Comment se faire dépouiller en surfant sur la toile?

Transcription

1 Comment se faire dépouiller en surfant sur la toile? Gérard Peliks Président de l'atelier sécurité de Forum ATENA Le phishing de base et le spear phishing Le phishing (en français filoutage ou en québecquois hameçonnage) est une attaque qui a pour but de recueillir, sur le Net, vos coordonnées, en particulier bancaires, pour ensuite lentement mais sûrement et pendant longtemps, vous dépouiller de votre argent. Si un inconnu dans la rue vous demande vos nom et prénoms, votre adresse, le numéro de votre carte bancaire et sa date d'expiration et pourquoi pas votre code secret, vous n'allez pas les lui donner. Même si vous connaissez et avez confiance en votre interlocuteur, cela vous semble évident qu'il n'a pas le besoin de connaître ces informations qui vous sont personnelles et que jamais vous ne dévoilerez devant lui. Votre identité et les informations relatives à vos données bancaires sont donc préservées, bravo. Pourtant, face à votre écran / clavier et sur la toile, votre vigilance n est pas la même et face à une attaque en phishing, vous révélerez tout ce qu'on vous demande, sans avoir conscience du danger. Comment une telle situation est-elle possible? Tout commence, dans la version de base du phishing, par une accroche à l'aide d'un que vous recevez et qui fait, soit grimper votre stress à un degré élevé, soit enfler votre envie de gagner de l'argent facilement et sans risques, même et surtout si cet argent vous arrive de manière inespérée. Dans le premier cas, le provient de votre banque qui vous informe qu'une attaque vient d'affecter leur système d'information. Plusieurs comptes, dont le vôtre, ont été vidés par un malfaiteur. Bien sûr la banque en assume pleinement les conséquences puisqu'elle reconnait en être responsable. Elle vous demande, pour faire valoir vos droits, de vous connecter immédiatement à votre compte en ligne pour constater et évaluer les dégâts. Pour vous faciliter la tâche, le de votre banque vous indique l'hyperlien où cliquer pour y aller directement et sans perdre de temps. Dans l'angoisse, vous cliquez. Dans le deuxième cas, une administration vous informe qu elle a reçu de votre part un trop perçu et vous propose de vous rembourser par virement sur votre compte. Vous êtes alors invité à renseigner vos coordonnées bancaires là encore via un formulaire ad hoc que vous trouverez sur une page dédiée moyennant là encore de suivre un hyperlien qui vous est proposé dans le message. Dans la joie vous cliquez. 1

2 Exemple de message de l administration fiscale. Cet ne provient, pas réalité, de votre banque ou d'une quelconque administration. Il est pourtant ciblé, il s'adresse bien à vous car personnalisé à votre identité. Il vous donne toutes les assurances que c'est bien à vous, être unique parmi les hommes et les femmes qui peuplent notre planète, qu'il s'adresse. Ce n'est pas un de ces s anonymes, connus sous le terme de spam ou pollupostages en Québécois), adressés sur le Net à des milliards d'exemplaires et qui vous parle d'un problème informatique survenu à une banque qui n'est pas la vôtre, et dans une langue qui n'est pas le français. Ce n'est pas une administration qui vous propose, en anglais, une Green Card pour que vous puissiez enfin émigrer aux USA alors que vous n'avez rien demandé.. Non c'est bien de vous dont il s'agit, c'est votre banque, votre centre d'assurance maladie ou le centre des impôts auquel vous êtes rattaché qui vous écrit. Comment est-ce possible? Il s'agit là d'un phishing ciblé qui se nomme un "spear phishing". Le phishing de base, véhiculé par des ordinateurs contaminés devenus zombies et constituant un ou plusieurs botnets, s'adresse à tout le monde. Ce phishing de base, peu crédible, a de plus en plus de difficultés à aboutir car les internautes sont maintenant bien sensibilisés au risque et deviennent de plus en plus méfiants. Un phishing ciblé présente la caractéristique de jouer sur l inconscient du destinataire, en ne s'adressant qu'à lui et en créant un sentiment d angoisse ou en suscitant un désir de gain qui a pour objectif de lever tout doute sur sa légitimité. Cet provient pourtant d'un prédateur et les renseignements qu'il utilise pour cibler sa proie ont pu être inconsciemment fournis par cette dernière au travers de ses activités sur Internet et des nombreuses traces qu elle a pu laisser. Réseaux sociaux, sites marchands sont autant de sources d informations qui peuvent être exploitées par des tiers à des fins malveillantes. 2

3 Conseil numéro 1 : Méfiez-vous des réseaux sociaux, des rencontres que vous pouvez y faire et des informations personnelles que vous livrez. En effet, la capacité de vérifier l honnêteté de vos interlocuteurs est quasiment inexistante. L usurpation d identité est un risque bien réel et largement exploité par des acteurs malveillants de toute nature qui disposent d un "terrain de chasse inépuisable.. Sans pour autant fuir ces forums d échanges et de convivialité, il convient de rester toujours prudent et de préserver sa part d intimité, en particulier lorsqu il s agit d informations concernant votre environnement personnel et financier.. Conseil numéro 2 : Prévenez votre banque, ou l administration concernée quand vous recevez un e- mail douteux afin de vérifier sa légitimité. Gardez toujours à l esprit qu aucun organisme officiel ne vous invitera à renseigner des formulaires vous demandant vos données bancaires par l intermédiaire d un . Il n'est jamais urgent de devenir une victime. Lorsque vous cliquez sur l hyperlien qui figure dans le message que vous avez reçu, votre navigateur internet vous ouvre la page Web du site malveillant qui simule à la perfection le site officiel de l organisme. Tout y est : logo, police de caractères, mise en page, etc. Il faut en effet savoir que la création de faux sites officiels est facile à réaliser par le biais des "phishing toolkits" en vente pour quelques dizaines d'euros sur le marché souterrain où se fournissent les prédateurs. Ils permettent de créer, en quelques clics, un site Web qui simule un site usurpé. Conseil numéro 3 : Ne cliquez jamais sur un hyperlien trouvé dans un , quand des éléments financiers sont en jeu. Ce conseil, votre banquier vous l'aura peut-être déjà donné. Conseil numéro 4 : Essayez au moins de savoir où va vous conduire réellement un hyperlien figurant dans un , par la méthode suivante : Un hyperlien qui comporte un texte tel que ne conduit pas forcément vers le site Web " Laissez le curseur de votre souris s'attarder un moment sur l'hyperlien (sans cliquer). Une petite fenêtre apparaîtra près du pointeur indiquant l adresse de destination réelle. S il s agit d une adresse du genre " méfiez vous. En effet, la page Web pointe vers un serveur du domaine "cn.com" au lieu de.com. Les deux caractères «cn» difficilement décelables par une lecture rapide sont précisément positionnés pour ne pas être décelés et vous envoyer vers une page illégitime. Si vous n avez pas la possibilité de vérifier l authenticité du site par cette méthode, vous pouvez porter votre attention sur un autre critère, à savoir la présence d un certificat de sécurité. Nous n'aborderons pas ici les mécanismes techniques liés au chiffrement à clé publique qui apportent l'assurance de garantir la confidentialité et l'intégrité des échanges numériques que vous aurez avec un site Web sécurisé ainsi que son authenticité. A noter que tous les sites officiels bancaires, marchands ou administratifs intègrent ce type de mécanisme. Pour s assurer qu un site Web est sécurisé, son adresse Internet (URL) commence par et non par C'est là une preuve que les échanges sont chiffrés par le protocole ad hoc Secure Socket Layer, dit SSL. En complément, un cadenas fermé s affiche dans votre navigateur Internet, souvent positionné en bas à droite de la fenêtre. En double cliquant sur ce cadenas, une fenêtre s affiche vous permettant de visualiser les détails du certificat qui atteste que le site Web sur lequel vous êtes, est bien le site Web sur lequel vous souhaitiez vous rendre. 3

4 Un prédateur peut gérer un faux site Web sécurisé par SSL. En revanche, il n a pas la possibilité de falsifier le certificat d un site Web officiel. Une précaution indispensable consiste donc à vérifier le certificat et l autorité de confiance qui en a assuré l authenticité. L autorité de confiance est un organisme indépendant, connu, considéré comme tiers de confiance, qui atteste de la validité et de l authenticité d un certificat numérique. Un certain nombre de fournisseurs, comme Verisign et Thawte à l'étranger, Keynectis, Certinomis, CertEurope, Chambersign et Dhimyotis en France délivrent des certificats de confiance. Si vous ne faites pas confiance en l'autorité qui a délivré le certificat au site Web sécurisé, vous ne devez pas accorder votre confiance à ce site. Votre navigateur connaît un certain nombre d'autorités de confiance, dès son installation, sinon il vous demande, en principe, si vous acceptez une transaction faite avec un site Web sécurisé mais dont il ne connait pas le certificat. Mais vous n'êtes pas obligé de croire tout ce que croit votre navigateur. Conseil numéro 5 : Ouvrez le certificat du site Web sécurisé et vérifiez si vous faites confiance en l'autorité qui a cautionné le site Web qui l'a signé, avant de saisir des renseignements confidentiels. Conseil numéro 6 : Ne rentrez jamais de renseignements confidentiels sur un site Web non sécurisé, comme visiblement celui qui semble provenir des impôts sur la première illustration. Ajouté à cela il se peut que, en naviguant sur ce site Web, vous récoltiez un logiciel espion (un spyware) qui ira chercher sur votre disque dur tous les secrets que vous n'aurez pas révélés et qui va aussi peut-être écouter vos frappes clavier. Aujourd'hui en effet, la contamination d'un poste de travail se fait davantage lors d'une navigation Web qu'en ouvrant un exécutable attaché à un . 4

5 Devant le nombre, pour ne pas dire la généralisation, des attaques par phishing qui prennent pour base d'entrée la messagerie, les banques ont averti leurs clients des dangers qui pèsent sur leurs comptes et sur leurs données personnelles, et leur ont précisé que jamais elles ne demanderont par de cliquer sur un hyperlien. Elles conseillent avec sagesse de saisir directement sur la barre d'adresse du navigateur, l'adresse de la page Web où leur client désire aller. Ensuite, pour ne pas avoir à ressaisir l'adresse, elles conseillent d'ajouter cette adresse au marque page du navigateur. Avec ça vous pouvez penser être à l'abri du phishing. Pensez-vous? Les prédateurs ont trouvé mieux que l'utilisation de la messagerie suivie de l'utilisation du Web pour vous soutirer vos renseignements confidentiels. Nous allons présenter un piège tout simple et tout bête, le cybersquatting, puis une attaque très technique et imparable, le pharming. Le cybersquatting Il est si facile de se tromper en saisissant au clavier une adresse Web, surtout avec les petits claviers des smartphones! Alors il suffit au prédateur de créer un site web avec pour adresse et d'attendre qu'un client de la banque se trompe en tapant un "l" à la place d'un "m", ces deux caractères étant si proches sur un clavier AZERTY. Et vous rentrez sur son Web simulé, les renseignements que vous pensiez saisir sur Qu'il est doux pour le prédateur de laisser ce genre de piège trainer sur la toile et d'attendre. C'est la stratégie de l'araignée. Le pharming Le pharming consiste à attaquer, profitant en général d'une vulnérabilité logicielle qui les affecte, les tables de correspondance qui se trouvent dans les caches des serveurs de noms, (les DNS : Domain Name Servers). Pour comprendre à quel point cette attaque est redoutable, expliquons, de manière simplifiée, le mécanisme du nommage sur lequel l'internet repose. Les machines comprennent un adressage IP de 4 octets pour l'ipv4, par exemple Les êtres humains préfèrent utiliser un adressage basé sur les noms de domaines, plus faciles à mémoriser (par exemple Pour permettre à chacun, humains et machines, de communiquer suivant ses préférences, il existe des tables de correspondance qui, à une adresse IPv4, font correspondre un nom d'ordinateur suivi du nom du domaine auquel il appartient, par exemple Ici www représente par défaut le nom du site web. Si un utilisateur désire accéder au site web situé en , il va saisir, sur la barre d'adresse de son navigateur, l'adresse Une table de correspondance, quelque part sur la toile dans le cache d'un serveur DNS, va convertir l'adresse qui est unique, par l'adresse qui est également unique et qui situe exactement où est le site Web. Ainsi fonctionne l'internet. Si le serveur DNS auquel l'utilisateur se réfère, qui est en général situé dans son entreprise ou chez son fournisseur d'accès Internet, ne trouve pas cette correspondance dans ses tables, il va demander à un serveur DNS, de niveau hiérarchique supérieur, si lui connait l'adresse IP correspondant à l'adresse sous forme de nom de domaine, du serveur Web. Il peut ainsi y avoir escalade, à la limite 5

6 jusqu'aux serveurs DNS racines, puis désescalade pour renseigner la table de correspondance proche de l'utilisateur. L'adresse IP du site Web étant unique, les DNS se chargent donc de trouver à quelle adresse IP correspond le web et mettent à jour les tables de correspondance. Maintenant supposons que le prédateur, profitant d'une faille du DNS ou de l'absence de protection de la table de correspondance auquel l'utilisateur se réfère, ait pu écrire à la place de la ligne " : ", la ligne " : " ou ajouté simplement dans la table de correspondance, la ligne " : " si elle n'y était pas déjà et cela évite aux DNS de déclencher le mécanisme d'escalade. D'ailleurs quand vous surfez sur la toile, vous ramenez des pages Web sur votre poste de travail, et celles-ci passent forcément par votre routeur. Certaines pages Web contaminées en profitent, au passage, pour modifier les tables de correspondance de votre routeur. C'est donc vous qui facilitez, à votre insu, les attaques par pharming. L'utilisateur aura saisi et il ira sur qui est le faux site Web simulé du prédateur, plutôt que sur qui est le vrai site Web sur lequel il pensait aller. < Ensuite tout se passe comme avec le phishing de base. Nous avons, "grâce" au pharming, sauté la phase de la messagerie pour passer directement à celle du Web. Les utilisateurs moyens qui sont les pigeons rêvés par les prédateurs, parce que les plus nombreux sur le Net, ne connaissent pas le mécanisme des tables de correspondance et encore moins celui des DNS et quand bien même ils les connaitraient, ils ignorent où se trouvent ces serveurs. Et même s'ils le savaient, ils n'y auraient en général pas accès. Conseil numéro 7 : Installez les derniers correctifs des éditeurs concernant les serveurs DNS. Protégez vos tables de correspondance et mettez en œuvre un bon anti malware avec des bases de signatures à jour. Ceci bien sûr si vous y avez accès, et ce n'est pas toujours le cas. Sinon il faut faire confiance en la manière dont vos fournisseurs d'accès Internet gèrent la sécurité de leurs systèmes d'information. Le clickjacking Si le pharming qui repose sur l'accès à un serveur de nom ne suffit pas, voici une attaque encore plus imparable, le clickjacking qui évite, par ailleurs de devoir créer un faux site Web et permet d'arnaquer les utilisateurs directement à partir du vrai site Web qui a été contaminé à son insu. Cette attaque repose sur, non pas une vulnérabilité mais plutôt sur deux fonctionnalités du langage HTML avec lequel beaucoup de sites Web sont construits. La première fonctionnalité rend possible le multicouche, qui est la superposition de plusieurs pages Web sur une même page affichée par le navigateur. La deuxième fonctionnalité permet de rendre une page transparente. Donc sur le vrai site Web, vous, la victime, avez saisi vos paramètres confidentiels. Le prédateur, superpose un bouton poussoir transparent par dessus le bouton "envoyer", qui envoie les paramètres vers la messagerie du prédateur plutôt que vers le vrai site, ou mieux à la fois vers la messagerie du prédateur et vers le vrai site, comme cela la victime n'aura pas de soupçon. Il n'est même plus nécessaire d'envoyer un faux e- mail ou de simuler un faux site. Il faut juste ajouter une zone transparente au dessus du vrai site. 6

7 Oui, mais comment ajouter une ligne de code HTML malveillante dans les lignes de code du site Web? On peut, pour cela, attaquer de l'extérieur le site Web en défiguration (defacing). Une défiguration invisible et sournoise bien sûr. Il ne s'agit pas ici, comme dans les défigurations classiques utilisées par les cyberterroristes ou par les plaisantins, de remplacer une page par une page humoristique. Tout se passe dans la furtivité. Mais le plus simple est encore de corrompre le gestionnaire du Web. Bien entendu ces gestionnaires sont des gens honnêtes, comme vous, comme moi, mais, comme partout, on peut trouver l'individu qui pour quelques centaines, ou quelques milliers d'euros, acceptera d'introduire une ligne de code HTML sur le site Web dont il a la responsabilité, incognito, sans témoins et juste pour quelques jours. C'est de la haute trahison bien sûr mais l'être humain est parfois si faible devant un gain facile et puis une telle action est sans danger pour le gestionnaire du Web, puisque personne ne s'en apercevra Conseil numéro 8 : Auditez souvent vos sites Web ouverts aux clients et aux usagers, et n'employez que des employés incorruptibles en n'utilisant que des logiciels de serveurs Web sans failles, si vous en trouvez. Le in-session-phishing Encore plus technique et plus traître, et nous touchons là au summum du génie déployé par les cybercriminels. Telle la proie qui s'englue dans la toile de l'araignée, la victime va tomber dans le piège que lui tend le prédateur, en utilisant un onglet actif sur le navigateur. Le in-session-phishing utilise une fonctionnalité liée à la possibilité d'ouvrir des onglets dans certains navigateurs. A chaque onglet est attachée une session ouverte sur un serveur Web. C'est très pratique et personnellement j'en raffole et j'en abuse pour surfer sur plusieurs endroits simultanément, avec un minimum de temps perdu. On lit une page pendant que d'autres pages se chargent. Mais une page corrompue d'un site Web ouvert par un navigateur a le moyen de connaître quelles sont les autres sessions Web en activité, ouvertes dans les autres onglets du même navigateur. Supposons, et c'est le cas le plus difficile à traiter, que l'utilisateur consulte et que cet établissement bancaire prend un maximum de précautions pour authentifier l'utilisateur. Il fait beaucoup mieux que de lui demander de saisir au clavier son identifiant dans une fenêtre. Il lui propose un petit tableau avec, dans certaines cases, des numéros. Ce tableau est différent chaque fois que l'utilisateur entre dans le site Web de sa banque. Dans ce tableau, l'utilisateur s'authentifie en cliquant sur les cases qui correspondent aux chiffres de son code secret. Excellent comme moyen de s'authentifier en toute sécurité en évitant que son code secret puisse passer en clair sur le réseau. Car à moins d'observer derrière l'épaule de l'utilisateur les cases du tableau où il clique, il est impossible de capturer le code secret de l'utilisateur. Donc l'utilisateur est tout à fait tranquille. Pensezvous? Le in-session-phishing apporte au prédateur une réponse élégante à l'authentification par tableau de chiffres. Pire, il l'utilise pour piéger la victime. 7

8 La victime qui a ouvert une session sur sa banque, s'est authentifiée en cliquant sur les cases du tableau qui correspondent à son code secret. Elle profite alors du mécanisme des onglets pour établir une ou plusieurs autres sessions en parallèle sur d'autres sites. Le site sur lequel la victime se trouve actuellement, alors que la session vers sa banque est restée ouverte sur un autre onglet, peut être piégé et peut connaître quels sont les sites ouverts dans les autres onglets. Il sait donc que l'utilisateur consulte sa banque et quelle est cette banque. Donc il sait quel moyen d authentification est proposé aux clients de cette banque. L'utilisateur toujours sur le site piégé va voir brusquement apparaître, au dessus de la page qu'il consulte, et qui n'est pas celui de sa banque, une petite fenêtre qui est le tableau de chiffres sur lequel il a cliqué pour s'authentifier auprès de sa banque, accompagné d'un message du genre : "Attention, si vous ne voulez pas perdre toutes les transactions que vous avez entrées sur ma-banque.com, veuillez s'il vous plait ressaisir immédiatement votre code secret". Mais c'est le site piégé, sur lequel il est, et non le site de la banque, ouvert dans un autre onglet, qui a envoyé cette petite fenêtre. Comme bien évidemment, le site piégé connait la topologie du tableau parce que c'est lui qui en est l'auteur, suivant les coordonnées des points de l'écran où l'utilisateur va cliquer, le site piégé en déduira le code secret de la victime. Et derrière le site piégé se cache le prédateur. Mais pourquoi l'utilisateur irait-il surfer sur un site piégé? Une bonne réponse est que vous ne pouvez imaginer aujourd'hui le nombre de sites Web qui paraissent honnêtes et qui pourtant sont piégés, la plupart du temps à l'insu de leur propriétaire. Et ce nombre de sites ne va pas aller en diminuant. Je précise quand même que le site piégé, sur l'illustration au dessus, est un montage pour l'exemple, il ne correspond pas à la réalité. Conseil numéro 9 : Quand vous avez ouvert une session Web sur votre banque, restez y jusqu'à ce que vous mettiez un terme à cette session. N'allez surtout pas surfer en parallèle sur un autre site avec, sur un autre onglet, la session de votre banque restée ouverte. Cette difficile traçabilité vers les sites des prédateurs Il semble qu'il devrait être assez simple de remonter aux sites Web des prédateurs puisque c'est vers eux que les victimes ouvrent par leur navigateur, des sessions au cours desquelles elles livrent des renseignements confidentiels sur leurs comptes. Les adresses IP des sites des prédateurs devraient donc être connues et les traces que les victimes laissent sur la toile devraient logiquement permettre aux fins limiers de les découvrir et de remonter jusqu'à leur propriétaire? Vous vous doutez bien que si les choses étaient si simples, le phishing n'aurait pas d'avenir. Les meilleurs prédateurs ont une astuce. Ils vont utiliser des botnets, ces réseaux de machines devenues 8

9 zombies suite à une infection par un bot. Elles fonctionnent parfaitement, mais ont en tâche de fond, un programme malveillant aux ordres du maître du botnet et exécutent ses commandes. Les prédateurs vont également, avec la complicité d'un fournisseur d'accès complice, gérer leur nom de domaine. Le DNS de ce fournisseur d'accès va retourner, comme adresse du site Web où aller, l'adresse d'un des postes de travail contaminés du botnet. Dix minutes après, il retournera l'adresse IP d'un autre postes de travail contaminé du botnet et ainsi de suite. C'est ce qu'on appelle un adressage flottant. Le poste de travail du botnet dont le serveur DNS a donné l'adresse IP va se comporter comme un relais vers le site Web de l'arnaqueur. Ainsi les victimes s'adressent non pas directement au site Web de l'arnaqueur mais à des PC zombies d'un botnet, et ce sont ces PC zombies qui vont accéder au site Web du prédateur. Ces PC, qui agissent sous le contrôle du maître du botnet, et à l'insu de leur propriétaire sont ainsi des relais qui assurent les transactions entre les victimes et le site Web qui les arnaque. Chaque victime s'adressera à une adresse Web différente, et chaque transaction vers le Web de l'arnaqueur viendra d'une adresse différente. Ce dispositif rend difficile la trace des limiers qui essaient de coincer les cybercriminels. Cette si difficile traçabilité vers les cybercriminels Maintenant que le prédateur a récolté une masse considérable de données confidentielles, que va-t-il en faire? Et ne peut-on remonter jusqu'à lui? A chacun son "métier". Sur le marché florissant de la cybercriminalité, celui qui récolte les données n'est pas, en général, celui qui les exploite. Celui qui récolte les informations confidentielles va les vendre à celui qui va les exploiter. La cybercriminalité est une industrie structurée qui brasse, d'après McAfee, environ 1000 milliards de dollars par an. Tout a son prix, affiché sur le marché souterrain des prédateurs. D'après G-Data, les données d'un compte bancaire se négocieraient entre 2 euros et 300 euros par compte, actuellement. L'acheteur est maintenant détenteur de milliers, voire de dizaines de milliers de coordonnées bancaires. Va-t-il les utiliser pour directement créditer son compte en débitant celui de ses victimes? Même pas en rêve! Même depuis un pays où la législation est, disons, assez tolérante ou inexistante sur ce genre de pratiques répréhensibles, un prédateur qui se respecte ne commet jamais la faute élémentaire de se mettre en lumière, ou alors il croupira bien vite en prison, si l'extradition est possible, et ce n'est pas le genre de prédateurs qui nous intéresse ici. Pour comprendre le modèle économique complet du phishing, et de ses dérivés, il convient d'introduire un nouveau personnage, la "mule", plus professionnellement appelée, dans le milieu de la cybercriminalité à col blanc, le "transfert manager" ou encore l'"agent de transfert de fonds". La mule est recrutée parmi ceux qui ont besoin d'argent, et qui n'en a pas besoin? Il est proposé à des mules potentielles, dans des forums sur le Net, et même parfois dans des salons de recrutement, un travail facile et bien rémunéré, sur le long terme, sans connaissances techniques particulières, très peu consommateur en temps et même parfois sous contrat. Il est seulement demandé à la mule d'être honnête (!), rigoureuse dans son travail, d'avoir un compte bancaire et un GSM (ou un compte ). Pour prendre une image, mais on peut en peindre beaucoup d'autres, l'entreprise qui propose un travail à la mule est un constructeur de tracteurs en Ukraine qui a pignon sur rue à Kiev et qui vend sa production dans le monde entier. Mais face à la concurrence féroce sur le marché des tracteurs, cette société a une astuce qui lui donne un avantage décisif sur ses concurrents. Elle propose à ses clients des facilités de paiement. Vous connaissez les problèmes de trésorerie que rencontrent les travailleurs de la terre? ils ont de gros besoins en équipements mais peu de ressources pour les payer. Aussitôt le tracteur commandé, il est livré et les clients payent à tempérament, par très petites sommes, mais sur une longue période. Le problème est de justifier le passage de ces petites sommes, honnêtement dues, qui transitent sur le Net, depuis les clients jusqu'à l'entreprise qui commercialise les tracteurs. Pour simplifier et justifier ces transferts, on demande au transfert manager de prêter, en partie, l'utilisation de son compte 9

10 bancaire. Alors de beaucoup d'endroits dans le monde, des petites sommes, tirées des comptes des victimes par le prédateur ou ses subordonnés, vont converger vers son compte. Chaque semaine, le vendeur de tracteurs, ou ses délégués, communique par GSM, ou par , l'état des sommes qui auront transité sur le compte bancaire de la mule, pardon du "transfert manager". Celui-ci doit alors se rendre au guichet de sa banque, retirer en argent liquide la totalité des sommes de cette provenance, qui lui a été communiquée. Il garde bien sûr pour lui une commission de 8 à 10% de la somme totale, parfois plus suivant les termes du contrat. Il doit envoyer la somme qu il a tirée par mandat carte international ou par Western Union au fabricant de tracteurs ou à ses intermédiaires. Ce transfert ne laisse aucune trace, le prédateur est tranquille. Une fois la pompe amorcée, des milliers de mules alimentent les petits canaux qui deviennent de grandes rivières et l'argent, provenant de dizaines de milliers de comptes de victimes qui chacune se verra dépouillée d'une somme si minime qu'elle passera inaperçue. L argent coule à flot vers le prédateur. A l'arrivée cela constitue bien sûr de très grosses sommes pour le "vendeur de tracteurs" qui n'a jamais vendu un tracteur mais qui n'en est pas moins un habile homme d'affaire. Souvent les transferts ne se font pas directement mais à travers une hiérarchie de prédateurs assimilable à une véritable mafia du numérique. Les petites sommes sont prélevées à l'insu de leurs propriétaires qui n'ont jamais eu besoin d'un tracteur mais qui se sont laissés berner en dévoilant leurs paramètres bancaires dans les attaques en phishing. Ce modèle économique présente t'il un point faible? Les victimes ne s'aperçoivent pas que quelques dizaines d'euros par semaine, ou par mois, manquent à leur compte. Le prédateur a parfaitement le droit de recevoir des sommes par Western Union ou par mandat carte international. Le point faible est la mule, car très vite son banquier va s'apercevoir que son client tire, chaque semaine, en argent liquide, des sommes qui proviennent de multiples comptes et dont il peut difficilement justifier la provenance. Le client a sans aucun doute le droit de tirer, en argent liquide, les sommes qu'il veut, si elles approvisionnent son compte mais il ne gère pas ce compte "en bon père de famille" comme il le devrait. Bien vite il va, non pas aller en prison, il n'a finalement commis aucun délit, mais il sera frappé d'interdit bancaire. Qu'importe pour le prédateur, une mule de perdue, cent nouvelles mules de recrutées. Pour le prédateur qui exploite ses mules pour faire transiter sur leurs comptes, puis sur le sien, l'argent des victimes dont il possède les coordonnées bancaires, aucun problème particulier, ni philosophique ni surtout matériel n'est posé. Conseil numéro 10 : N'autorisez pas un transfert de petites ou de grands sommes de votre compte bancaire vers d'autres comptes, à moins d'en accepter au préalable chaque transfert par écrit. 10