Depuis son lancement en août 2013, Telegram est devenue l’application de messagerie incontournable pour les utilisateurs soucieux de leur confidentialité. Pour commencer à utiliser l’application, les utilisateurs peuvent s’inscrire en utilisant soit leur vrai numéro de téléphone, soit un numéro anonyme acheté sur le marché blockchain Fragment. Dans ce dernier cas, Telegram ne peut pas être lié au numéro de téléphone réel de l’utilisateur ou à tout autre informations personnellement identifiables (PII).
Telegram est également connu depuis longtemps pour sa politique de modération sans intervention. La plateforme a explicitement indiqué dans sa FAQ que les discussions privées étaient totalement interdites à la modération. La modération du contenu était plutôt dirigée par l’utilisateur, et le signalement des activités illégales était principalement laissé aux utilisateurs eux-mêmes. En revanche, nombre de ses pairs, comme WhatsApp, investissent massivement dans la modération du contenu et dans la coopération avec les forces de l’ordre.
Ces caractéristiques ont également fait de Telegram l’application de messagerie de choix pour la cybercriminalité et d’autres activités illégales. Cela inclut la distribution malwarevendre des biens et services illégaux, recruter des associés et coordonner cyberattaques. Pour les groupes de cybercriminalité plus organisés, Telegram constitue une plateforme permettant de partager des renseignements opérationnels et d’amplifier les activités illicites, de la même manière que le font les organisations légitimes sur les chaînes grand public.
Cependant, l’approche de Telegram en matière de confidentialité des utilisateurs et de modération du contenu a considérablement changé après l’arrestation du PDG Pavel Durov en France le 24 août 2024, la société modifiant discrètement sa page FAQ et sa politique de confidentialité au cours des semaines suivantes. Bien que le code source de l’application n’ait pas changé, selon le porte-parole de Telegram, Remy Vaughn, les utilisateurs peuvent désormais signaler une activité illégale pour un retrait automatisé ou une modération manuelle. En outre, Telegram a également mis à jour sa politique de confidentialité, déclarant que, dès réception d’une ordonnance judiciaire valide, il divulguera les numéros de téléphone et les adresses IP des utilisateurs.
Qu’est-ce que cela signifie pour les équipes de cybersécurité ?
Bien que ces changements constituent sans doute un pas dans la bonne direction pour les forces de l’ordre, ils entraînent également une migration des activités cybercriminelles vers d’autres plateformes, telles que Signal ou Session. Un syndicat de cybercriminalité, connu sous le nom de gang de ransomware Bl00dy, a déclaré publiquement qu’il quittait Telegram en conséquence directe du changement de politique de l’entreprise. De nombreux groupes hacktivistes ont également emboîté le pas, tout comme les utilisateurs légitimes qui comptent sur Telegram pour leur liberté d’expression dans des régimes oppressifs.
Malheureusement, on pourrait également considérer ces changements de politique comme un simple déplacement des activités illégales, la cybercriminalité se fragmentant sur un éventail toujours plus large de plateformes. Cela pourrait potentiellement compliquer la tâche des forces de l’ordre et des cybersécurité les analystes pour suivre et perturber acteurs de la menace. Par exemple, les équipes rouges peuvent avoir plus de mal à accéder à ces communautés souterraines pour identifier et atténuer les menaces avant qu’elles ne puissent causer de réels dégâts.
Explorez les solutions de sécurité des données
Telegram est depuis longtemps une riche source de renseignements sur les menacesde nombreux canaux publics étant utilisés pour organiser des activités cybercriminelles. Alors que les discussions privées sont, pour la plupart, totalement interdites aux analystes des menaces et aux forces de l’ordre, des politiques de modération plus strictes ont également été appliquées aux chaînes publiques, facilitant potentiellement la dénonciation des criminels. Cependant, même si peu de gens diraient que c’est une mauvaise chose en principe, cela s’accompagne d’une mise en garde : les criminels pourraient simplement déménager ailleurs.
Ce qui est peut-être encore plus inquiétant est la possibilité accrue de pousser les cybercriminels et les hacktivistes dans les bras de la cybercriminalité et du cyberespionnage parrainés par l’État. Cela ouvre également la possibilité que des acteurs malveillants utilisent des plates-formes cryptées et décentralisées de bout en bout qui sont encore moins surveillées que Telegram ne l’a jamais fait. Cela pourrait compliquer les efforts des équipes rouges chargées de simuler des attaques ou de surveiller ces communautés, réduisant ainsi leur capacité à détecter rapidement les menaces.
Rien de ce qui précède ne signifie nécessairement qu’il y aura un exode massif des activités cybercriminelles de Telegram. Après tout, avec environ 900 millions d’utilisateurs mensuels, selon les propres données de Telegram, la plateforme dispose toujours d’une audience massive dont les opérations cybercriminelles à grande échelle, comme Malware-as-a-Service, ont besoin pour étendre leur portée.
En outre, les nouveaux utilisateurs peuvent toujours s’inscrire de manière anonyme en utilisant un numéro acheté sur la blockchain Fragment, auquel cas la promesse de Telegram de se conformer à une demande des forces de l’ordre concernant le numéro de téléphone d’un utilisateur n’a plus d’importance. Cela dit, Telegram pourra toujours partager des adresses IP, qui pourraient encore potentiellement être utilisées pour suivre l’activité d’un utilisateur.
Que peuvent faire les responsables de la sécurité pour garder une longueur d’avance sur les menaces ?
Comme tous les responsables de la sécurité le savent, le paysage des menaces est en constante évolution et devient de plus en plus complexe à mesure que les opérations cybercriminelles deviennent plus fragmentées entre les plates-formes. De nombreux outils et stratégies de surveillance des menaces ont du mal à suivre le rythme, offrant ainsi une couverture limitée, voire inexistante, pour les plateformes autres que Telegram. La montée continue des plateformes décentralisées et open source ne fera que compliquer davantage chasse aux menaces et analyse. En outre, les États rivaux développent leurs propres plateformes de cyberespionnage et de cybercriminalité parrainée par l’État.
Il n’a jamais été aussi important d’adopter une position proactive en matière de cybersécurité, une position qui couvre toutes les plateformes et qui est capable de prioriser l’attribution des menaces à travers plusieurs points de données. Cela signifie s’appuyer sur une combinaison d’expertise humaine et d’outils avancés d’analyse des menaces pour accéder aux renseignements provenant de canaux qui autrement pourraient rester cachés.
Les renseignements sur les menaces basés sur l’IA offrent une puissante augmentation à l’expertise et à la perspicacité d’analystes de sécurité talentueux. Par exemple, la stylométrie — qui examine les caractéristiques linguistiques pour créer un profil unique du style d’écriture d’un utilisateur — peut aider à identifier les cybercriminels et à détecter menaces internesquelle que soit la plateforme utilisée. L’IA contribue à rendre cela possible à une échelle que les analystes humains ne peuvent espérer atteindre seuls.
Même si les cybercriminels migrent vers un nombre croissant d’autres plateformes, leur comportement peut encore révéler divers schémas. Grâce à la possibilité de suivre leurs activités, telles que le calendrier de certaines publications et les styles d’interaction, les analystes peuvent créer des profils complets qui peuvent les aider à relier les opérations et les individus sur toutes les plateformes.
Même s’il deviendra de plus en plus difficile – voire impossible – de suivre des points de données tels que les métadonnées transactionnelles ou l’historique des transactions de crypto-monnaie, les outils d’analyse comportementale basés sur l’IA peuvent contribuer à combler l’écart en aidant les analystes humains à identifier les acteurs de la menace et leurs vecteurs d’attaque. Cela ne fera que devenir plus important à mesure que les activités de cybercriminalité se dispersent sur toutes les plateformes et que les analystes en sécurité tentent de maintenir une visibilité sur la prochaine génération de cybermenaces.
Rédacteur indépendant en marketing de contenu
Continuer la lecture