Découvrez Threat Flow, la première application d'IA générative transparente du secteur de la cybersécurité

FAQ – Foire aux questions

 

Flare: l'entreprise

Pourquoi Flare a-t-il été conçu?

Nos cofondateurs montréalais, Mathieu Lavoie, Israël Hallé et Yohan Trépanier Montpetit, ont créé Flare en 2017 après avoir travaillé dans des équipes offensives pour des services financiers et bancaires. Ils cherchaient à partager leurs connaissances et leur expertise en cybersécurité en créant un outil accessible à toutes les organisations, quelle que soit leur taille ou leur niveau d'expertise. L'objectif était de démocratiser ces services et de les rendre accessibles à un plus grand nombre. En savoir plus sur l'histoire de Flare.  

Dans quels secteurs d'activité Flare peut-il opérer?

Flare compte des clients dans divers secteurs à l'échelle internationale. Les cas d'utilisation pour la surveillance du Web clandestin, la surveillance des fuites de données ainsi que d'autres services peuvent s'appliquer à tous les domaines et s'adapter aux besoins de chaque entreprise. Consultez nos exemples de réussite pour en savoir plus.  

Comment fonctionne la tarification de Flare? Quelle est la différence entre le prix par utilisateur et le prix par identifiant?

Nous offrons un modèle de tarification transparent et flexible qui vous permet de moduler en fonction des besoins de surveillance de votre entreprise. Plutôt que de facturer par utilisateur, ce qui ne tient pas compte des différents niveaux d'utilisation de la plateforme, la facturation par identifiant permet de trouver la formule la plus appropriée pour votre organisation en fonction du nombre d'employés et du secteur d'activité.   

Qu'est-ce qu'un identifiant? 

Les identifiants sont des termes recherchés à travers le Web clandestin et le Web visible. La plateforme intuitive de Flare fournit ainsi une liste de risques classés par ordre de priorité. Ces identifiants désignent par exemple des noms de domaine, des mots-clés, des noms de cadres, des adresses électroniques, des adresses IP, ainsi que d'autres types de recherches pouvant contribuer à la détection des cybermenaces contre votre organisation. La plateforme automatise la couverture des identifiants et indique les points de votre surface d'attaque à surveiller.  

Quelle est la propriété intellectuelle de Flare? Disposez-vous de brevets?

Notre propriété intellectuelle combine tous les systèmes construits au cours des cinq dernières années de recherche et de développement. Ces technologies permettent de collecter, de structurer et d'analyser les données relatives à la cybercriminalité et aux cyberrisques. Nous n'avons pas l'intention de la breveter, car nous préférons protéger ce secret commercial et conserver notre avantage concurrentiel.  

Flare achète-t-il des procédures ou des données?

En se basant sur la description donnée dans les annonces de cybercriminels, nous avons constaté que nos clients sont en mesure de repérer les problèmes sans acheter de procédures. Les cybercriminels doivent inclure un certain nombre d'informations dans une annonce pour attirer les acheteurs, ce qui est généralement suffisant pour que les cyberanalystes interviennent.  

Flare travaille-t-il avec les autorités publiques?

Oui, nous collaborons avec les autorités, et nous pouvons les aider à combler le fossé qui les sépare des institutions financières et des organismes de régulation. Nous avons épaulé le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) dans le démantèlement de l'une des plus grandes places de marché du Web clandestin au monde. Découvrez comment Flare a contribué à ce retrait dans le communiqué de presse du CRTC  

Quelles sont les pratiques de Flare en matière de cybersécurité et de cadres de conformité?

Flare applique les meilleures pratiques de l'industrie en termes de cybersécurité. Les données au repos sont cryptées par AWS avec AES 256 bits, et les données en transit par SSL. Nous effectuons également un test d'intrusion annuel avec un fournisseur de services externe. Nous répondons au SOC2 de type 1, et avons pour objectif d'être conformes au SOC2 de type 2 en 2023.  

Flare: la plateforme

Comment fonctionne la plateforme de Flare?

Les clients fournissent un ensemble de termes de base (que nous appelons identifiants) tels que leur nom de domaine, les noms de leurs principaux collaborateurs, des noms de projets internes ou d'autres termes à rechercher. Nous ajoutons ensuite à ces termes des centaines d'autres mots pertinents. Avec cette combinaison, la plateforme recueille du renseignement et surveille les secrets d'entreprise, les fuites de données techniques, les discussions des cybercriminels sur votre organisation, etc., et les classifie ensuite par degré de priorité. En plus de parcourir les données, nous les structurons et les analysons à l'aide de l'IA pour hiérarchiser les cybermenaces et présenter à nos clients des degrés de risque précis sur les activités cybercriminelles.  Nous écartons les risques liés à la localisation de vos données, car nous avons mis en place un moyen sûr d'accéder, de rechercher et de surveiller les sources clandestines. Vous pouvez tout voir à travers une interface unique et intuitive dotée d'alertes proactives.  Voulez-vous découvrir les services et l'interface de Flare? Faites une visite de la plateforme.  

Comment les autres équipes de renseignement utilisent-elles Flare? 

Il y a plusieurs cas d'utilisation. Les équipes de renseignement recherchent généralement des cybermenaces ou des risques liés à l'entreprise sur le Web clandestin - comme des mentions spécifiques de l'organisation ou des conversations sur le contournement de l'authentification à deux facteurs -, pouvant entraîner une interruption de service ou d'autres risques numériques pour les clients.   

Est-ce que les analystes débutants et les membres non technophiles d'une équipe peuvent utiliser Flare?

Absolument. Nous avons conçu la plateforme pour qu'elle soit simple à utiliser et qu'elle offre un moyen sûr et facile d'effectuer des recherches dans les sources clandestines.  Lisez notre exemple de réussite, Flare a permis à un prestataire de services en gestion de la cybersécurité de réduire de 97 % le temps d'investigation sur le Web clandestin, pour savoir comment Flare peut contribuer à l'amélioration des compétences des analystes débutants.   

Les cybercriminels sauront-ils que j'ai recherché mes données sur Flare?

Non, ils ne le sauront pas. Lorsque vous recherchez des informations particulières, Flare rassemble les résultats et vous permet d'effectuer des recherches de manière anonyme.  

Combien de temps faut-il pour la mise en service de Flare?

Flare peut être mis en service en 15 minutes seulement.   

Quelles sont les langues reconnues par Flare?

Flare indexe et prend en charge la recherche dans toutes les langues, en utilisant tous les jeux de caractères. Avec l'assistant de Flare alimenté par l'IAvotre équipe de cybersécurité peut recevoir instantanément des rapports contextualisés, indépendamment de la langue d'origine du message. Notre interface est offerte en anglais et en français. D'autres langues seront bientôt à disposition!   

Quels types de sources Flare surveillle-t-il? À quelle fréquence devez-vous ajouter et supprimer des sources?

Nous couvrons de nombreuses sources où les cybercriminels se rassemblent sur le Web visible et le Web clandestin, ainsi que les chaînes illicites sur Telegram. Ces sources comprennent Shodan, GitHub, les conteneurs de données publiques, les sites de code source et les sites de collage de textes. Les sources sont mises à jour chaque semaine et les clients sont informés chaque mois des changements apportés.   

Flare s'occupe-t-il de la sécurité des réseaux d'entreprise?

Flare n'assure pas vraiment la sécurité des réseaux. Une solution de sécurité surveille et protège un réseau au moyen d'agents qui analysent l'activité, qui la bloquent ou qui recherchent des événements suspects. Un pare-feu est un outil de sécurité réseau typique, et des fournisseurs tels que Fortinet ou Cisco sont des spécialistes bien connus de la sécurité des réseaux. Flare, quant à lui, complète les solutions de sécurité réseau en surveillant à l'extérieur d'une organisation et en identifiant les cybermenaces et les risques qui s'y trouvent.  

Flare offre-t-il un service de sécurité des applications (appsec)?

Flare offre certaines fonctionnalités pour la sécurité des applications, en particulier au niveau de la surveillance des fuites de code source, qui se produisent le plus souvent lorsque des entreprises ou des consultants développent une application. Des solutions comme Sonatype, qui permettent d'améliorer le cours des opérations, du développement et de la sécurité (DevSecOps), ou les tests statiques et dynamiques de sécurité des applications (SAST/DAST) comme Acunetix, sont des fournisseurs de sécurité des applications bien connus.  

Comment Flare aide-t-il à établir des profils des cybercriminels? 

Flare recueille des données à travers le Web visible et le Web clandestin et établit par le fait même des profils sur les cybercriminels. En rassemblant ces informations, Flare est en mesure de fournir un profil détaillé des capacités et de l'activité d'un cybercriminel à partir de différentes sources. Si un cybercriminel a rendu publics des adresses électroniques, des pseudonymes Telegram ou d'autres informations identifiables, celles-ci seront accessibles dans l'interface Flare, ce qui vous permettra d'obtenir une plus grande visibilité et d'extraire des renseignements exploitables.  Avec la modélisation de profils similaires, Flare utilise le traitement automatique des langues pour relier différents noms d'utilisateur à un cybercriminel, et aider à trouver des cybercriminels qui peuvent être associés, car ils vendent des produits ou des services similaires.  

Quelles sont les considérations relatives à la confidentialité dans l'utilisation d'un Assistant alimenté par l'IA?

Nous n'envoyons que les résultats de recherche au service d'IA externe. Rien sur votre entreprise ou vos identifiants ne sort de Flare. Les données ne sont pas utilisées par le service d'IA pour l'amélioration du modèle et restent privées. L'assistant alimenté par l'IA ne fonctionne que si vous cliquez sur l'onglet "AI Assist". Nous pouvons désactiver cette fonctionnalité pour votre entreprise si vous le souhaitez.   

Dans l'équipe de sécurité, quel est le nombre minimum de membres nécessaires pour utiliser Flare?

Nous servons des clients dont la taille des équipes de cybersécurité et les secteurs d'activité varient. Les équipes composées d'au moins trois membres bénéficient d'une couverture approfondie sur des sources spécifiques.   

Comment Flare suit-il les changements constants au sein des communautés clandestines?

Chaque jour, plusieurs membres de notre équipe examinent les communautés clandestines afin de les surveiller et d'ajouter du contexte aux résultats sur la plateforme Flare. L'équipe de recherche fournit du renseignement à nos clients et à notre public afin qu'ils soient mieux informés sur les cybermenaces (émergentes).  Découvrez des publications de Flare, y compris celles de notre équipe de recherche, dans le Centre de documentation.  

Intégrations de la plateforme Flare

Comment intégrer Flare dans mon environnement?

La plateforme de surveillance de la trace numérique de Flare est conçue pour être flexible et compatible avec le travail et l'environnement de n'importe quelle organisation, et peut fonctionner avec presque n'importe quelle autre plateforme grâce à notre API de transfert d'état représentationnel (REST API). Les clients peuvent construire eux-mêmes des intégrations ou des automatisations avec l'API de Flare. Il existe trois types d'intégrations prêtes à l'emploi: avec d'autres outils de cybersécurité tels que la gestion de l'information et des événements, d'automatisation et de réponse aux incidents (SIEM/SOAR) (Splunk, Azure Sentinel), les systèmes de messagerie (Slack, Microsoft Teams) et les systèmes de gestion de tickets (Jira, ServiceNow).  

Puis-je surveiller toute mon infrastructure publique avec Flare? Comment puis-je repérer les hôtes et les serveurs dont j'ai peut-être perdu la trace?

Oui, nous assurons la surveillance de la surface d'attaque externe. Vous pouvez surveiller tous vos domaines et sous-domaines associés, et nous interrogerons des outils tels que Shodan pour trouver les adresses IP correspondantes. Chaque événement précisera l'identifiant du domaine par lequel il a été trouvé, l'adresse IP, les métadonnées, tout environnement virtuel collaboratif (CVE) associé et le port ouvert en question. Vous pourrez également vérifier la validité du certificat SSH et effectuer des analyses plus approfondies de l'adresse IP. Ces événements recevront un indice de risque en fonction du port qui a été laissé ouvert et du nombre de vulnérabilités qui y sont associées, entre autres choses.  Nous avons également un onglet "Historique" pour les hôte recencés, vous donnant l'historique de tous les ports qui ont été ouverts et fermés sur l'hôte. Ces informations permettent à votre équipe de savoir quand des ports ont été laissés ouverts par inadvertance, et combien de temps ils sont restés ouverts afin d'évaluer le risque.  

De quelle manière puis-je recevoir des alertes? À quel moment Flare envoie-t-il des alertes?

Vous pouvez choisir de configurer les alertes pour qu'elles vous envoient un courriel ou qu'elles s'intègrent à Slack et Azure Sentinel. Nous n'envoyons que des alertes concernant des résultats d'identifiants spécifiques ou de groupes d'identifiants configurés sur la plateforme. Chaque fois qu'un nouveau document est trouvé sur le Web visible et le Web clandestin, nous envoyons des alertes.  

Pourquoi utiliserais-je une intégration comme Jiraou ServiceNow avec Flare?

L'avantage d'un système de gestion des tickets est qu'il permet de trier les alertes sans entraîner de surcharge importante. Il n'est pas aussi sophistiqué qu'un système de gestion de l'information, des événements, de l'automatisation et de la réponse aux incidents de sécurité (SIEM/SOAR), mais il est très simple à utiliser.  

Pourquoi utiliserais-je une intégration comme Azure Sentinelou Splunk avec Flare?

L'avantage d'une plateforme comme Sentinel ou Splunk est qu'elles incluent beaucoup d'autres données de cybersécurité qui peuvent être utilisées pour croiser les renseignements et ajouter du contexte sur les alertes de Flare. Elles peuvent également automatiser des remédiations et les étapes suivantes.  

Comment Flare devient partenaire avec les prestataires de services en gestion de la cybersécurité (MSSP)

Comment les crédits de service Flare fonctionnent-ils avec les prestataire de services en gestion de la cybersécurité (MSSP)?

Nous collaborons avec des prestataires de services qui nous confient le travail d'intelligence contre des crédits. Nous ne proposons pas de version gérée de Flare, et nous n'offrons que des services d'inclusion de fichiers à distance (RFI) et des services de retrait. Nous ne répondons pas aux incidents, nous n'analysons pas les registres et nous ne faisons pas d'évaluations, ce que les prestataires de services en gestion de la cybersécurité font pour leurs clients.  

Puis-je modifier le rapport pour qu'il affiche ma propre marque?

Pour l'instant, vous pouvez utiliser cette fonction pour exporter vers un document Word, pour mettre à jour un document directement ou pour copier-coller le contenu dans votre propre gabarit ou rapport. Vous pouvez ainsi contrôler totalement la présentation et le contenu pour qu'il corresponde à votre marque. Un certain nombre de partenaires ajoutent les indices d'exposition de Flare à un rapport qu'ils produisent déjà, dont ils apprécient la latitude.  

Définitions: abécédaire du Web clandestin

Qu'est-ce qu'un « autoshop »?

Dans le milieu cybercriminel, le terme « autoshops » est utilisé pour décrire les sites web qui permettent aux cybercriminels d'acheter « automatiquement » des actifs numériques illicites tels que des cartes de crédit, des informations de compte bancaire, des identifiants, etc. Ces sites web comprennent généralement un concept « d'ajout au panier », un système de paiement en ligne basé sur les cryptomonnaies, et la livraison automatique de l'article numérique. Les « autoshops » comptent généralement un petit nombre de vendeurs qui travaillent directement avec les administrateurs pour mettre leurs données illicites à disposition (par rapport aux marchés pair à pair courants du Web clandestin, où n'importe qui peut annoncer et vendre des produits et des services).  

Qu'est-ce qu'une empreinte de navigateur?

Une empreinte de navigateur est l'ensemble des caractéristiques et des configurations uniques de l'appareil et du navigateur qui permettent d'identifier et de suivre un utilisateur à travers les sites web et les services en ligne. Si les empreintes de navigateur peuvent servir à des fins légitimes, telles que la détection des fraudes et les mesures antirobots, elles peuvent également être exploitées par des cybercriminels à des fins de cybermenaces et de cyberattaques. Certains logiciels malveillants ciblent les empreintes de navigateur pour les vendre ensuite à des cybercriminels.  

Quelle est la différence entre le Web visible, le Web clandestin et le Web invisible? Pourquoi est-il important de surveiller plus que le Web clandestin?

Le Web visible, également connu sous le nom de Web de surface, est la partie de l'internet accessible au public que les moteurs de recherche standard indexent et recherchent. Il s'agit de sites web et de ressources qui sont ouvertement disponibles pour les utilisateurs sans exigences d'accès particulières ni protocoles de cryptage. Le Web visible représente une part relativement limitée de l'ensemble de l'internet (environ 4 %), la majorité du contenu internet existant dans le Web invisible et le Web clandestin, qui ne sont pas accessibles par les moteurs de recherche classiques. Le Web invisible comprend toutes les pages que les moteurs de recherche n'indexent pas, et qui ne sont donc pas visibles sur les pages de résultats des moteurs de recherche (SERP). Il s'agit notamment des sites web protégés par un mot de passe et des sites web qui choisissent de ne pas être « explorés » par les moteurs de recherche. Le Web invisible abrite les bases de données qui soutiennent les services du Web visible, tels que les plateformes de médias sociaux ou les services de diffusion continue.  Le Web clandestin nécessite des logiciels, des configurations ou des autorisations spécifiques pour y accéder (il n'est pas indexé par les moteurs de recherche standard). Le Web clandestin est intentionnellement caché et nécessite l'utilisation d'outils spéciaux comme le navigateur Tor, qui permet de communiquer et de naviguer de manière anonyme. Si le Web clandestin est souvent associé à des activités illégales telles que la vente de drogues, d'armes et de données volées, il y existe d'autres activités, notamment la communication confidentielle, l'activisme politique et le partage d'informations sensibles dans les régimes oppressifs. L'anonymat offert par le Web clandestin le rend attrayant à des fins légales et illégales, car il permet aux utilisateurs de communiquer et de partager des informations sans révéler leur identité ou leur localisation. Bien que les cybercriminels soient souvent associés au Web clandestin, ils se rassemblent dans de nombreux domaines à travers le Web visible, le Web clandestin et le Web invisible. Les chaînes illicites Telegram sont des alternatives de plus en plus populaires aux forums et marchés du Web clandestin. Surveillez tous ces domaines pour mettre en place une stratégie complète de renseignement sur les cybermenaces.   

Qu'est-ce qu'une « liste combo »?

« Liste combo » est un terme utilisé par les cybercriminels pour décrire une grande liste d'identifiants (noms d'utilisateur et mots de passe) qui est généralement utilisée dans le cadre d'une attaque par bourrage d'identifiants pour tenter d'accéder à un système.   

Qu'est-ce qu'un forum du Web clandestin?

A forum du Web clandestin est un forum de discussion ou une communauté en ligne où les utilisateurs peuvent participer à des discussions sur divers sujets. Ces forums se concentrent souvent sur des intérêts spécifiques tels que le piratage informatique, la cybercriminalité, l'activisme ou la confidentialité. Les visiteurs des forums peuvent poser des questions, partager leurs connaissances, donner des conseils et collaborer à des projets. Les forums du Web clandestin peuvent être une source de données, d'outils et de techniques pour les cybercriminels, mais ils peuvent également être utilisés par des partisans du respect de la vie privée, des lanceurs d'alerte et des personnes cherchant à éviter la censure.  

Qu'est-ce qu'un marché du Web clandestin?

A marché du Web clandestin est un marché en ligne qui opère sur le Web clandestin, facilitant surtout l'achat et la vente de biens et de services (souvent illicites). Les transactions se font généralement avec des cryptomonnaies pour garantir l'anonymat. Les marchés du Web clandestin proposent un éventail de produits, notamment des drogues, des armes, des données volées, des produits de contrefaçon, des logiciels de piratage, etc.  

Qu'est-ce qu'une brèche de données?

Une brèche de données est un incident durant lequel une personne ou une entité non autorisée accède à des données critiques, généralement par le biais d'actions délibérées telles que le piratage ou l'exploitation des vulnérabilités d'un système. Les cybercriminels peuvent utiliser diverses tactiques, comme le hameçonnage, les logiciels malveillants ou l'ingénierie sociale, pour infiltrer un système et exfiltrer des données critiques. L'objectif d'une brèche de données est généralement d'acquérir des données précieuses en vue d'obtenir un gain financier, d'usurper des identités, ou pour atteindre d'autres objectifs malveillants.  

Qu'est-ce qu'une fuite de données?

Une fuite de données est une exposition ou une divulgation involontaire de données critiques, résultant souvent d'une erreur humaine, d'une configuration défaillante ou d'un manque de mesures de cybersécurité adéquates. Une fuite de données peut se produire lorsque des informations confidentielles sont accidentellement partagées avec des tiers non autorisés, par exemple par le biais d'un courriel, d'un stockage infonuagique ou d'une base de données non protégée. Dans ce cas, il n'y a pas forcément de tentative délibérée d'accéder aux données, mais il en résulte tout de même une exposition d'informations critiques.  

Qu'est-ce qu'un appareil infecté?

Un appareil infecté désigne un appareil électronique, généralement un ordinateur, qui a été compromis par un logiciel malveillant. Dans ce contexte, « infecté » signifie que l'appareil a été ciblé et exploité avec succès par des cybercriminels qui ont réussi à installer un logiciel malveillant sur l'appareil - à l'insu de l'utilisateur ou sans son consentement. Une fois qu'un appareil est infecté, le logiciel malveillant peut effectuer diverses activités délictueuses selon son genre et son objectif. Le résultat de ces activités peut être vendu sur les marchés d'appareils infectés.   

Qu'est-ce qu'un identifiant compromis?

Les identifiants compromis sont des informations de connexion telles que des noms d'utilisateur, des adresses électroniques et des mots de passe exposés involontairement en raison du manque de mesures de cybersécurité, ou volés intentionnellement et partagés par des cybercriminels. Les fuites d'identifiants peuvent se produire à la suite de brèches ou de fuites de données, d'hameçonnages ou d'autres incidents de cybersécurité.  

Qu'est-ce qu'un « stealer log »?

Un « stealer log », ou profil d'appareil compromis, désigne un enregistrement ou un fichier généré par un type de logiciel malveillant connu sous le nom de « stealer », « information stealer » ou « stealer malware ». Ce type de logiciel malveillant est conçu pour collecter et extraire des données critiques d'un appareil compromis. L'enregistrement contient des données récoltées qui peuvent inclure des noms d'utilisateur, des mots de passe, l'historique d'un navigateur, des fichiers témoins, des détails de carte de crédit ou d'autres informations confidentielles que le logiciel malveillant a réussi à capturer.  

Qu'est-ce qu'un « (info)stealer malware »?

Un logiciel de pillage de données, également connu sous le nom de « information stealer » ou pilleur de données, est un type de logiciel malveillant conçu pour collecter et extraire des données critiques d'appareils infectés. L'objectif premier des pilleurs de données est de recueillir des données précieuses, comme des identifiants de connexion, des numéros de cartes de crédit, des données d'identification personnelle et d'autres données confidentielles, qui peuvent être utilisées à diverses fins malveillantes ou vendues sur le Web clandestin. Les informations volées par les pilleurs de données constituent un profil d'appareil compromis. 

Que sont les rançongiciels?

Rançongiciels sont un type de logiciel malveillant qui infecte l'ordinateur ou le réseau d'une victime, crypte ses données et exige le paiement d'une rançon en échange de la clé de décryptage. L'objectif premier des rançongiciels est d'extorquer de l'argent aux victimes. Les cybercriminels ont tendance à intensifier leurs attaques en passant d'une simple extorsion par rançongiciel à une double, voire même à une triple extorsion.  

Qu'est-ce que le harponnage?

Le harponnage est une forme ciblée d'hameçonnage par laquelle les cybercriminels envoient des courriels élaborés à des personnes ou à des organisations spécifiques. Ils ont pour but d'amener des utilisateurs à révéler des informations confidentielles, à cliquer sur des liens ou à télécharger des pièces jointes malveillantes, ou d'autres actions profitant aux cybercriminels. Contrairement aux hameçonnages traditionnels généralement envoyés à un grand nombre de destinataires sous une forme plus générique, le harponnage est ciblé envers une victime, ce qui le rend plus convaincant et plus efficace. Les cybercriminels élaborent des campagnes de harponnage en effectuant des recherches approfondies sur leurs victimes et en recueillant des informations à partir de sources publiques (médias sociaux, sites web d'entreprises, etc.). Les courriels de harponnage usurpent souvent l'identité de parties fiables comme des collègues, des partenaires commerciaux ou des cadres de haut rang au sein d'une l'organisation ciblée.   Le jargon des cybercriminels pique votre curiosité? Lisez notre publication, Parlez-vous fraudeur?, pour en savoir plus.