La surveillance des différents acteurs malveillants est un aspect essentiel du renseignement sur les cybermenaces, qui nécessite un système similaire à une liste de surveillance réelle.

Bien que notre liste de surveillance soit plus simple que celles utilisées par les agences de renseignement ou les entreprises de cybersécurité, les principes sous-jacents sont identiques.

D'après mon expérience, les acteurs malveillants se répartissent généralement en trois catégories :

1. Ceux qui se construisent une réputation à long terme, en utilisant un nom d'utilisateur cohérent sur plusieurs forums afin de préserver leur image de marque, car leur activité repose sur leur notoriété.
2. Ceux qui utilisent plusieurs pseudonymes et comptes, mais dont les activités restent cohérentes d'un compte à l'autre.
3. Ceux qui utilisent un nouveau pseudonyme pour chaque crime ou vente, privilégiant le profit à la renommée, ce qui les rend plus difficiles à suivre.

Dans ce module, nous allons développer un système de surveillance permettant de suivre en continu l'activité des utilisateurs, telle que les publications, les commentaires ou les deux, à intervalles réguliers. Bien que nous ne croisions pas encore les activités entre les différents forums, toutes les données relatives aux acteurs malveillants peuvent être exportées sous forme de chaîne JSON, ce qui permet un recoupement manuel avec d'autres plateformes.

Le recoupement pose des défis, car le suivi d'une cible utilisant le même nom d'utilisateur sur des plateformes telles que darkforums.st, x.com et instagram.com peut nécessiter un mandat judiciaire pour une surveillance simultanée.

Bien que les plateformes ne puissent pas empêcher totalement les chercheurs déterminés de récupérer leurs données, elles peuvent intenter des poursuites judiciaires. Afin d'éviter d'éventuelles amendes, je déconseille fortement la surveillance inter-plateforme sans autorisation appropriée.