme pour les petites annonces, les clients peuvent parcourir les pages du darknet de l’IAB à la recherche d’offres intéressantes.

A chacun son domaine de spécialisation

On pourrait maintenant se demander pourquoi les Initial Access Brokers ne piratent pas eux-mêmes les différentes entreprises et organisations ou ne les infectent pas avec des rançongiciels, puisqu’ils ont déjà les accès. Pourquoi vendre ces accès et ne pas les utiliser eux-mêmes ? Il y a deux raisons à cela. D’une part, les IAB n’appartiennent pas nécessairement à un groupe de ransomware et n’ont donc pas forcément accès aux rançongiciels. D’autre part, le risque lié à la poursuite pénale par les autorités compétentes est bien plus élevé lors de la réalisation d’une attaque que lors de la simple vente d’accès à un réseau33Cozens Bill, « How Initial Access Brokers get into corporate networks (and how to stop them) », Malwarebytes, 18.11.2022, https://www.malwarebytes.com/blog/business/2022/11/initial-access-brokers-iabs-3-ways-they-break-into-corporate-networks-and-how-to-detect-them, consulté le 01.08.2023..

Les acheteurs tels que les groupes de ransomware profitent aussi de la spécialisation des acteurs cybercriminels. En passant moins de temps à chercher des accès à des réseaux, ils disposent de plus de temps pour se répandre à l’intérieur du réseau (pour les phases dites « privilege escalation » et « lateral movement »),34Sakellariadis, « Behind the rise of ransomware », art. cit., 35« Investigating the Emerging Access-as-a-Service Market – Security News », doc. cit. pour rechercher des données intéressantes (c’est-à-dire confidentielles ou sensibles) sur le réseau des victimes, pour mieux les faire chanter36« Investigating the Emerging Access-as-a-Service Market – Security News », doc. cit., pour négocier avec elles37Tatar, « Initial Access Brokers », art. cit., et enfin pour développer ou améliorer les rançongiciels.

Ces dernières années, de nombreux experts en cybersécurité ont constaté un développement de l’écosystème cybercriminel, dû notamment à la spécialisation des différents acteurs, à la professionnalisation et à l’industrialisation des cyberattaques38« Fog of war: how the Ukraine conflict transformed the cyber threat landscape », Google, 16.02.2023, consulté le 24.07.2023., 39« Ransomware attacks becoming more and more professional – and dangerous », https://www.infoguard.ch/en/blog/ransomware-attacks-becoming-more-and-more-professional-and-dangerous, consulté le 24.07.2023..

Initial Access Broker – pourquoi cette fonction nécessite notre attention ?

Nous venons de définir l’Initial Access Broker, de présenter qui sont les victimes et quelles sont les techniques utilisées pour obtenir des accès et nous avons également relevé que ces cybercriminels gagnent non seulement leur vie avec cette activité, mais qu’ils contribuent au développement de cyberattaques avec rançongiciels.

Mais, avant de lire cet article, aviez-vous déjà entendu parler de ces Initial Access Brokers ?

Chaque jour ou presque, nous lisons dans les journaux des articles sur les attaques avec rançongiciel et sur les tentatives désespérées des victimes pour déchiffrer leurs systèmes. Mais hormis dans le milieu de la cybersécurité, nous n’entendons que rarement parler des IAB, alors qu’il s’agit d’acteurs qui sont à la source de nombreuses attaques.

Comme l’entreprise de logiciels et de cybersécurité japonaise Trendmicro l’explique bien, les personnes chargées de la défense de systèmes informatiques ont tendance à s’intéresser à la partie la plus visible de l’attaque, celle du chiffrement par rançongiciel, alors que les activités de l’IAB sont injustement reléguées au second plan40« Investigating the Emerging Access-as-a-Service Market – Security News », doc. cit. :

Figure 4 : Une estimation de la répartition entre les groupes de ransomware et les courtiers d’accès des profits, de l’attention des médias, de la visibilité auprès de la victime et de la responsabilité de l’attaque. Trendmicro 2021.

Pour réduire la menace des attaques de rançongiciels à l’avenir, il est donc primordial que les experts en cybersécurité, les médias et les autorités prennent conscience du rôle crucial des courtiers d’accès initial et tentent de manière plus ciblée de rendre leur travail plus difficile, de sorte que le message soit le plus souvent possible « Access Denied ».