La découverte de données volées sur Internet est souvent le premier signe d’une violation. La startup basée à Baltimore nommée Terbium Labs - d'après l’élément chimique gris argenté et malléable du même nom - affirme qu’elle a mis au point une technologie qui permet de retrouver les données plus rapidement et de manière plus sécurisée. Son CEO, Danny Rogers, et son CTO, Michael Moore, ont expliqué que, pour trouver des données volées, ils avaient adopté une approche de traitement à grande échelle. Appelé Matchlight, le produit de Terbium utilise des techniques d'empreintes numériques et créer des tables de hachage des données de l’entreprise qu’ils surveillent. La taille des fragments stockés par Terbium ne dépasse pas 14 octets, et à eux seuls, les haschs ne permettent pas de reconstituer les données d'origine.
Autre composante majeure de la solution de Terbium : une indexation massive des profondeurs du Web, le fameux « Dark and Deep Web », qui désigne les sites Web difficiles à trouver et les interstices de l'Internet où les cybercriminels échangent et vendent des données. Les haschs collectés auprès des entreprises par Terbium sont comparés aux données partagées sur le Web. « Cela nous permet de rechercher automatiquement un élément dans les données de l'entreprise sans réellement savoir de quelles données il s’agit », a déclaré Danny Rogers. « La préoccupation essentielle des experts en sécurité qui travaillent pour ces grandes entreprises est de contrôler et de protéger les données, même celles de leurs propres fournisseurs », a-t-il ajouté. « Cela leur permet de rechercher des choses sans avoir à révéler de quelles choses il s’agit ». Parce que le hachage et la comparaison se font en temps réel, Terbium affirme qu'elle est capable de repérer une violation en quelques minutes, alors qu’en général la découverte intervient six à huit mois plus tard. Les entreprises peuvent choisir les applications ou les magasins de données que Terbium peut surveiller.
Plus de 600 adresses et mots de passe de messagerie retrouvés en 24h
Si Matchlight trouve dans le « Dark Web », un élément dont l’empreinte semble proche, il peut estimer le degré de similitude avec les données de l'entreprise. En se faufilant dans les arcanes du Web, Terbium parvient à indexer les parties obscures du Web. C’est le cas par exemple de ces sites qui utilisent le système d’anonymisation Tor pour masquer leurs véritables adresses IP. Les sites cachés sont de plus en plus prisés par les pirates, car ils sont plus difficiles à trouver et ils les protègent des autorités judiciaires. Le système d'indexation suit naturellement les liens postés dans le Dark Web. « Ce que nous recherchons, ce sont des espaces où les gens livrent ou tentent de monétiser des données volées », a déclaré Danny Rogers. La start-up surveille également certains sites grand public à intervalles de 30 secondes dans le genre de Reddit, Pastebin et Twitter, également utilisés par les pirates.
Matchlight envoie une alerte à l’entreprise dès qu’il trouve un bout de données lui appartenant. La solution analyse ensuite une certaine quantité d'empreintes numériques pour voir si elles peuvent correspondre à des données originales détenues par l’entreprise. « Après quoi, les entreprises peuvent éventuellement entame une procédure de médiation pour la violation », a encore ajouté Danny Rogers. Ce dernier raconte que le jour de mise en service de Matchlight, Terbium a trouvé 20 à 30 000 numéros de carte de crédit et plus de 600 adresses et mots de passe de messagerie dans les 24 premières heures. « Ces deux types de données ont été repérés quelques minutes seulement après avoir été postés », a déclaré le CEO de Terbium. Plusieurs entreprises classées au Fortune 500, dont des mutuelles de santé, des constructeurs et des services financiers, sont actuellement en train de tester Matchlight. « Le prix du service n’est pas encore établi, mais nous envisageons un tarif forfaitaire basé sur les volumes de données ou le nombre de dossiers surveillés », a déclaré Danny Rogers.