Cet article a été mis à jour le 29 septembre 2025.
Les acteurs malveillants qui achetaient et vendaient traditionnellement des logiciels malveillants, des identifiants de connexion et des informations sensibles sur les marchés trouvés sur Tor (The Onion Router) quittent de plus en plus le dark web et s'installent sur des plateformes de messagerie instantanée, telles que TelegramLà, ils peuvent librement acheter et vendre des logiciels malveillants illicites comme Bots OTPce qui peut mettre en danger la sécurité de votre organisation.
Pourquoi les cybercriminels quittent-ils le Dark Web ?
Pour comprendre pourquoi les acteurs malveillants délaissent le dark web, il est utile de comprendre pourquoi ils ont initialement opté pour Tor. Tor permet une navigation et un hébergement de sites web quasi totalement anonymisés grâce à des URL se terminant par .onion. Le trafic est acheminé via des nœuds répartis dans le monde entier, transitant généralement par plusieurs nœuds avant d'atteindre sa destination, sans jamais quitter le réseau.
Cela assure un haut degré d'anonymat, ce qui représente un avantage pour les acteurs malveillants, mais se traduit également par une lenteur extrême : les pages .onion mettent souvent plus d'une minute à charger. De plus, le téléchargement et l'envoi de fichiers volumineux peuvent prendre des jours, voire des semaines, selon leur taille. Les informations publiées sur marchés du dark web surélevées que pour les forums Elle est également par nature permanente, étant donné que les agences gouvernementales et les sociétés de sécurité surveillent et archivent en permanence le dark web.
Les messageries instantanées des réseaux sociaux ne présentent quasiment aucun de ces inconvénients. Elles sont conçues pour être rapides et faciles d'utilisation, et lorsqu'une messagerie est infiltrée par les forces de l'ordre ou les services de sécurité, une nouvelle peut être créée rapidement. Bien que les données soient archivées sur ces messageries, elles peuvent paraître plus anonymes et moins permanentes que la publication de fichiers ou d'informations sur le dark web, notamment grâce à la possibilité de programmer leur suppression automatique après un certain délai.
Bien que les acteurs malveillants utilisent souvent plusieurs applications de messagerie instantanée, Discord, Signal, TOX, Matrix et Session figurent parmi leurs préférées. Nos recherches montrent qu'en janvier 2025, L'application la plus populaire pour les activités illégales est Telegram..
Qu'est-ce que le télégramme?
Telegram est une application de messagerie qui offre à ses utilisateurs à la fois simplicité d'utilisation et anonymat. Elle est populaire auprès des cybercriminels pour plusieurs raisons : Telegram est gratuite, intuitive, propose le chiffrement et permet de réunir jusqu'à 200 000 membres dans un groupe, ainsi que de partager des fichiers jusqu'à 4 Go.
Au fil des ans, Telegram est devenu un véritable écosystème cybercriminel, rivalisant avec les forums et marchés cybercriminels traditionnels basés sur Tor. La plateforme permet aux utilisateurs de communiquer avec de larges groupes de personnes, soit en créant des groupes, soit via des chaînes permettant de diffuser et de partager des fichiers avec une audience illimitée. Ces chaînes sont spécialisées et indexées.
Quels types de contenus malveillants peut-on trouver sur Telegram ?
Presque tout ce que l'on peut trouver sur un marché traditionnel du dark web se trouve également sur des canaux de messagerie instantanée illicites.
Des comptes bancaires, des identifiants volés, des bots de mots de passe à usage unique, des chèques falsifiés et même des appareils infectés peuvent être facilement achetés via Telegram, de nombreuses plateformes s'efforçant de faciliter au maximum les transactions et l'utilisation des informations volées.
Les bots OTP, utilisés pour contourner les contrôles 2FA et MFA, sont un exemple du type de logiciels malveillants vendus sur chaînes Telegram illicites.
Que sont les bots OTP ?
Bots de mots de passe à usage unique (Robots OTP) sont essentiellement une méthode utilisée par les acteurs malveillants pour tenter de collecter à grande échelle les codes d'authentification à deux facteurs (2FA) auprès des victimes.
Les mots de passe à usage unique (OTP) sont des codes uniques et temporaires utilisés dans l'authentification à deux facteurs (2FA). Pour accéder à son compte, l'utilisateur saisit son mot de passe habituel et un OTP, envoyé par e-mail ou SMS. Des bots OTP ont été créés pour contourner cette couche de sécurité supplémentaire. Leur fonctionnement est généralement le suivant :
- Les acteurs malveillants achètent des identifiants de connexion volés sur le dark web ou utilisent d'autres méthodes pour découvrir les mots de passe.
- Si l'authentification à deux facteurs est activée pour un compte, des acteurs malveillants utilisent des bots pour voler le code temporaire. Selon le compte ciblé, le bot peut envoyer un SMS demandant un code, un appel automatisé ou des notifications push répétées sur le téléphone de l'utilisateur.
- La victime peut tomber dans le piège de l'escroquerie et donner par erreur accès à des personnes malveillantes.
Leur popularité s'explique en partie par le fait que les bots OTP ne nécessitent aucune compétence technique. Les acteurs malveillants peuvent les acheter et les déployer contre les cibles de leur choix.
Se défendre contre les bots OTP
Les bots OTP sont souvent utilisés pour faciliter la fraude financière personnelle, mais les acteurs malveillants utilisent également des bots OTP pour attaquer les entreprises.
Il est facile d'imaginer un scénario où une fuite de données expose des centaines d'identifiants de connexion d'entreprise. Un acteur malveillant peut alors trouver les numéros de téléphone des victimes grâce à l'OSINT et les utiliser pour obtenir des mots de passe à usage unique et contourner l'authentification à deux facteurs.
Tactiques pour atténuer les attaques de bots OTP
Heureusement, il existe de nombreuses stratégies qui peuvent aider à protéger votre organisation contre les attaques de bots OTP :
- Utiliser la détection des mots de passe compromisLes bots OTP sont inefficaces si le pirate ne parvient pas à obtenir le mot de passe correct. Votre organisation a tout intérêt à mettre en place une politique de mots de passe robustes.
- Déploiement d'une détection avancée des menaces : Les systèmes de détection des menaces fournissent des alertes en temps réel sur les menaces potentielles pesant sur votre organisation. La détection avancée des menaces garantit une réponse plus rapide et plus efficace à toute faille de sécurité.
- Réaliser des audits de sécurité : Des audits de sécurité réguliers peuvent aider à identifier les vulnérabilités que les bots OTP pourraient exploiter.
- Canaux de transmission OTP sécurisés : Certains bots interceptent les mots de passe à usage unique lors de leur transmission. Le chiffrement des canaux de communication ou le passage à des méthodes de transmission de mots de passe à usage unique plus sécurisées, telles que les jetons matériels ou les applications d'authentification dédiées, peuvent s'avérer utiles.
Surveillez les menaces externes avec des fusées éclairantes
Le La gestion des expositions aux cybermenaces de Flare Notre solution permet aux organisations de détecter, de hiérarchiser et d'atténuer de manière proactive les vulnérabilités fréquemment exploitées par les acteurs malveillants. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7 afin de détecter les événements inconnus, de hiérarchiser les risques et de fournir des renseignements exploitables immédiatement pour améliorer la sécurité.
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Découvrez les menaces externes auxquelles votre organisation est exposée en vous inscrivant à notre programme. essai gratuit.
