AIL: le détecteur de fuites gonflé à bloc

  

AIL permet de retrouver dans l’océan du web des signaux de basse intensité correspondant à des activités suspectes ou clairement malveillantes, voire délictueuses.

AIL est un Framework modulaire pour analyser les fuites potentielles d’informations provenant de sources de données non structurées comme les éléments stockés dans Pastebin ou des services similaires. Le cadre AIL est flexible et peut être étendu pour prendre en charge d’autres fonctionnalités pour extraire des informations sensibles.

Ces deux dernières années, de nouvelles sources de données ont été ajoutées, ce qui élargit nettement le champ de détection de l’outil. Cela permet par exemple de scruter Twitter et Telegram pour y trouver d’éventuelles traces de fuites de données. L’outil permet également de détecter les vulnérabilités qui sont susceptibles d’être utilisées par les hackers ou les nouvelles vulnérabilités qui n’ont pas encore été officiellement publiées mais qui risquent d’être utilisées. Il peut s’agir de fuites de code dues à une api d’accès laissée ouverte. Ce sont parfois des accidents, mais il y a également des actes malveillants, comme le port scanning.

AIL permet d’identifier un certain nombre de comportements suspects sur la toile ou des tentatives d’attaques dns, trafic de clés ou certificat volés.

Il permet de suivre des liens .onion et de retrouver la trace d’une série de trafics illégaux, comme des numéros de cartes de crédit volés, cartes cadeau Amazon, trafic de données issues du Ransomware, armes, drogue…

AIL permet également d’effectuer une surveillance de sites web comme booter, IP Stresser, qui sont des plateformes de vente de cyber-attaque DDoS. On peut également crawler son propre site pour détecter de l’injection de code malveillant.

Cela peut donc être à la fois un outil de protection de base pour les webmasters, et un outil de renseignement avancé à l’usage des CERTs, des enquêteurs de la police judiciaire.

La récolte de signatures pgp permet par exemple de récolter une série d’indications via leurs métadonnées, qui permettent éventuellement à des enquêteurs de tracer des corrélations entre différentes personnes ou activités en ligne. La force de AIL est précisément de révéler des corrélations entre des éléments qui au départ n’ont aucun lien entre eux.

AIL permet de retrouver dans l’océan du web des signaux de basse intensité correspondant à des activités suspectes ou clairement malveillantes, voire délictueuses. Au départ de bouts de code identifiés, d’adresses ou autres signatures reliées les unes aux autres, on peut dresser des profils d’agents malveillants pour mieux s’en protéger.

AIL est donc un couteau suisse qui permet de scruter la face cachée du web et d’en disséquer les données afin de mieux détecter et combattre une série d’activités malveillantes. Lorsqu’on utilise AIL pour la première fois, on remarque tout de suite la fenêtre de prévisualisation des résultats qui est floutée par défaut… C’est tout simplement parce que l’outil détecte régulièrement des images que l’on n’a pas forcément envie de voir… Les égouts de la toile sont peu reluisants, et l’équipe AIL est à la recherche d’enquêteurs spécialisés qui pourraient s’occuper notamment de l’analyse et des images pédopornographiques.

Historique

AIL a débuté comme Projet de stage en 2014, dont le but était d’évaluer la faisabilité d’une analyse automatisée de données non structurées… En 2019, le projet a pris de l’envergure et est devenu un produit open-source activement utilisé par de nombreuses organisations et maintenu par CIRCL. Il s’agit maintenant d’un projet complet baptisé AIL Project qui est à présent interopérable avec MISP et TheHive. Retrouvez AIL sur Github.