QUI SONT LES ES­CROCS DU DARKNET FRAN­ÇAIS ?

Pour la pre­mière fois, une étude, réa­li­sée par la so­cié­té de cy­ber­sé­cu­ri­té Trend Mi­cro, s’est pen­chée sur l’or­ga­ni­sa­tion de la sphère cy­ber­cri­mi­nelle fran­çaise. D’après ses es­ti­ma­tions, 40 000 es­crocs réa­lisent un chiffre d’af­faires com­pris entre 5 et 10

La Tribune Hebdomadaire - - LA UNE - DOS­SIER RÉA­LI­SÉ PAR SYL­VAIN ROL­LAND @SylvRol­land

Àquoi res­semble l'éco­no­mie sou­ter­raine de la cy­ber­cri­mi­na­li­té fran­çaise ? Com­bien de ha­ckers mal­veillants y pros­pèrent? Com­ment s'or­ga­ni­sen­tils, que vendent-ils et com­bien gagnent-ils? Pour la pre­mière fois en France, une étude, réa­li­sée par l'en­tre­prise de cy­ber­sé­cu­ri­té Trend Mi­cro et pu­bliée ce mer­cre­di, donne des ré­ponses. Pen­dant un an, ses équipes de R&D ont scru­té les mar­chés sou­ter­rains na­tio­naux et com­pris ses spé­ci­fi­ci­tés. Le pa­no­ra­ma dres­sé, plu­tôt in­quié­tant, ré­vèle les se­crets du Web sou­ter­rain (un­der­ground) fran­çais. Un éco­sys­tème cri­mi­nel qui pros­père dans le darknet (l'In­ter­net ca­ché), mais qui ap­pa­raît très bien or­ga­ni­sé, en pleine pro­fes­sion­na­li­sa­tion et... en pleine crois­sance. Se­lon les es­ti­ma­tions de l'au­teur de l'étude, qui sou­haite res­ter ano­nyme, le cy­ber­crime fran­çais se com­pose de 40000 in­di­vi­dus. Un chiffre « re­la­ti­ve­ment faible » par rap­port aux mar­chés plus im­por­tants comme la Rus­sie ou les États-Unis, mais com­pa­rable à ce­lui de l'Al­le­magne. Ce chiffre a été ob­te­nu en com­pi­lant et en pon­dé­rant le nombre de membres de la cen­taine de mar­ket­places du darknet, c'est-à-dire les fo­rums de dis­cus­sions qui sont in­dis­pen­sables aux ha­ckers pour or­ga­ni­ser leurs fraudes. Quel est le pro­fil de ces cy­ber­cri­mi­nels? Bien évi­dem­ment, tout le monde uti­lise un ou plu­sieurs pseu­dos, des plus lou­foques aux plus ly­riques. Mais les connais­seurs de ce mi­lieu es­timent qu'il s'agit sur­tout d'hommes jeunes, entre 20 et 30 ans. Au re­gard de leurs com­pé­tences tech­niques, cer­tains sont « cer­tai­ne­ment des dé­ve­lop­peurs pro­fes­sion­nels ». On as­siste aus­si au re­tour en force des an­ciens spam­mers ni­gé­rians, les es­crocs qui en­voyaient des cour­riels pour de­man­der de l'aide dans les an­nées 1990 et 2000, et qui se re­con­ver­tissent dé­sor­mais dans les vi­rus in­for­ma­tiques. Re­la­tif sou­la­ge­ment : la plu­part des 40000 cy­ber­cri­mi­nels fran­çais ne vivent pas ex­clu­si­ve­ment de cette ac­ti­vi­té. Seule une pe­tite cen­taine d'entre eux se­rait « de vrais pros ». Les autres sont plu­tôt à la re­cherche d'un com­plé­ment de re­ve­nus. Mais ce­la n'em­pêche pas cet éco­sys­tème de pros­pé­rer. D'après les don­nées de la Gen­dar­me­rie na­tio­nale et de la Po­lice na­tio­nale, la cy­ber­cri­mi­na­li­té fran­çaise gé­né­re­rait entre 5 et 10 mil­lions d'eu­ros de chiffre d'af­faires tous les mois.

ARMES, DROGUES ET DON­NÉES BAN­CAIRES

Les places de mar­ché, qui at­tirent au moins plu­sieurs mil­liers, voire une di­zaine de mil­liers d'uti­li­sa­teurs cha­cune (la plu­part du temps, les ha­ckers sont membres de plu­sieurs fo­rums) sont très bien struc­tu­rées, avec des sous-sec­tions clai­re­ment iden­ti­fiées en fonc­tion des be­soins : armes, lo­gi­ciels mal­veillants, drogues... Com­ment s'or­ga­nise ce com­merce? « Gé­né­ra­le­ment, il existe trois ca­naux de vente de biens et de ser­vices illé­gaux au sein de l'un­der­ground fran­çais », dé­crypte l'étude. Cer­tains frau­deurs font la pro­mo­tion de leurs pro­duits di­rec­te­ment sur les places de mar­ché. D'autres, plus pa­ra­noïaques, guettent les mes­sages et contactent eux-mêmes leurs clients. En­fin, il existe aus­si des au­to­shops, c'est-à-dire de vé­ri­tables bou­tiques gé­rées par les ven­deurs eux-mêmes, dont beau­coup sont ac­ces­sibles de­puis les fo­rums. C'est même la grande spé­cia­li­té fran­çaise. Les ven­deurs pro­posent un ca­ta­logue im­pres­sion­nant de pro­duits illé­gaux, à des prix très com­pé­ti­tifs. On y trouve des armes dis­crètes (poings amé­ri­cains, cou­teaux de pe­tits for­mats, sty­los-pis­to­lets de ca­libre .22 Long Rifle), ven­dues entre 10 et 150 eu­ros. Mais aus­si des armes lourdes, ven­dues entre 650 et 1800 eu­ros, ain­si que des kits d'im­pres­sion d'armes en 3D, que l'on peut ac­qué­rir pour une poi­gnée d'eu­ros. Au rayon des stu­pé­fiants, le can­na­bis se vend entre 6 et 15 eu­ros le gramme, mais on trouve aus­si de la co­caïne, de l'hé­roïne, de la MDMA, du LSD et autres cham­pi­gnons. « Les dea­lers ne vendent qu'en France pour ne pas se faire dé­tec­ter lors des tran­sac­tions trans­fron­ta­lières », note l'étude. Les au­to­shops pro­posent éga­le­ment des fi­chiers com­por­tant des bases de don­nées per­son­nelles (comme des nu­mé­ros de carte ban­caire) pour en­vi­ron 400 eu­ros. Le darknet est aus­si l'el­do­ra­do des ama­teurs de fraudes ad­mi­nis­tra­tives. Des pres­ta­tions propres à la France. Les passe-par­tout pour boîtes aux lettres, comme ceux uti­li­sés par les em­ployés de La Poste, sont très po­pu­laires et dis­po­nibles à des ta­rifs abor­dables (une quin­zaine d'eu­ros). Les cy­ber­cri­mi­nels s'en servent pour ré­cu­pé­rer des co­lis et des cour­riers of­fi­ciels, afin de réa­li­ser en­suite des opé­ra­tions de dé­tour­ne­ment d'iden­ti­té. Les do­cu­ments contre­faits, comme des fausses fac­tures d'en­seignes de la grande dis­tri­bu­tion (Ama­zon, Dar­ty, Pix­ma­nia...), de fausses cartes grises (pour re­vendre des voi­tures vo­lées), ou de faux chèques (pour ré­gler des achats en ma­ga­sin), sont éga­le­ment très po­pu­laires. De leur cô­té, les pi­rates qui mettent sur pied des at­taques in­for­ma­tiques avec des mal­wares (lo­gi­ciels mal­veillants) pré­fèrent les mar­chés an­glo­phones. Les ran­som­wares (lo­gi­ciels de ran­çon), qui sont en train de de­ve­nir la plus grande des me­naces de sé­cu­ri­té, se vendent sur­tout dans les mar­chés étran­gers en rai­son du manque de dé­ve­lop­peurs fran­çais (il n'y en au­rait que quatre). En re­vanche, le mar­ché fran­çais re­gorge de kits d'ha­me­çon­nage (pour vo­ler des don­nées per­son­nelles dans les or­di­na­teurs) ou de ser­vices de bot­nets, gé­né­ra­le­ment uti­li­sés pour des at­taques de type dé­ni de ser­vice, comme celle qu'a su­bi La Tri­bune en juin der­nier.

MI­LIEU PA­RA­NOÏAQUE

Gé­né­ra­le­ment, les tran­sac­tions dans le darknet sont ré­glées en bit­coins ou via des cartes ban­caires pré­payées (PCS), qui s'achètent dans tous les bu­reaux de ta­bac. Les rai­sons sont fa­ci­le­ment com­pré­hen­sibles. Non ré­gle­men­tée, la mon­naie vir­tuelle bit­coin ne né­ces­site au­cune iden­ti­fi­ca­tion et s'échange fa­ci­le­ment. Quant aux cartes pré­payées, il suf­fit d'un nu­mé­ro de té­lé­phone va­lide pour les uti­li­ser, ce qui per­met en­suite de per­ce­voir le paie­ment des pro­duits et ser-

vices com­mer­cia­li­sés. Ce­pen­dant, si les paie­ments tra­di­tion­nels sont ban­nis, c'est aus­si pour des rai­sons de confiance et d'ano­ny­mat. « Le cy­ber­cri­mi­nel fran­çais, comme ses ho­mo­logues d'ailleurs, est ob­nu­bi­lé par une idée : évi­ter de se faire coin­cer par les forces de l'ordre. Mais il est pro­ba­ble­ment plus pru­dent. Ici, les loups se dé­vorent entre eux », dé­crit l'étude. De fait, la pa­ra­noïa et la dé­la­tion règnent en maître dans les fo­rums du darknet, à des ni­veaux plus im­por­tants que ceux consta­tés dans d'autres pays. Par exemple, chaque fo­rum ou presque en­cou­rage ses membres à dé­non­cer tout acte mal­hon­nête ou frau­du­leux d'un membre vis-à-vis d'un autre, et pu­blie leurs pseu­dos sur des « murs de la honte ». Cette pa­ra­noïa s'ex­plique par les « guerres » in­ces­santes entre les dif­fé­rentes places de mar­ché. Pour at­ti­rer de nou­veaux membres et ré­cu­pé­rer l'ar­gent mal ac­quis des concur­rents, les cy­ber­cri­mi­nels les plus en­dur­cis sont à l'af­fût de la moindre faille de sé­cu­ri­té qui per­met­trait de pi­ra­ter un compte en­ne­mi. Par ri­co­chet, le chif­fre­ment lourd, de type PGP, se gé­né­ra­lise ces der­nières an­nées pour rendre les com­mu­ni­ca­tions illi­sibles. Ce­la per­met à la fois de se pro­té­ger des piratages (si le chif­fre­ment est cor­rec­te­ment ins­tal­lé) et des forces de l'ordre. Par consé­quent, les places de mar­ché naissent et dis­pa­raissent ré­gu­liè­re­ment dans le pe­tit monde du cy­ber­crime. Même les plus im­por­tantes peuvent s'éva­po­rer du jour au len­de­main. Ré­cem­ment, les uti­li­sa­teurs du fo­rum French DarkNet en ont fait l'ex­pé­rience. Se­lon des connais­seurs, les ad­mi­nis­tra­teurs de cette place de mar­ché au­raient pré­tex­té un pi­ra­tage et se­raient par­tis avec 180000 eu­ros, le fruit des ar­naques de leurs membres... avant de re­sur­gir quelques mois plus tard avec un nou­veau fo­rum. Pour­tant, un mi­ni­mum de col­la­bo­ra­tion est in­dis­pen­sable pour mon­ter les ar­naques. Pour ga­ran­tir cette confiance, les places de mar­ché or­ga­nisent des mé­ca­nismes de vé­ri- fi­ca­tion et de ré­pu­ta­tion, pour dis­tin­guer les au­then­tiques cy­ber­cri­mi­nels des agents in­fil­trés par les forces de l'ordre.

SCORE DE RÉ­PU­TA­TION, HIÉ­RAR­CHIE DES CY­BER­CRI­MI­NELS

Ain­si, les ad­mi­nis­tra­teurs ne per­mettent à un de­man­deur de de­ve­nir un membre ac­tif de la com­mu­nau­té qu'après ob­ten­tion d'un cer­tain score de ré­pu­ta­tion. Ce­lui-ci se cal­cule en fonc­tion des tran­sac­tions frau­du­leuses réus­sies sur la place de mar­ché, et de la per­ti­nence des mes­sages pos­tés. Cer­tains fo­rums classent même leurs uti­li­sa­teurs en fonc­tion de leur ex­pé­rience. « Les no­vices sont trai­tés dif­fé­rem­ment des cy­ber­cri­mi­nels plus ex­pé­ri­men­tés, qui dis­posent d'un sta­tut pre­mium bap­ti­sé Élite, Ad­mi­nis­tra­teur ou Membre de confiance », ex­plique l'étude. Un sys­tème de « tiers de confiance », bien que non gé­né­ra­li­sé, a aus­si été mis en place entre le ven­deur et l'ache­teur. Cet es­crow (terme an­glais uti­li­sé aus­si dans le mar­ché fran­çais) vé­ri­fie que le client re­çoit son pro­duit et que le ven­deur touche son ar­gent. Cet in­ter­mé­diaire prend une com­mis­sion, de 7% pour les tran­sac­tions in­fé­rieures à 500 eu­ros, et de 5% quand le mon­tant est su­pé­rieur. Alors que l'un­der­ground fran­çais n'est pas com­pa­rable à ses ho­mo­logues étran­gers en termes de taille et de puis­sance, son offre spé­ci­fique en fait néan­moins une « niche très par­ti­cu­lière de l'éco­no­mie cy­ber­cri­mi­nelle », pré­cise l'étude. « Après tout, il n'existe au­cun autre mar­ché of­frant des ou­tils et des ser­vices ré­pon­dant par­fai­te­ment aux spé­ci­fi­ci­tés fran­çaises », ajoute Loïc Gué­zo, stra­té­giste en cy­ber­sé­cu­ri­té chez Trend Mi­cro. Qui confie : « Le mar­ché fran­çais sem­blait pro­met­teur et n'a pas man­qué de nous sur­prendre, car sa crois­sance et son dé­ve­lop­pe­ment sont in­quié­tants, tout comme sa pro­fes­sion­na­li­sa­tion. » On trouve même des kits de for­ma­tion pour ap­prendre à de­ve­nir un meilleur cy­ber­cri­mi­nel...

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.