Collection Notes tratégiques

Transcription

1 Collection Notes tratégiques LES MARCHES NOIRS DE LA CYBERCRIMINALITE Etude rédigée sous la direction de Guillaume Tissier par Marie Garbez, Barbara Louis-Sidney, Félix Aimé, Louis Vatier et Nicolas Caproni de l équipe Secu-Insight de CEIS. Préface du Général d armée Watin-Augouard Technologies de l information Juin 2011

2 SOMMAIRE Sommaire... 1 Préface... 2 Introduction... 7 La face visible de la cybercriminalité... 7 La face cachée de la cybercriminalité... 7 Méthodologie... 8 Scénarios... 9 Scénario 1 : chantage au déni de service distribué... 9 Scénario 2 : campagne d'infection massive de sites Internet Scénario 3 : vol de base de données clients Scénario 4 : campagne de phishing Scénario 5 : indisponibilité de superviseur Synthèse Les sites de black market Du site «amateur» au site «professionnel» Deux grandes catégories Les produits Les outils des cybercriminels Les infrastructures : les serveurs bulletproof Les acteurs des black markets Entre goût du secret et besoin de publicité : une criminalité schizophrène Des «associations internationales de malfaiteurs» Des profils très variés L ennemi numéro un des cybercriminels : le ripper L économie des black markets Les profits des cybercriminels Un outil clé : la monnaie virtuelle Un recours aux moyens classiques du blanchiment d argent Synthèse Quelles réponses? Au plan français Au plan international Quelques pistes Glossaire Présentation de CEIS Contacts LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 1 sur 73

3 RESEARCH PAPER LES MARCHES NOIRS DE LA CYBERCRIMINALITE Réalisé sous la direction de Guillaume Tissier par Marie Garbez, Barbara Louis-Sidney, Félix Aimé, Louis Vatier et Nicolas Caproni de l équipe Secu-Insight de CEIS. Technologies de l information Tous droits réservés Publié en 2011 par CEIS Compagnie Européenne d Intelligence Stratégique (CEIS) Société Anonyme au capital de SIRET : APE : 741 G 280 boulevard Saint Germain Paris - Tél. : Fax : LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 2 sur 73

4 PREFACE L'homme a toujours eu l'ambition de se rendre maître de nouveaux espaces. Il a investi la terre, son premier univers, a conquis la mer, avant de s élancer dans les airs et, depuis peu, dans l espace extra-atmosphérique. Chacune de ces aventures lui a permis de goûter à une nouvelle liberté dont il a parfois usé, voire abusé, avant de comprendre la nécessité d établir des limites par une régulation protégeant le plus faible contre la domination du plus fort. L ordre public a d abord organisé la vie en société sur la terre. Il s est tourné vers la mer. Celle-ci a cessé d être une res nullius pour devenir une res communis qu il convient de protéger, car c est un espace fragile sur lequel le trafic maritime et l exploitation des richesses doivent être encadrés. Avec le développement de la navigation aérienne est né un ordre public qui se manifeste chaque jour davantage sous la pression de la menace terroriste. L accès à l espace extra-atmosphérique est encore le privilège de quelques grandes puissances, mais il ne manquera pas de justifier l édification de règles internationales au fur et à mesure que des activités humaines s y déploieront. Quelque soit l espace considéré, l ordre public ne peut être garanti sans un consensus international, condition d une coopération sans frontière. Le cyberespace est depuis trois décennies, une nouvelle terra incognita. Il est certes un espace immatériel, mais on ne peut nier les conséquences matérielles et humaines de son exploration. Les technologies numériques sont désormais omniprésentes (information, culture, éducation, commerce, industrie, services, santé, sécurité, défense, etc.). Elles sont source de progrès, de croissance si elles sont maîtrisées, mais elles portent aussi en germe des risques de fragilités. Les pionniers ont considéré que la liberté devait y être absolue, mais après une période d euphorie, voire d insouciance, chacun est désormais convaincu de l urgence d une intervention concertée des acteurs publics et privés afin que le cyberespace ne soit pas livré aux nouveaux prédateurs, que sont notamment les cybercriminels et les cyberdélinquants. C est justement tout l intérêt de l étude menée par CEIS que de décrire précisément, grâce à une observation quotidienne du cyberespace, le fonctionnement des marchés noirs utilisés par les cybercriminels et de l économie souterraine qu ils entretiennent. Alors que la cybercriminalité suscite nombre de fantasmes et d idées reçues, cette étude contribuera sans aucun doute à la prise de conscience des pouvoirs publics mais aussi des acteurs économiques qui sont en première ligne dans la lutte contre ce fléau. Le terme «cybercriminalité» apparut à la fin des années quatre-vingt-dix, alors qu Internet se répandait en Amérique du Nord. Un sous-groupe des pays du G8 fut formé afin d étudier les nouveaux types de criminalité encouragés par, ou migrant vers, Internet. La «cybercriminalité» définissait, de manière relativement vague, tous les types de délits perpétrés sur internet ou les nouveaux réseaux de télécommunications dont le coût chutait rapidement. La cybercriminalité et/ou la cyberdélinquance, qui par ailleurs est celle qui touche le plus les individus, englobe(nt) toutes les infractions pénales susceptibles de se commettre sur ou au moyen d un système informatique généralement connecté à un réseau», à savoir : LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 3 sur 73

5 les infractions spécifiques aux technologies de l information et de la communication : parmi ces infractions, on recense les atteintes aux systèmes de traitement automatisé de données, les traitements automatisés de données personnelles (comme la cession des informations personnelles), les infractions aux actes bancaires, les chiffrements non autorisés ou non déclarés ou encore les interceptions ; les infractions liées aux technologies de l information et de la communication : cette catégorie regroupe la pédopornographie, l incitation au terrorisme et à la haine raciale sur internet, les atteintes aux personnes, les atteintes aux biens ; les infractions facilitées par les technologies de l information et de la communication, que sont les escroqueries en ligne, la contrefaçon ou toute autre violation de propriété intellectuelle. Pour contrer la commission de ces actes criminels et délictueux, sur cette structure planétaire que constitue le cyberespace, outre les législations nationales, une coopération internationale s'est édifiée autour de règles de droit qui protègent les individus, les entreprises, les organisations internationales, les États. La plus emblématique de ces règles demeure la convention sur la cybercriminalité du 23 novembre 2001, ainsi que son protocole additionnel de janvier 2003, adoptée par les pays membres du Conseil de l'europe ainsi que les Etats-Unis, le Canada, le Japon et l Afrique du Sud et qui vise à : harmoniser les législations des Etats signataires en matière de cybercriminalité : à cette fin, la Convention établit des définitions communes de certaines infractions pénales commises par le biais des réseaux informatiques. compléter ces législations, notamment en matière procédurale : afin d améliorer la capacité des services de police à mener en temps réel leurs investigations et à collecter des preuves sur le territoire national avant qu elles ne disparaissent. améliorer la coopération internationale, notamment en matière d extradition et d entraide répressive. Néanmoins, si 42 États ont signé la convention, seuls 14 ont procédé à sa ratification fin Pour appliquer et faire respecter ces règles juridiques, des organes de lutte ont été mis en place. Dès 1998, a été créé, au sein de la Gendarmerie, le département de lutte contre la cybercriminalité au sein du service technique de recherches judiciaires et de documentation (STRJD). Le 15 mai 2000 a été créé l Office central de lutte contre la criminalité liée aux technologies de l information et de la communication (OCLTIC), regroupant policiers et gendarmes, notamment au sein de la plate forme de signalement des contenus illicites sur internet. Chaque force de sécurité intérieure a formé sur l'ensemble du territoire des personnels, enquêteurs N'Tech pour la Gendarmerie Nationale et Investigateurs en Cybercriminalité pour la Police Nationale. Au niveau européen, a été créée en 2004 l Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA). Située en Crète, elle fonctionne comme un centre d'expertise pour les États membres, les institutions de l'ue et les entreprises. L agence a pour mission de : prêter assistance et fournir des conseils à la Commission et aux États membres sur les questions liées à la sécurité des réseaux et de l'information ; LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 4 sur 73

6 recueillir et analyser les données relatives aux incidents liés à la sécurité en Europe et aux risques émergents ; promouvoir des activités d'évaluation et de gestion des risques afin d'améliorer la capacité de faire face aux menaces pesant sur la sécurité de l'information ; renforcer la coopération entre les différents acteurs du secteur de la sécurité de l information ; suivre l'élaboration des normes pour les produits et services en matière de sécurité des réseaux et de l'information. Malheureusement la lutte contre la cybercriminalité n est pas aisée. Il existe plusieurs obstacles juridiques et non juridiques à cette lutte. En premier lieu, le caractère vaste des réseaux informatiques, mais aussi la rapidité de commission des infractions, la difficulté de rassembler des preuves, et enfin des méthodes d investigation et de contrôle qui peuvent se révéler attentatoires aux droits fondamentaux, en particulier au droit à l anonymat et à la liberté d expression. Au niveau juridique, ce qui pose aujourd hui beaucoup de difficultés c est le fait qu un même comportement en France et à l étranger n est pas pareillement considéré. Il peut constituer une infraction dans un pays et pas dans l autre. On peut citer pour exemple, la «promotion du cannabis», ou encore la «provocation pour surprendre les pédophiles». Cela renvoie à un autre problème celui de la loi applicable. En effet, la cybercriminalité «bouleverse le principe classique de la territorialité de la loi pénale». La loi française sera applicable dès lors qu un élément constitutif de l infraction a eu lieu en France (TGI de Paris 17ème chambre, 26 février 2002). Ainsi, par exemple, la simple réception par l utilisateur est un élément constitutif de l infraction. Mais s il n y a pas d élément constitutif de l infraction en France, la loi française ne sera pas applicable. Il faut alors lutter chaque jour contre les paradis juridiques «cyber paradis», pour une meilleure efficacité du droit relatif à la cybercriminalité. De même, toutes les législations, et les outils en charge de leur mise en œuvre et de leur respect, ne sont que le cadre d'une action individuelle, ou l'homme se doit d'être informé et responsable de ses actes. Ceci passe par une éducation aux possibilités et dangers des systèmes d'information car la cible principale des cybercriminels et délinquants sera les réseaux sociaux et les téléphones portables. C'est ce que met en avant Symantec dans son rapport annuel d analyse des menaces de la cybercriminalité. Les utilisateurs de Facebook, Twitter et du système d exploitation de Google Android, sont particulièrement vulnérables, selon l étude. Les failles exploitables par la cybercriminalité ont augmenté de 115% en 2009 à 163% en Le nombre d attaques, notamment par la diffusion de virus, demeure néanmoins réduit sur ces programmes, comparé à ceux commis par . Les attaques ciblées vont aussi se développer. Il s agit de ces pièges qui semblent venir d expéditeurs que vous connaissez, sur Facebook, ou par mails. Plus difficiles à mettre en place par les cybercriminels, ils sont aussi plus efficaces : vous cliquez plus facilement sur le lien envoyé par un ami sur Facebook que par un expéditeur dont le mot «viagra» compose l adresse . Au total, le nombre d attaques menées sur Internet a augmenté de 93% entre 2009 et 2010, boosté par la prolifération des mini-url, selon Symantec: Elles ne comprennent que rarement un élément permettant d identifier la provenance, plus compliqué donc de distinguer un lien virus d un lien valable. Ces attaques ciblées sont les plus susceptibles LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 5 sur 73

7 de compromettre les données personnelles des internautes. Selon le rapport, la transmission de données privées causées par les attaques a débouché sur le dévoilement d environ personnes, soit un nombre beaucoup plus élevé que ceux dû à des pertes accidentelles ou de mauvais systèmes de protection. Ainsi, toute démarche doit placer l Homme au coeur de toute réflexion, de toute action : «à quoi lui servirait de gagner l univers du cyberespace s il venait à perdre son âme?». La maîtrise du cyberespace s inscrit dans une stratégie de développement durable(1) qui préserve l avenir des générations futures. Elle doit garantir la paix publique mais aussi la paix, car les hommes ont toujours porté leurs conflits sur les espaces qu ils se sont appropriés, telle que l'actualité récente l'a démontré dans les pays arabes et que rappelait le Président de la République Nicolas SARKOZY lors de son discours du 24 mai 2011, lors de l'e.g8 Forum, "cette révolution qui a modifié jusqu'à notre perception du temps et de l'espace a joué un rôle déterminant dans le déroulement d'autres révolutions". Outre la nécessité de promouvoir une prise de conscience collective par une formation à l'information, chaque Etat doit se doter de compétences humaines et d'outils qui puissent veiller à détecter en permanence les menaces, définir les mesures de protection, détenir et mettre en œuvre des capacités de riposte qui s imposent afin de préserver l extraordinaire potentiel de développement dont le cyberespace est porteur et qui doit être considéré comme une chance pour l humanité qu il faut saisir avec l optimisme de la liberté et le réalisme de la sécurité. Général d armée Watin-Augouard Inspecteur Général des Armées Gendarmerie LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 6 sur 73

8 INTRODUCTION Si la cybercriminalité est au cœur de l actualité en raison du développement sans précédent des technologies numériques et du «tout Internet», elle n en reste pas moins une forme de criminalité dont le mode opératoire est extrêmement opaque. Les cybercriminels utilisent en effet à leur avantage les caractéristiques propres à Internet : l absence de frontières, l anonymat, la volatilité etc. Si bien que la traque se révèle particulièrement complexe. Il est en outre plus ardu de lutter contre un individu subtilisant un euro à un million de personnes que contre un individu subtilisant un million d euros à une seule personne Le délit est indolore ou presque et, bien souvent, aucune plainte n est déposée par les victimes. La face visible de la cybercriminalité La cybercriminalité consiste à utiliser des systèmes et des réseaux informatiques, soit pour commettre des infractions spécifiques à ces réseaux, soit pour réaliser ou faciliter des infractions plus classiques, lesquelles étaient déjà incriminées avant l arrivée d Internet. Elle s illustre, plus concrètement, par toute une série de comportements frauduleux au nombre desquels se retrouvent, par exemple, le vol de données à caractère personnel (adresse, nom, identifiant et mots de passe ), la fraude et le vol d identifiants bancaires, le vol et la falsification de papiers d identité, mais aussi l atteinte au fonctionnement d un système informatique. Ces comportements sont facilités par la réalisation d actes en amont tels que la fabrication et l utilisation de malwares capables de subtiliser les données d un réseau ou d un système d information. Cette vision de la cybercriminalité n est cependant que parcellaire et de nombreuses questions restent en suspens : Comment les cybercriminels s organisent-ils? Quelle est l étendue de leurs profits? Où se situe la jonction entre cybercriminalité et criminalité physique traditionnelle? C est pour apporter des éléments de réponse à ces interrogations que CEIS a mené cette étude sur la face cachée de la cybercriminalité. La face cachée de la cybercriminalité L envers du décor, c est un véritable marché noir ou black market de la cybercriminalité, permettant aux cybercriminels : De s organiser. Ils y nouent des contacts et opèrent une division des tâches à travers un mode opératoire plus ou moins bien ficelé ; De vendre, de louer et d acheter. Sur les black markets, forums ou shops, sont mis en vente toutes sortes de produits et de services, qu il s agisse d outils de piratage (malwares ) ou de résultats de ces malversations (numéros de LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 7 sur 73

9 cartes bancaires, de comptes de jeux en ligne, faux papiers, données à caractère personnel en tous genres ). Méthodologie Quelques scénarios, issus pour la plupart de cas réels, permettront tout d abord au lecteur d appréhender l étendue de la cybercriminalité et le rôle central des black markets. Dans un deuxième temps seront présentés les différents types de black market, les outils utilisés et les acteurs impliqués. Le rôle des monnaies virtuelles et l analyse des liens entre cybercriminalité et criminalité physique traditionnelle feront également l objet d une attention particulière. Une dernière partie détaillera enfin les cadres juridiques français et internationaux avant de proposer quelques pistes pour lutter contre le fléau cybercriminel : renforcement de la coopération internationale, surveillance renforcée des black markets et développement d un modèle de sécurité actif. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 8 sur 73

10 SCENARIOS La mise en réseau des dispositifs informatiques a vu l émergence du cybercrime, une forme de criminalité principalement axée sur l escroquerie, ciblant toutes les sphères de la société, des simples internautes aux groupes industriels en passant par les institutions gouvernementales. Les scénarios présentés ci-dessous décrivent les principales tendances actuelles du cybercrime financier, qu il s agisse de détournements de fonds, de chantage ou de revente d informations personnelles sur des espaces d échanges cybercriminels. Ils ne sont pas exhaustifs et ne sont en aucun cas représentatifs de tout le spectre des menaces cybercriminelles. Ces dernières ne sont d ailleurs limitées que par l'imagination - débordante - de leurs auteurs. Scénario 1 : chantage au déni de service distribué Mots clés : DDoS 1, Rançon, Botnet 2 Contexte - Brice, ancien employé de la société Zcorp, licencié pour faute grave, lance une attaque en déni de service distribué (DDoS) contre son ancien employeur. Conséquence : la saturation du serveur mail et du PABX de la société. En parallèle de cette attaque, une rançon est demandée afin de faire cesser la saturation des moyens de communication de Zcorp. Mode opératoire - Pour monter l attaque, Brice se connecte à un forum et contacte une personne offrant un service de DDoS à la demande. La mise à disposition du botnet (2 500 machines «zombies») est facturée 5$/heure. La discussion avec le pirate russe sur les modalités de la transaction se fait en anglais via le système de messagerie ICQ. Avant de lancer l attaque, Brice contacte son ancien employeur par le biais d un mail anonyme enregistré chez un service étranger pour demander une rançon. 1 : Attaque DDoS (Distributed Denial of Service) - Attaque informatique ayant pour finalité de rendre indisponible l accès à un service en le saturant de requêtes. 2 : Botnet - Réseau d ordinateurs corrompus contrôlés par un ou plusieurs cybercriminel(s) pouvant être utilisé pour différentes finalités : émission de spam, diffusion de phishing ou de malware, fraude au clic, puissance de calcul, attaque DDoS, opération de commerce illicite, etc. Une fois l attaque lancée, les serveurs mail et Asterisk de Zcorp deviennent rapidement inaccessibles et la société est coupée du reste du monde. Faute d équipe technique capable de mettre en œuvre des contre-mesures efficaces, seules deux options s offrent à Zcorp : payer la rançon demandée (une dizaine de milliers d euros, versés sur un compte Liberty Reserve) ou attendre la fin de l attaque. Impacts - Face à une coupure de tous ses moyens de communication, la société Zcorp ne prend pas le temps d analyser la situation et décide de transférer la rançon demandée sur le compte du cybercriminel pour faire cesser l attaque DDoS contre ses infrastructures. La société ne porte pas plainte, considérant que cela ne servirait à rien et que sa mésaventure pourrait bien être médiatisée et ternir son image. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 9 sur 73

11 Face à ce type d attaque L entreprise aurait pu mettre à jour ses zones DNS et les faire pointer vers de nouveaux serveurs avec des adresses IP différentes. Même si les chances de retrouver les cybercriminels à l origine de ce type d attaque sont faibles, il est fortement conseillé de porter plainte. Scénario 2 : campagne d'infection massive de sites Internet Mots clés : Défiguration de site, exploit kit, failles. Contexte - Katia, développeur web dans une société de services informatiques, s est convertie au cybercrime pour faire face à ses nombreuses dettes. Son activité consiste à développer et à revendre des «exploits» visant principalement des squelettes préprogrammés de sites Internet (Content Management System ou CMS). Suivant le type de vulnérabilité trouvé et le nombre potentiel de sites Internet vulnérables, elle peut revendre ses exploits plusieurs centaines d euros. Mode opératoire - Récemment, lors d un audit du code source d un CMS, elle a trouvé le moyen de faire exécuter un code arbitraire aux serveurs des sites Internet disposant de ce CMS, dont Google évalue le nombre à Ce type de vulnérabilité pourra permettre la mise en place de scripts malveillants sur les sites Internet attaqués ou le piratage des serveurs afin de constituer à moindre coût des serveurs de commandes de botnets répartis dans le monde. Elle vendra quelques jours plus tard le code d exploitation personnalisé 1000 $ sur un sous-forum privé dédié aux exploits, espace de discussion réservé aux cybercriminels (black market). Plusieurs acheteurs ont répondu à cette offre par leur numéro de messagerie ICQ. Après quelques échanges avec un escrow 1, son code d exploitation est vendu à un acheteur crédible, sans que Katia ne connaisse l usage qui en sera fait. Impacts - Quelques jours plus tard, une campagne de piratage d envergure visant plusieurs dizaines de milliers de sites Internet utilisant le CMS aura lieu. L attaque se traduira par l insertion dans les sites visés d un composant (une iframe) qui tentera d infecter les ordinateurs des visiteurs à l aide du kit d exploit Black Hole. 1 : Escrow - tiers de confiance qui va permettre de finaliser une transaction entre deux personnes n ayant jamais traité ensemble auparavant. Face à ce type d attaque Il est conseillé d utiliser des CMS soutenus par une large communauté d utilisateurs afin de prévenir d éventuelles failles de sécurité dans leurs codes sources. Une veille doit être réalisée sur les failles et les mises à jour du CMS utilisé. Enfin, un contrôle d intégrité des fichiers présents sur les sites Internet est primordial afin de s assurer qu aucun fichier n a été modifié. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 10 sur 73

12 Scénario 3 : vol de base de données clients Mots clés : Base de données, SQL injection, vol, CVV. Contexte - Rand3k est un pirate informatique. Son activité : dérober des bases de données clients pour revendre les informations qu elles contiennent. Suivant le nombre d enregistrements, le pays d origine, mais également les informations qu elle contient, le prix d une base de données peut aller jusqu à plusieurs milliers de dollars US sur certains marchés. Mode opératoire - Pour commettre son méfait, Rand3K réalise à la main des recherches sur des sites potentiellement vulnérables. Afin de compromettre les bases de données, il utilise plusieurs méthodes de hacking (principalement l'exploitation de simples injections SQL). Pour lui, une «bonne» base de données contient plusieurs centaines de milliers d enregistrements clients, dont leurs données bancaires. Sa dernière victime en date, MyGardenShop, lui a permis de récupérer données clients comprenant les noms et prénoms, les adresses , les mots de passe en clair, mais également l ensemble des données bancaires des membres. Après avoir posté une offre de vente sur plusieurs forums, Rand3K a vendu sa base de données à un cybercriminel pour $US. Celui-ci pensait alors faire fructifier son achat en vendant les informations bancaires séparément sur des shops automatisés. Impacts - MyGardenShop apprendra l'attaque dont il a été victime dans la presse informatique sur Internet, tout comme ses clients. L'entreprise est obligée de mettre en place une communication de crise, invitant ses clients à changer leur mot de passe sur le site Internet et à prévenir leur banque que leurs données de cartes bancaires ont pu être compromises. Suite à la médiatisation de l affaire, le chiffre d affaires réalisé sur le site Internet chutera de 40 %. Face à ce type d attaque Ce type d attaque est malheureusement courant sur Internet. Plusieurs mesures et normes telles que PCI-DSS doivent être appliquées afin de minimiser la surface d attaque mais aussi de s assurer de la sécurité de l infrastructure. De plus, des tests d intrusions devront être réalisés afin d évaluer, de manière dynamique, la sécurité du système. Scénario 4 : campagne de phishing Mots clés : phishing, vol de données bancaires. Contexte - Depuis des années, le phishing est la menace cybercriminelle la plus visible. Même si les navigateurs possèdent aujourd hui des parades anti-phishing et qu une coopération internationale s est organisée dans la lutte contre ce fléau, beaucoup d internautes sont encore victimes de ce type d escroquerie. C est en parlant avec des contacts sur Internet qu Eric a eu l idée de se lancer dans l aventure du phishing. Quelques mois après ses débuts, sa technique est aujourd hui bien rodée : son dispositif lui rapporte plusieurs dizaines d identifiants bancaires par jour. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 11 sur 73

13 Mode opératoire - Eric achète sur des espaces illégaux (black markets) des kits de phishing usurpant l identité de grandes banques. Le kit, dont le prix varie de 10 à 30 dollars US, imite parfaitement l interface graphique de l entité visée. Il installe ensuite ces kits sur des espaces d hébergement gratuits à l étranger, principalement sur des serveurs basés aux Etats-Unis. Parallèlement à cette opération, Eric met à jour une base d adresses électroniques, créée par ses soins grâce à des forums et dont l activité lui permet de récupérer une centaine de nouveaux mails par jour. Après avoir constitué sa base, il envoie - par l intermédiaire d un serveur SMTP autorisant l envoi d sans authentification - plusieurs vagues de phishing en usurpant les identités des banques visées. Impacts - Pour Eric, le phishing est la solution idéale pour gagner de l argent. Il arrive à revendre sans difficulté les données à des shops car la demande est en hausse depuis quelques mois. Il considère même que sa démarche est «éthique» puisque, selon lui, "ce ne sont pas les clients mais les banques qui sont volées". Face à ce type d attaque Le phishing ne touche pas que de simples particuliers mais également les entreprises. Ce type d attaque, bien que facile à mettre en œuvre, est très dangereux. Il est préconisé de vérifier les émetteurs des messages, principalement à l aide des headers. Plusieurs solutions existent pour vérifier automatiquement l appartenance de l émetteur d un mail à un domaine. De plus, il ne faut pas se fier aux demandes par , une banque ne demandant jamais des identifiants par courrier électronique ou par téléphone. Scénario 5 : indisponibilité de superviseur Mots clés : Malware, Ransomware Contexte - Igor et Kevin, tous deux étudiants, ont décidé de consacrer leur temps libre au développement d un ransomware. Ce projet, qui devait être à visée scolaire, est vite devenu une activité permettant aux deux amis de dégager quelques profits. Mode opératoire - Le fonctionnement du système est simple : un petit logiciel, appelé builder, permet à n importe quel internaute de créer son propre malware «rançonneur» en inscrivant, durant le processus de création du malware, le numéro de téléphone surtaxé à appeler ou l adresse du site Internet à visiter pour payer la rançon. Le malware ainsi fabriqué se charge ensuite de modifier la séquence de démarrage originale de l ordinateur (MBR ou Master Boot Record 1 ) pour empêcher son démarrage en prétextant, par exemple, le chiffrement complet de son disque dur et demander une rançon pour sa restauration. Autour de leur projet s est organisée une petite entreprise : Igor se charge de la vente et du service client sur certains espaces d échanges cybercriminels. Pour chaque builder vendu 250 $, un service après-vente de six mois est offert, principalement pour créer de nouvelles parades contre les anti-virus. Leur publicité est assurée depuis qu un blogueur réputé en sécurité informatique a fait mention de leur malware dans un article sur l évolution de la menace en À ce jour, les deux comparses dégagent un profit d environ 1500 $ par semaine en vendant leur création sur plusieurs forums réputés. 1 : MBR (Master Boot Record) - Egalement appelé zone amorce, le MBR est le premier secteur adressable d un disque dur. Il intègre une routine d amorçage dont la finalité est de charger le système d exploitation. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 12 sur 73

14 Impacts - Le malware s est propagé sur de nombreux ordinateurs. Plus grave, lors d une opération de maintenance sur un système SCADA 1 d un centre de supervision d un réseau autoroutier, un technicien à malencontreusement branché une clé USB contenant le ransomware au superviseur principal afin de réaliser une mise à jour de routine. Suite à l installation de cette mise à jour, le redémarrage du superviseur a provoqué une réécriture du MBR, rendant inopérant pendant plusieurs heures le système de supervision. 1 : SCADA (Supervisory Control and Data Acquisition) Système informatique permettant la surveillance et le contrôle de systèmes industriels (énergie, transports, usines etc.) Face à ce type d attaque Une hausse de la production des ransomwares est à prévoir ces prochains mois du fait de leur facilité de développement et de leur furtivité potentielle sur le système ciblé. Face à ce type de menace, il est impératif de maintenir à jour le système et de disposer d un antivirus. De plus, une politique de sauvegarde doit être mise en œuvre afin de limiter l impact d un éventuel incident. Synthèse La cybercriminalité est une chaîne complexe. Dans cette chaîne, les black markets (en bleu) jouent un rôle essentiel, tant en amont pour la préparation des attaques qu en aval, pour la monétisation des bénéfices réalisés par les cybercriminels. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 13 sur 73

15 LES SITES DE BLACK MARKET Du site «amateur» au site «professionnel» Les black market sont à l image de la criminalité traditionnelle : il y a autant de différences entre un cybercriminel amateur et un cybercriminel chevronné qu entre un voleur d occasion et un braqueur expérimenté. Certains black markets, qu il est possible d assimiler à de la petite délinquance, sont donc accessibles à tous et leur découverte est aisée sur la Toile. Les renseignements ou données qui s y trouvent ne seront pas toujours excellents mais ils permettront à un novice de «débuter» en criminalité informatique. Généralement, lorsqu un black market se développe et acquiert une certaine notoriété, son accès devient payant. Ce prix reflète la qualité de l information : une bonne information ne peut être gratuite et tout cybercriminel est prêt à investir pour s inscrire dans un site web reconnu par ses pairs (pour certains, les prix peuvent aller jusqu à 500 $). Enfin, l accès à certains sites est impossible pour la majeure partie des criminels : à l instar d une mafia, il n est possible d y entrer qu avec l assentiment donné à l administrateur par des «parrains» déjà inscrits. Le droit d entrée ne repose plus alors sur un effort financier mais une réelle reconnaissance du milieu, ce qui nécessite d avoir fait ses preuves et de connaître les bonnes personnes. Figure 1 : quatre garants sont demandés pour entrer dans ce black market. Deux grandes catégories Les forums Un lieu d échange «underground» - Les forums sont le lieu de rencontre des cybercriminels débutants ou aguerris qui peuvent lire les dernières nouvelles et innovations du milieu, demander conseil sur tout type de sujet, proposer leur service ou collaboration pour des opérations illicites. Eu égard au caractère international de la cybercriminalité, les discussions se font en plusieurs langues. Les plus usitées sont l anglais et le russe mais il arrive de rencontrer des forums dédiés aux germanophones, francophones et hispanophones. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 14 sur 73

16 Figure 2 : un forum multilingue Un forum se divise en plusieurs rubriques, chacune concernant un sujet particulier. Il est ainsi aisé pour un cybercriminel de trouver rapidement toutes les annonces susceptibles de l intéresser. On y retrouve notamment des offres concernant des fraudes aux jeux d argent en ligne, du hacking, de l hébergement de sites illégaux ou de serveurs de spam mais également la vente d'exploits, de malwares, la location de botnets Figure 3 : les rubriques d'un black market Les annonces sont visibles par tous les membres qui peuvent se contacter entre eux par message privé puis, une fois le contact pris, converser par ICQ ou Jabber (voir page 24). Les administrateurs déconseillent d ailleurs généralement à leurs inscrits d indiquer directement dans leurs annonces les numéros ICQ mais nombre d entre eux passent outre cette règle de sécurité. Les participants n ont en effet pas tous le même statut. Par ordre d importance décroissant, il est possible de distinguer les administrateurs, les modérateurs, les vendeurs vérifiés, les membres reconnus et les invités. Ces derniers n étant recommandés ni par l administrateur ni par d autres membres, ils suscitent inévitablement la méfiance : il pourrait s agir de policiers ou de rippers 1. Les inscrits peuvent parfois se noter entre eux ce qui permet de passer du statut d invité à celui de membre reconnu. La réputation d un cybercriminel se fait également au moyen de feedbacks (commentaires) des autres utilisateurs. 1 : Rippers - Le ripper est un cybercriminel qui se fait passer pour un vendeur légitime sur un site de Black Market ou qui crée de faux sites de Black Market, afin de récupérer le montant de ces transactions illégales, sans offrir de réelles contreparties. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 15 sur 73

17 A la fin de l annonce ci-dessus, cette personne (qui possède elle-même une note +5) indique attendre les feedbacks des utilisateurs qui seront amenés à traiter avec elle. Le forum peut ainsi être à l origine de la création d une organisation criminelle car chaque membre peut trouver le ou les partenaires qui lui conviennent pour des activités déterminées. Le lieu de convergence entre criminalité virtuelle et physique - Un cybercriminel procède à des infractions en chaîne. Le recours à un ou plusieurs complices est d autant plus nécessaire que la moindre erreur à l un des stades de l opération peut causer un échec. La criminalité traditionnelle fait partie intégrante de ce processus et c est en grande partie au sein des forums que les échanges ont lieu entre ces deux formes de criminalité. En amont, cette criminalité peut prendre l apparence d employés malhonnêtes qui vont se servir de leur situation pour récupérer des données illicites comme des cartes bancaires. Deux exemples : Un employé d hôtel en Afrique du Sud a pu copier frauduleusement les données des cartes bancaires de ses clients durant la Coupe du monde de football. Dans cette annonce, il les revend avec les informations issues des passeports de ses victimes. «[ ] Je travaille pour un hôtel haut de gamme dans la ville du Cap, Afrique du Sud et nous avons eu récemment beaucoup d invités pour la Coupe du monde de football. J ai pu cloner certaines cartes de crédit et j ai aussi toutes les informations apparaissant sur les passeports. Au total, j ai environ 37 cartes et la plupart viennent des Etats-Unis, de Suisse, de France, d Allemagne et de Corée du Sud [ ].» Figure 4 : Message d un employé d hôtel proposant ses services Dans un autre cas, les membres francophones du forum s entraident : une personne indique gagner $ par mois en fournissant le matériel approprié («skimmer») à une serveuse qui va lui permettre de récupérer les données bancaires de la clientèle. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 16 sur 73

18 Figure 5 : un cybercriminel décrit son mode-opératoire de skimming Phase d exécution - Avoir recours à des complices implantés dans le pays cible est primordial pour un cybercriminel lors de l exécution de son délit et pour la phase finale de monétisation. Pendant la phase d exécution, cette aide se traduit par de petites actions simples, comme par exemple donner un coup de téléphone pour valider une commande ou recevoir un SMS. Exemple de discussion tirée d un forum : une personne voulant frauder Western Union recrute des «collaborateurs» afin de valider les transferts au téléphone 1. Une personne résidant en France propose de passer ces appels et de fournir occasionnellement une voix de femme pour les fraudes réalisées avec des titulaires de cartes bancaires féminines. Figure 6 : recherche de service de fraudes 1 : L envoi d argent par Western Union sur Internet nécessite deux phases : une première sur le site de la société et une seconde qui suppose d appeler Western Union par téléphone afin de valider le transfert effectué sur Internet. Figure 7 : proposition d'aide à la fraude Phase de monétisation - La phase de monétisation est la plus délicate et suscite d ailleurs de très nombreuses demandes dans les forums. Elle est principalement basée sur le système de «mule». Le rôle des mules ou «money mule» est de : recevoir des colis, des virements bancaires, des mandats Western Union, retirer l argent à un distributeur automatique avec une carte bancaire contrefaite La «mule» va servir d'intermédiaire et de facilitateur afin de permettre aux cybercriminels de transformer l'argent virtuel en argent réel : il s agit donc de blanchiment d'argent. Exemples : Lorsqu un cybercriminel pirate le compte bancaire d un ressortissant français, il a systématiquement besoin d une mule possédant un compte bancaire en France pour recevoir le virement frauduleux. Les transferts bancaires sont en effet instantanés en France métropolitaine alors que des virements à l étranger nécessitent un délai de plusieurs jours, ce qui laisse le temps à la banque de repérer la fraude. Une fois le virement effectué, la mule retire la somme de LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 17 sur 73

19 son compte et en envoie une partie par Western Union à l instigateur du virement frauduleux. L annonce ci-dessous propose de retirer le maximum d argent possible à des distributeurs automatiques en France au moyen de cartes bancaires dupliquées. Figure 8 : proposition de retrait sur des DAB français. On retrouve enfin sur Internet de nombreuses offres d'emploi suspectes sur de véritables sites de recrutement tout à fait légitimes. Elles promettent aux candidats de gagner des sommes d'argent confortables pour du travail à domicile. Le travail demandé est simple et financièrement intéressant : il consiste à effectuer des transferts d'argent (électronique, chèque...) en gardant une commission (entre 5 et 10%) sur chaque transaction réalisée. Arrestations suite aux démantèlements de réseaux de "money mules" En octobre 2009, l'office Central de Lutte Contre la Criminalité liée aux Technologies de l'information et de Communication (OCLCTIC) (voir section 7.1.1) a démantelé deux réseaux internationaux de fraudes bancaires opérant depuis la Russie et l'ukraine. Plus de 70 personnes ont ainsi été mises en examen. Les pirates, par l'intermédiaire de techniques de phishing, vidaient les comptes bancaires de leurs victimes et transféraient les fonds vers des "mules" qui renvoyaient ensuite l'argent par mandat Western Union vers la Russie et l'ukraine. En octobre 2010, après l arrestation en Grande Bretagne de 11 individus exploitant le Cheval de Troie bancaire Zeus pour voler les comptes de particuliers, le FBI a inculpé 60 personnes pour les mêmes motifs. Ces derniers sont accusés de faire partie d un réseau de cybercriminels situé en Europe de l Est et de "money mules" suspectés d avoir ouvert des comptes aux États-Unis pour y transférer les fonds volés. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 18 sur 73

20 Les shops Les «shops» sont l autre visage des black markets. Ici, pas d annonces en vrac, pas de contacts entre utilisateurs. Comme leur nom l indique, les shops sont des sites purement commerciaux. Le fonctionnement d un shop est le même qu un site marchand ordinaire : chaque utilisateur possède son propre compte sécurisé par un nom d utilisateur et un mot de passe et gère ses achats selon ses besoins. Prenons l exemple du carding, c'est-à-dire de la vente illégale de numéros de cartes bancaires, dont le produit-type comprend les éléments suivants : les 16 chiffres du numéro de la carte, la date d expiration, le code de sécurité (les 3 chiffres au dos de la carte désignés aussi par les acronymes CVV / CVC / CVV2), les nom et prénom du propriétaire, son adresse et son téléphone. Une activité très lucrative - Ces sites «commerciaux», véritable vitrine du carding, se sont multipliés sur la Toile, leur objectif étant de viser le plus large public possible. La présentation des sites est simple, la recherche d une carte facile : acheter un numéro ne prend que quelques minutes. Les administrateurs de ces sites ne sont, en général, que de simples revendeurs. Comme tout commerçant, ils ont acheté auprès de cybercriminels des lots de cartes en gros et les revendent au détail sur leur site à un prix supérieur. Cette activité étant très lucrative, le nombre de ces sites a tout naturellement explosé. Il suffit de comparer le prix d achat en gros d un numéro de carte à celui proposé dans un shop pour comprendre. Figure 9 : un "shop" vendant des cartes bancaires américaines Les prix de base pour une carte américaine varient de 0,50 $ à 1 $ lorsque la vente dépasse numéros. Dans l offre suivante, le prix à l unité oscille lui entre 2 et 3 $. Figure 10 : Cartes américaines présentes dans un shop. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 19 sur 73

21 Pour les cartes européennes, le prix est d environ 2 $ si la quantité achetée est supérieure à A l unité, il oscille entre 10 et 15 $. Le prix dépend en fait du pays, une carte anglaise étant souvent moins chère que les autres. Figure 11 : un "shop" vendant des cartes bancaires européennes Les produits Il existe différents types de produits vendus sur les sites de black market. De la vente de numéros de cartes de crédit aux malware, en passant par la vente de faux papiers ou de comptes de jeux en ligne, tous les secteurs de l économie sont touchés. Carding Les produits les plus courants sont issus du carding. Ce terme anglophone désigne l ensemble des techniques de vols de numéros de cartes bleues, en particulier par skimming technique consistant à placer un dispositif sur un distributeur automatique de billets (DAB) pour voler toutes les informations saisies par l utilisateur et le phishing opération destinée à usurper l identité d une banque pour créer une fausse interface d identification bancaire en ligne. Bien que l on puisse trouver quelques cartes vendues sur des forums, la majorité des espaces de vente sont des shops (voir la section précédente). Le prix de vente de ces cartes varie fortement en fonction des informations vendues avec le numéro proprement dit. Ainsi, peuvent-être vendus en plus : le nom et le prénom du porteur de la carte, sa date de naissance, la date d expiration ou encore le CVV. Sur un panel de cinq sites, le prix minimum constaté était de 2,5 $ pour un prix maximum de 15 $ et un prix moyen de 13,21 $. Figure 12 : shop proposant des cartes bancaires françaises Au delà des cartes sont également vendus des identifiants de banque en ligne, dont le prix dépend du solde du compte concerné. Les prix se situent en général entre 150 et 400. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 20 sur 73

22 Les malwares La vente de malware sur les black markets est de plus en plus courante. Pour accroître leur marché, les développeurs de logiciels malveillants créent des applications qui ne requièrent aucune compétence technique. Grâce à ce concept, baptisé CaaS pour Crimeware as a Service, le cybercriminel n est plus nécessairement un technicien et achète le service offert par le produit et non le produit lui-même. On retrouve ainsi sur les black markets des ransomware, des kits de phishing ou encore des chevaux de Troie. Figure 13 : proposition de service d installation pour le Banker SpyEye Comptes de jeux Sont également vendus sur les sites de black market des comptes de jeux en ligne. Le prix de ces derniers varie naturellement, comme pour les comptes bancaires, en fonction du solde du compte. Les prix moyens de ces produits oscillent entre 30 $ et 100 $. Figure 14 : vente d identifiants de jeux en ligne LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 21 sur 73

23 Faux papiers Les sites de black market proposent aussi des faux papiers. Première catégorie : les scans de papiers d identité légitimes. Ils peuvent notamment être utilisés pour l ouverture de comptes de jeux en ligne. Leur qualité varie fortement, ce qui a un impact sur leur prix. Deuxième catégorie : les pièces d identité contrefaites et envoyées sous une forme physique. Les prix sont évidemment nettement supérieurs : ils varient de quelques centaines d euros à plus d un millier d'euros alors que les scans sont vendus pour quelques dizaines d euros. Figure 15 : vente de faux papiers sur un site internet LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 22 sur 73

24 Accès à des sites gouvernementaux Des produits moins communs peuvent également être vendus sur ces marchés, à l image d identifiants de sites gouvernementaux. Figure 16 : vente d'identifiants à des sites gouvernementaux Le Spam Souvent hébergés sur des serveurs bulletproof, ces sites proposent des services d envoi de spam clés en mains. Cela permet au cybercriminel d inonder de nombreuses boîtes mail en vue d inviter les destinataires à se connecter sur un site commercial vendant des produits souvent prohibés. Le prix payé par le client dépend naturellement de la qualité du service de spam auquel il souscrit. Certains de ces services sont même capables de contourner les captchas 1. Les outils des cybercriminels 1 : Captchas Systèmes de contrôle visuel ou audio permettant de différencier un humain d un programme automatique lors de la validation de formulaires sur internet. Des messageries instantanées aux fonctions multiples Pour communiquer entre eux, les cybercriminels ont essentiellement recours à ICQ, même si, depuis peu, l utilisation de Jabber a nettement progressé. Le rôle d ICQ et de Jabber ne saurait cependant être cantonné à celui de simple messagerie, tant ces deux services prennent une importance grandissante dans l univers des black markets ICQ - ICQ a fait partie des précurseurs en matière de messagerie instantanée. Le système se distingue de ses concurrents (MSN ou Yahoo) par le fait que les utilisateurs s identifient entre eux par un numéro et non par un pseudo. Les numéros ICQ pouvant LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 23 sur 73

25 aller jusqu à 9 chiffres, certains cybercriminels cherchent d ailleurs pour des raisons marketing à obtenir des numéros plus courts, au point qu un marché des numéros ICQ s est développé. Que ce soit dans les forums ou dans les shops, tous les cybercriminels indiquent leur numéro ICQ. Figurant sur la page d accueil du site, il permet de contacter l administrateur pour s inscrire. Au sein des forums, il donne également la possibilité à tout membre de contacter l auteur d une annonce intéressante. Enfin, au sein des shops, il fait plutôt office de contact pour le service après-vente. ICQ ne permet pas uniquement à ses membres de discuter : il est possible d'y trouver des shops totalement automatisés. Cette annonce propose à la vente des numéros de cartes bancaires. Pas besoin de site Internet, tout se passe par ICQ et ce n est pas une personne, mais un programme automatique qui répond. Figure 17 : Service de ventes de cartes par ICQ Il suffit pour cela de suivre les commandes proposées par le robot et, comme pour un répondeur automatique, de taper le chiffre correspondant à sa requête : taper 1 pour acheter une carte, 2 pour remplacer une carte invalide, 3 pour créer son compte utilisateur, 4 pour lire les informations inhérentes à ce service, 5 pour contacter le support, 0 pour sortir du programme Figure 18 : Service de ventes de cartes par ICQ (2) Le service est en tout point identique à celui d un shop car il est même possible de rechercher un numéro de carte par pays ou par banque. Cette multiplication des black markets sur ICQ pourrait poser de graves problèmes aux autorités car ils sont beaucoup moins repérables qu un site Internet. Jabber - Après ICQ, Jabber est devenu le deuxième outil indispensable aux cybercriminels. Bien que proposant aussi une messagerie instantanée, il ne peut être considéré comme un concurrent direct d ICQ car son emploi n est pas le même. Construit sur le protocole ouvert XMPP (Extensible Messaging and Presence Protocol), Jabber permet de chiffrer ses conversations, de créer son propre serveur ou de naviguer sur les milliers de serveurs Jabber disponibles à travers le monde. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 24 sur 73

26 De plus, il est possible de se connecter directement à ICQ depuis Jabber par un système de passerelle, ce qui pourrait décider certains cybercriminels à continuer à utiliser ICQ tout en bénéficiant de la sécurité et de la performance de Jabber. Jabber a notamment fait parler de lui avec le cheval de Troie bancaire Zeus. L une de ses versions nommée «JabberZeus» permettait d envoyer au cybercriminel en temps réel via un serveur Jabber les informations recueillies dans les ordinateurs compromis. Figure 19 : Possibilité de notification par jabber du banker ZeuS Communiquer via des forums présente des risques : ces supports peuvent à tout moment être fermés par les autorités. Ils sont également régulièrement infiltrés par les services de police. Les administrateurs de forums mettent donc en place des réseaux parallèles sur Jabber pour organiser des conférences de façon permanente ou occasionnelle. Le forum ci-dessous a par exemple créé son propre serveur sur Jabber et les membres peuvent s y rendre à tout moment. Figure 20 : Serveur Jabber privé d'un black market Ces serveurs peuvent être privés ou ouverts à tous les membres d un forum comme l illustrent ces deux exemples : Créé sur Jabber, le réseau ci-dessous n est ouvert qu aux modérateurs du forum et aux vendeurs «vérifiés». «La conférence a été créée. [ ] Le mot de passe [ ] n est que pour les modérateurs et les vendeurs. Pour les autres, ce ne sera qu après vérification.» La conférence ci-dessous est à l inverse ouverte à tous les membres du forum. «On a discuté avec Corpse (super modérateur du forum) de la possibilité de créer une conférence sur Jabber et nous avons décidé qu il était temps de se réunir et de discuter de tout ce qui est intéressant. La conférence aura lieu aujourd hui, le 24/10/2010 à 21h, heure de Moscou. Le thème de la conférence : discussions sur le matériel de carding, la programmation, les problèmes à venir, les informations récentes, l échange d expérience, etc. Toutes les informations LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 25 sur 73

27 au sujet de la réunion et le mot de passe seront publiée une heure avant le début [ ].» Figure 21 : une conférence Jabber ouverte à tous Un serveur est particulièrement apprécié des cybercriminels : thesecure.biz. Sécurité et anonymat en sont les mots d ordre. L inscription est gratuite mais le site accepte volontiers les dons par Webmoney. Aucune information n est disponible sur le ou les créateurs de ce serveur mais des investigations permettent de relever deux éléments majeurs : Le site Internet, localisé en Allemagne, est hébergé par «Hetzner Online AG». Cette société, bien connue des autorités, a déjà pu être reliée à plusieurs affaires cybercriminelles : en 2009, lors d une tentative d hameçonnage des clients SFR et Neuf Télécom et en 2010 lors de l envoi d un cheval de Troie à Reporters Sans Frontières par le biais d un courriel ; Le nom de domaine a été enregistré par un certain «Sergey Ryabov», résidant en Russie. Plusieurs dizaines de sites web hébergeant des codes malveillants ont pu être directement associés à cette même personne. Un outil indispensable : les checkers Tous les shops sont équipés de «checker» qui leur permet de vérifier la validité d une carte. Les clients ne payant que pour des cartes utilisables, toutes les cartes déclarées invalides par le checker seront automatiquement remboursées sur le compte du client. Cette opération ne prend que quelques secondes sur le site et le client n a pas la possibilité de savoir de quel checker se sert l administrateur. Figure 22 : un checker LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 26 sur 73

28 Figure 23 : conditions d'utilisation d'un checker Les checkers peuvent être des programmes informatiques ou des sites Internet privés ayant des options d utilisation plus ou moins étendues. Il suffit de rentrer les 16 chiffres du numéro de la carte, la date d expiration et parfois le code secret (CVV) pour que la carte soit déclarée valide ou non. Une somme généralement comprise entre 0,01 et 3 $ peut être prélevée mais certains checkers s en dispensent de peur de d'invalider la carte. Certains checkers proposent en option de savoir quel est le montant maximal autorisé par la carte. Si le cybercriminel désire par exemple procéder à un achat de euros sur Internet, il pourra ainsi demander une pré-autorisation de paiement afin de savoir si le montant peut être supporté ou non. Tout à fait légal à l origine, ce système est utilisé dans de nombreuses professions (bijoutiers, magasins de luxe, location de véhicules ). Figure 24 : Checker logiciel Autre option : le checker permet de savoir si une carte est vérifiée par Visa Verified ou par Mastercard Secure Code. Selon le site Internet visé, le cybercriminel pourra en effet choisir d utiliser une carte non reliée au système de vérification utilisé. A noter que les cartes sont parfois directement vendues avec ces détails. Ces deux dernières options (pré-autorisation de prélèvement et système de vérification de la carte) intéressent au premier plan les cybercriminels qui achètent leurs propres checkers. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 27 sur 73

29 Un shop «vandalisé» par ses clients Un site de vente de numéros de cartes a récemment connu des problèmes récurrents avec son checker. Les difficultés ont duré des semaines comme l illustrent les messages ci-dessous. Le shop fut fermé à de nombreuses reprises et dut même faire face à une clientèle protestant contre les non-remboursements de certaines cartes non valides. Le 12 février 2011, une défaillance technique avec le checker amène au contraire ce dernier à rembourser automatiquement les clients, y compris ceux ayant acheté des cartes valides. Certains utilisateurs perçoivent la faille et vident littéralement le shop d une partie de ses cartes sans rien payer. L administrateur est furieux : les clients concernés sont bannis du site et, à moins de rembourser, ne pourront plus y accéder. Les adresses IP sont relevées afin de ne pas leur permettre d ouvrir un nouveau compte sans s acquitter de leur dette. Les infrastructures : les serveurs bulletproof Le premier souci des cybercriminels est l anonymat. C est la raison pour laquelle ils ont notamment détourné le protocole DNS et utilisent l architecture même d Internet, un réseau de réseaux, pour mettre en place un dispositif leur garantissant anonymat et haute disponibilité. Ce sont les serveurs dits «bulletproof», ou littéralement «à l épreuve des balles». L une des caractéristiques de ces serveurs est de proposer des hébergements sans se soucier de l utilisation qui sera faite de l espace loué. Certains hébergeurs affichent même fièrement leurs convictions sur leur page d accueil : «We will never shut down, no matter how many complaints we receive». Autrement dit : «nous ne serons jamais déconnectés, peu importe le nombre de plaintes que nous recevons». Une garantie dont la valeur est évidemment difficile à évaluer Figure 25 : Promotion d un serveur bulletproof LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 28 sur 73

30 Le protocole DNS a initialement été conçu pour faciliter la mémorisation d adresses Internet. Pour se connecter à un site, il faut connaître son adresse IP. Or, le format de ces adresses est loin d être simple à mémoriser. Ainsi, le protocole DNS permet d associer à une adresse IP une URL qui est plus littérale et plus facile à mémoriser qu une suite de chiffres. Par exemple, l adresse IP de Google est associée à l URL Pour assurer la haute disponibilité de leurs ressources, les pirates ont utilisé les failles du protocole pour associer plusieurs adresses IP à une URL. Derrière une seule et même URL se cachent ainsi de nombreux serveurs répartis dans le monde entier. C est la technique du fast flux. Il est donc très difficile d identifier ces serveurs et dès lors de les faire fermer. Figure 26 : Enregistrements DNS utilisant le Fast-Flux. Cette technique est notamment utilisée pour les campagnes de phishing. En hébergeant le site d hameçonnage sur plusieurs serveurs accessibles via une même URL grâce au fast flux, les fraudeurs accroissent fortement le temps de présence sur Internet du site malveillant. Cette continuité de service augmente ainsi proportionnellement leurs revenus. Ils en profitent d ailleurs parfois pour héberger d autres types de contenus illicites comme des images pédopornographiques ou des codes malveillants. Une autre utilisation classique des serveurs bulletproof est la mise en place de serveurs de C&C (control and command 1 ) pour contrôler les ordinateurs contaminés par un cheval de Troie. Grâce à ces serveurs, le pirate peut réaliser toutes les actions qu il désire sur les machines «zombies» tout en restant anonyme. Il va en particulier pouvoir voler sans crainte les identifiants bancaires et les comptes mails de ses victimes. Pour renforcer l accessibilité et l anonymisation des serveurs C&C, les pirates ont également mis en place un maillage «upstream» qui camoufle au maximum les serveurs malveillants et leur assure une très bonne connectivité Internet. Avec cette architecture, les serveurs bulletproof ne sont en fait pas directement connectés aux fournisseurs d accès à Internet mais à une série de serveurs, dit «upstream providers», qui sont connectés à Internet et interconnectés entre eux. Ces serveurs upstream sont tout à fait légaux, si ce n est qu ils sont volontairement connectés aux serveurs bulletproof. Aucune action malveillante n est directement diligentée depuis ces serveurs. Avec ce maillage, si l un des serveurs «upstream providers» est déconnecté d Internet, le serveur bulletproof sera toujours relié à la Toile via un autre serveur et sera de fait toujours en mesure de contrôler les serveurs C&C et les ordinateurs zombies. Cette technique rend encore plus difficile la localisation des serveurs malveillants. 1 : Serveur C&C - Serveur utilisé par un pirate pour contrôler à distance des ordinateurs qu il aura infecté. Ces serveurs lui permettent de renforcer son anonymat. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 29 sur 73

31 Figure 27 : l architecture proposée par un «upstream provider» Les ordinateurs contrôlés depuis les serveurs C&C du serveur bulletproof forment un botnet. Profitant alors de plusieurs milliers, voire de plusieurs dizaines de milliers d ordinateurs, les pirates peuvent lancer des attaques DDoS massives. Ces attaques connaissent aujourd hui un large succès. Au-delà des attaques DDoS à but économique, déjà bien connues, la force de frappe qu apportent les serveurs bulletproo fait de cette technique une réelle arme de guerre. Des pirates d origine russe n ont pas hésité à la mettre en œuvre lors du conflit russo-géorgien de Les serveurs bulletproof permettent donc d industrialiser des techniques d attaques déjà anciennes mais toujours efficaces. La tendance du marché est d ailleurs la vente de solutions clefs en main. Des utilisateurs n ayant pas de compétences particulières en informatique peuvent ainsi, sans grandes difficultés, se lancer dans la cybercriminalité et en tirer une source de revenus illégaux non négligeables, par exemple en louant un serveur dédié pour 250 $/mois chez spamhost.com, un célèbre serveur bulletproof, afin d héberger un site de phishing et de lancer des campagnes de spam via le service xrumer. Les serveurs bulletproof contribuent donc clairement à l émergence du CaaS ou Crimeware As A Service. Figure 28: Service d hébergement bulletproof. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 30 sur 73

32 Lutter contre les serveurs bulletproof - Le cœur d Internet est constitué de réseaux indépendants interconnectés les uns aux autres. Ces réseaux sont appelés Autonomous System ou AS et sont répartis en trois catégories : Les Tier-1 : AS de niveau international. Ils s'interconnectent entre eux ou se connectent avec les Tier-2 les plus vastes soit directement soit via des Network Access Point (NAPs). Les Tier-2 : AS de niveau national ou régional. Ils sont interconnectés entre eux et sont connectés aux AS Tiers-1 et 3. Les Tier-3 : AS de niveau local. Les pirates ont déjà réussi à compromettre certains AS Tier-3 en prenant le contrôle des serveurs qui en dépendent. Ces «AS malveillants», qui sont par définition connectés à des AS sains et légaux, contribuent ainsi au bon fonctionnement d Internet en participant au routage de l ensemble des flux, qu ils soient légitimes ou criminels. Figure 29 : illustration d'un réseau avec des AS. Si seul l'asxxx2 est malveillant, il fait transiter de nombreux flux légitimes, en particulier tout ceux émis par, et à destination de l'asxxx5 Pour détecter ces AS corrompus, les mieux armés sont les FAI qui les gèrent. Ceux-ci peuvent par exemple surveiller les flux et détecter toute augmentation anormale du trafic vers des plages d IP qui appartiendraient à l un d eux. Figure 30 : localisation des serveurs malveillants identifiés par Malware Domain List durant le mois d avril 2011 LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 31 sur 73

33 Mais après la détection et l identification, toute la difficulté est de pouvoir déconnecter l AS malveillant. Couper simplement les connexions des AS bulletproof identifiés aurait en effet une double conséquence. D'une part, cela bloquerait tous les flux entrants et sortants de cet AS, y compris les flux légitimes. D autre part, pour permettre aux flux légitimes d atteindre la bonne destination, il faudrait revoir les tables de routage de chaque routeur afin de contourner l AS qui aurait été banni d Internet. Une telle opération génèrerait donc des coûts très importants et risquerait de provoquer un ralentissement du trafic Internet mondial avec d inévitables pertes de paquets, faute de table de routage à jour. De surcroît, les AS bulletproof hébergeant aussi bien des contenus malveillants que légaux, la mesure aurait également pour conséquence de rendre définitivement inaccessibles certains contenus licites. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 32 sur 73

34 LES ACTEURS DES BLACK MARKETS Entre goût du secret et besoin de publicité : une criminalité schizophrène Le comportement des cybercriminels peut dérouter tant il semble parfois inconstant et variable. D un côté, ils s exposent à outrance sur la Toile et expliquent en détail les rudiments de la fraude en ligne. Le ton est jovial et les questions des novices sont traitées avec considération, la cybercriminalité étant perçue comme permettant à chacun d obtenir «sa part du gâteau» Des «universités» apparaissent même sur le web avec des programmes aux matières peu orthodoxes : introduction à la cybercriminalité (50 $), cours de scam (200 $), l art de frauder les jeux en ligne (300 $), création de botnet (500 $). Figure 31 : «université» du cybercrime D'un autre côté, la cybercriminalité cherche aussi la discrétion et le secret. La moindre question fera redouter la présence d un policier infiltré et les sites seront fermés, rompant toute possibilité de prise de contact. Voici par exemple quelques unes des recommandations d un administrateur de black market à ses membres : «ne communiquer à personne l adresse du site et ne pas parler de son existence, indiquer à l administrateur tout site Internet où un commentaire serait fait sur son black market ainsi que le nom de l auteur du message». Figure 32 : Message d avertissement sur un forum LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 33 sur 73

35 Ce comportement paradoxal ne s explique pas simplement par la division existant entre les pirates novices, traditionnellement plus bavards, et la criminalité organisée, par essence plus discrète. Les cybercriminels aguerris aiment aussi s exposer aussi bien pour vendre leurs trouvailles au grand public que pour recruter des débutants pour certaines opérations. Vaste réseau, la cybercriminalité fait appel à de multiples protagonistes mais le rôle et l importance de certains d entre eux sont méconnus. En matière de carding, on oublie ainsi souvent le rôle clé joué par certains individus dans le vol «physique» de données bancaires. Les liens entre cybercriminels et organisations mafieuses n ont également jamais pu être établis avec certitude. De même qu il est difficile de prouver le lien entre certaines attaques informatiques et les services étatiques de tel ou tel pays régulièrement montré du doigt. Des «associations internationales de malfaiteurs» Les cybercriminels opèrent rarement isolés. C est pourquoi de multiples forums leur permettent d échanger et de trouver des partenaires pour des opérations précises. Partenaire d un jour ne signifie d ailleurs pas partenaire de toujours car le choix d un complice n est pas fondé sur des critères personnels mais techniques (son lieu de résidence par exemple). À l instar d un panneau affichant en temps réel les cours de bourse, les annonces défilent en continu sur certains forums afin d identifier la ou les compétences manquantes à l opération. La rapidité, voire l instantanéité, sont fondamentales. Figure 33 : Interface d'affichage d'annonces cybercriminelles en temps réel Les facteurs motivant les choix des cybercriminels dans leurs «partenariats» sont multiples et complémentaires. Le facteur de compétences Même des actions simples requièrent de multiples compétences. Or un cybercriminel ne peut pas maîtriser tous les savoir-faire : piratage informatique, hébergement de serveurs, création de faux documents et de sites web, blanchiment d argent, etc. Les cybercriminels se spécialisent donc dans l une ou l autre de ces activités et préfèrent partager leurs gains dans une opération réussie plutôt que de courir un risque d échec en tentant de maîtriser toute la chaîne. Dans une affaire récemment jugée aux Etats-Unis, un cybercriminel nommé Gonzalez faisait ainsi appel au dénommé Maksik pour vendre les numéros de cartes qu il avait piratées. Il avait également acquis un sniffer auprès de Stephen Watt (programmeur à LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 34 sur 73

36 Morgan Stanley) et avait collaboré durant deux ans avec des pirates d Europe de l Est afin de déchiffrer des codes PIN. Quant à la partie blanchiment d argent, elle était gérée par un Américain du nom de Zaman. Le facteur temps Le fait que chaque cybercriminel soit affecté à un rôle précis diminue fortement la durée de réalisation de l infraction. Cette rapidité d exécution est indispensable pour ne pas laisser le temps aux sociétés ou particuliers visés de prendre conscience qu ils ont été victimes d une attaque informatique. Elle permet de plus de déplacer des liquidités en un temps minimal, ce qui réduit le risque de voir les autorités bloquer ces circuits financiers illégaux. Le facteur temps dans l affaire Gonzalez Le facteur temps apparaît clairement dans l affaire Gonzalez. Dans l extrait de conversation ci-dessous, ce dernier presse Maksik de vendre au plus vite les données piratées car il sait que la société Visa peut à tout moment identifier les victimes et bloquer les cartes. Or des cartes invalidées n ont plus aucune valeur et représenteraient pour les deux comparses une importante perte financière. [Gonzalez] [Gonzalez] visa knows [major retailer] is hacked but they don t know exactly which stores are affected Le facteur risque La réponse pénale peut être très variable selon l activité à laquelle s adonne un cybercriminel, comme en témoignent les peines très hétérogènes prononcées aux États-Unis à l encontre de Gonzalez et de ses complices. Stephen Watt, le créateur du sniffer ayant permis à Gonzalez de pirater des millions de numéros de cartes de crédit, n a été condamné qu à deux ans de prison. Cet ingénieur informatique travaillait pourtant pour la banque d investissement Morgan Stanley, ce qui aurait pu être considéré comme une circonstance aggravante. Il ne pouvait en outre ignorer l utilisation qui serait faite de son sniffer. Gonzalez a été condamné à 20 ans de prison. Le hacker était déjà bien connu des autorités et cette lourde peine ne fait que traduire la tolérance zéro des États-Unis envers le piratage de données bancaires. Zaman, chargé de blanchir l argent de Gonzalez, a été condamné à 46 mois de prison. Celui-ci bénéficiait d une commission de 10% sur tous les bénéfices de Gonzalez et travaillait lui aussi dans le secteur bancaire (Barclays Bank). Les risques encourus expliquent que certains cybercriminels se refusent à réaliser euxmêmes des opérations simples comme des retraits d espèces avec des cartes bancaires falsifiées. Le risque d être identifié par les caméras de vidéosurveillance des distributeurs automatiques est élevé. D où le recours à des «mules» chargées de recevoir des virements bancaires ou des mandats Western Union. Ces dernières sont d ailleurs souvent présentées comme des victimes malgré les larges commissions qu elles perçoivent. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 35 sur 73

37 Il n existe donc pas forcément de corrélation entre l importance du risque pénal et le montant des bénéfices reçus. Chacun évalue le risque qu il est prêt à courir et le montant de cette prise de risque même si des pourcentages-type peuvent être définis. Pour recevoir un virement bancaire sur son compte, le partage est ainsi généralement fixé à 50 %. Figure 34 : Exemple de commission proposée à une «mule» Pour les transferts provenant de Western Union ou Money Gram, les mules employées perçoivent une commission de 8 à 10 % du montant total de la transaction. Pour le retrait d espèces à un distributeur automatique, la commission est, elle, comprise entre 50 et 75 %. Figure 35 : Exemple de commissions en faveur d une «mule» (Retrait d'espèces) Ces pourcentages peuvent cependant être très variables selon la fréquence des transactions entre les deux parties et le montant des opérations. Le facteur géographique Les cybercriminels ne sont limités par aucune frontière et peuvent viser le pays de leur choix. La distance géographique ne constitue pas un frein mais un avantage car elle permet de se protéger d éventuelles poursuites, la coopération internationale étant encore restreinte en matière de lutte anti-cybercriminalité. Il est cependant souvent nécessaire de faire appel à un complice dans le pays visé pour certaines actions impliquant une présence physique (réception de marchandises, retrait en liquide de virements bancaires,etc.). Dans chaque forum, des rubriques sont ainsi consacrées aux «offres et recherches d emplois». Figure 36 : la rubrique "offres d'emplois" d'un black market Les forums Internet jouent donc clairement un rôle de facilitateur dans ces «associations internationales de malfaiteurs». Gonzalez a ainsi lié connaissance avec tous ses complices dans les forums, à l exception de Stephen Watt qu il connaissait dans le «monde réel». LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 36 sur 73

38 Des profils très variés Qui se cache derrière ce nouveau business? Les administrateurs des forums et shops ont-ils un profil type? Trois exemples permettent d illustrer la variété des acteurs impliqués. Exemple n 1 : le shop «professionnel» En décembre 2009, un nouveau forum dédié au carding et au hacking voit le jour sur Internet. L objectif annoncé par ses créateurs est de se poser en nouveaux leaders car, selon eux, la qualité du marché cybercriminel sur Internet a chuté. Un an plus tard, les administrateurs du forum créent leur propre shop de carding. Figure 37 : annonce de création d'un nouveau shop dédié du carding Avantage clé : dans le shop, les numéros de cartes mis en vente ne seront que ceux négociés entre les administrateurs et les vendeurs déjà connus du forum. Le risque de «ripping» est nul et il n est pas nécessaire de partir à la recherche de vendeurs de cartes à bas prix. Le forum compte plus de membres qui sont autant de clients potentiels pour le nouveau shop. Un tel développement témoigne d un véritable savoir-faire marketing. Exemple n 2 : le shop «amateur» A l inverse, certains shops sont beaucoup plus amateurs dans leur manière de s organiser. Le site de carding ci-dessous achète des lots de cartes à n importe qui et quelle que soit la quantité avec un partage des gains à 50/50. Figure 38 : Un shop "amateur" Il est aussi possible de s adresser directement à l administrateur pour acheter des quantités importantes de numéros sans passer par le site. L appât du gain a même amené les dirigeants à se «franchiser» en proposant à la vente le script de leur site pour des personnes désirant ouvrir leur propre shop. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 37 sur 73

39 Figure 39 : Créer sa franchise de shop de carding Cette organisation artisanale ne signifie pas pour autant moins de bénéfices. Ce dernier shop est très populaire et les utilisateurs lui ont donné bonne réputation. Exemple n 3 : les «historiques» Derrière certains black markets se cachent aussi des cybercriminels très connus. En novembre 2010, un nouveau site de vente de numéros de cartes bancaires arrive sur la Toile. Le nom de son créateur, «Smooch», ne passe pas inaperçu car ce dernier est un cybercriminel actif depuis 2002 et recherché au niveau international. Il s est fait connaître dans des forums tels que Carderplanet ou Shadowcrew pour des services de mules et de blanchiment d argent. Neuf ans plus tard, Smooch est toujours bien présent à travers cette nouvelle activité. Certains anciens de Shadowcrew ne sont pas aussi "chanceux" que Smooch. Un britannique de 33 ans d origine sri lankaise s est vu condamné à 56 mois de prison en mars 2010 pour avoir animé un forum privé usité par plus de cybercriminels. Pizzaiolo le jour et administrateur la nuit, Renukanth Subramaniam alias JiLsi, s est fait repérer dans le cybercafé où il opérait pour mettre à jour son site. Trois ans d enquête auront été nécessaires au FBI pour le localiser. Cette conclusion de l un des enquêteurs est révélatrice : «c était l un des dix meilleurs sites dans le monde mais il y en a plus d une centaine que nous connaissons et une autre centaine que nous n avons pas encore découvert.» L ennemi numéro un des cybercriminels : le ripper Les cybercriminels les ont en horreur et pour cause : il est difficile d y échapper. Les rippers sont les cybercriminels doublement malhonnêtes : ils se font passer pour des vendeurs légitimes ou montent de faux sites de black markets et disparaissent une fois l argent encaissé. Figure 40 : Message d'alerte contre les rippers Ils ne font en fait que profiter des failles inhérentes au commerce électronique : toutes les transactions s effectuent entre des personnes qui ne se connaissent pas dans le «monde réel». LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 38 sur 73

40 Ce black market proposant à la vente des données bancaires est ainsi un faux. Après avoir payé 100 $ d inscription, le client s aperçoit qu il est impossible d accéder au site. Ce cas est loin d être isolé et de nombreux sites sévissent ainsi sur la Toile. Figure 41: Un cas de black market «ripper» Les rippers sont présents à tous les stades de la cybercriminalité. Mais une solution a été mise en œuvre 1 pour sécuriser les transactions : le recours aux «escrow services». Un «escrow» peut être défini comme un tiers de confiance qui va permettre de finaliser une transaction entre deux personnes n ayant jamais traité ensemble auparavant. Exemple : un hacker propose de vendre des numéros de cartes de crédits à un individu. Le hacker ne veut pas envoyer les numéros de cartes le premier car il a peur de ne pas être payé. Quant au client, il ne veut pas payer d abord car il redoute que le hacker ne lui envoie pas les numéros de cartes attendus. Afin d éviter des discussions sans fin et minimiser les risques de part et d autre, l escrow va prendre part aux termes de l échange : le hacker va lui envoyer les numéros de cartes, le client l argent. L escrow s assure alors que les conditions de la transaction sont respectées. Une fois les vérifications terminées, il procède aux échanges. Dans la majorité des forums, des services d escrow sont recommandés directement par les administrateurs. 1 : Les membres d un forum ont généralement différents statuts, ce qui permet théoriquement de reconnaître les personnes «dignes de confiance». La majorité des membres des forums possédant le statut d invités, cela ne permet cependant pas de résoudre le problème des rippers. Dans l exemple ci-dessous, le tiers de confiance se rémunère par un prélèvement de 5 % sur le montant total de l échange. Figure 42 : Exemple d un escrow service recommandé dans un forum. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 39 sur 73

41 L ECONOMIE DES BLACK MARKETS La cybercriminalité est une activité économique en pleine expansion. Au-delà de ce constat global, est-il possible d évaluer les revenus d un cybercriminel? Une estimation est-elle réalisable à partir d une observation des black markets? Autre question clé : comment s effectuent les transactions financières propres à cette économie souterraine? Si la cybercriminalité n aurait pas pu se développer aussi rapidement sans les systèmes de monnaie virtuelle, les circuits classiques de blanchiment d argent jouent également un rôle important. L affaire Gonzalez servira de fil conducteur à ces développements. Elle démontre en effet parfaitement le rôle spécifique de chacun des intervenants : hacking, vente de données illicites et blanchiment d argent. Les profits des cybercriminels Les profits générés par la cybercriminalité sont difficilement quantifiables car l activité d un certain nombre de black markets est tout simplement impossible à évaluer, tant en termes de bénéfices réalisés que de volume de clientèle. Certaines arrestations permettent a posteriori de découvrir les fortunes détenues par certains cybercriminels. Mais l analyse est biaisée et partielle puisque les profils étudiés correspondent aux acteurs ciblés par les autorités (hackers, administrateurs de forums ou de sites de vente de données bancaires) et ne sont donc pas représentatifs de l ensemble des protagonistes. Analyse à partir des affaires judiciaires connues La presse relate régulièrement l arrestation de cybercriminels et la manière dont ils se sont enrichis. Prenons par exemple la célèbre affaire Gonzalez et effectuons une comparaison avec la vente de numéros de cartes bancaires qui est l un des rares marchés dont les bénéfices peuvent être calculés en amont. En 2007, Maksim Yastremskiy, plus connu sous le pseudonyme de Maksik, est arrêté en Turquie. Cet Ukrainien se fournissait régulièrement en numéros de cartes bancaires auprès d un hacker américain, Gonzalez, qui à l aide d injections SQL et de sniffers a pu en obtenir des quantités très importantes. Maksik revendait ensuite ces données en gros ou au détail sur son site. Maksik et Gonzalez opéraient selon une clé de répartition 50/50 : environ chaque semaine, suivant la progression des ventes, la moitié des bénéfices était envoyée à Gonzalez. En quatre ans, Maksik a pu générer un revenu de onze millions de dollars à lui seul, réparti de la manière suivante : LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 40 sur 73

42 Figure 43 : Répartition des revenus de Maksik Historique de conversation ICQ de Gonzalez et Maksik Cet enregistrement des conversations ICQ récupéré par les autorités américaines démontre que Gonzalez s informait régulièrement auprès de son revendeur Maksik de l état de leurs finances : [Gonzalez] ok good do you have approximate amount total $ needed to be sent to me? [Maksik] well, because of some orders are pending, I can tell you approximately [Maksik] I have so far around 100k for you [Gonzalez] :))) [Maksik] and from what I have left, it should be around 15-20k more [Gonzalez] I think selling this information is better for me instead of dealing with cashers Maksik est-il une exception? De nombreux administrateurs de shops peuvent-ils faire des bénéfices aussi considérables? Les éléments ci-dessous résultent de l observation d un shop de taille moyenne durant un mois. La méthode a consisté à relever le nombre de cartes proposées au début du mois de janvier 2011 et à la fin du mois, à calculer combien de cartes avaient été vendues et à relever leur prix, celui-ci dépendant à la fois du pays et du type de carte (Visa, Mastercard, AMEX ). Figure 44 : Estimation des revenus de cybercriminels En un mois, numéros de cartes ont été vendus pour un chiffre d affaires total de $, soit numéros achetés quotidiennement. L existence de ce site remontant au minimum au 15 novembre 2009, il est possible d évaluer les profits déjà réalisés par le ou les propriétaires. Sur une durée de quatre ans, le site aurait donc pu générer dollars, soit un revenu proche de celui de Maksik. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 41 sur 73

43 Tous les sites n ont cependant pas le même niveau d activité, certains proposant à la vente un nombre bien inférieur de numéros de cartes. Un nouveau shop peut toutefois croître très vite. L historique du site ci-dessous permet par exemple d observer sa progression. Ouvert depuis le 10 décembre 2010, le site ne proposait à ses débuts «que» numéros de cartes. Le 27 janvier 2011, numéros sont ajoutés, l activité du site commençant à se développer. Le succès a ensuite été rapide car deux semaines plus tard, numéros supplémentaires étaient mis en ligne. Figure 45 : Historique de l'approvisionnement d'un black market Evaluation à partir des prix observés sur les shops Certaines activités cybercriminelles sont beaucoup moins connues. Leur rôle est pourtant clé dans la chaîne cybercriminelle. Il s agit par exemple de la fabrication de scans de faux documents officiels, de la recherche de dates de naissance, de numéros de sécurité sociale, de la réception de SMS ou d appels téléphoniques, du piratage de boîtes mails, etc. Certains sites Internet sont exclusivement dédiés à ces services. Leurs prix sont généralement assez élevés, comparativement à d autres activités courantes des black markets. Pour des scans de documents officiels, les prix varient par exemple de 25 à 100$, les plus demandés étant ceux de cartes bancaires, de passeports, de factures attestant le domicile et de relevés bancaires pour une moyenne de 30 $ chacun. Le site enregistre les informations désirées par le pirate (nom, prénom, adresse, etc.) et les administrateurs piochent ensuite dans leur base de données des exemplaires de ces documents provenant de nombreux pays. Figure 46 : Listing de prix Autre exemple de «niche» cybercriminelle : la fraude aux compagnies aériennes. Certains individus proposent de réserver en ligne des billets d avion avec des numéros de cartes obtenus frauduleusement. Les voyageurs rémunèrent le cybercriminel selon un pourcentage du prix total du billet (dans l exemple ci-dessous pour 20 à 30 % du prix). LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 42 sur 73