QUI SONT LES ESCROCS DU DARKNET FRANÇAIS ?
Pour la première fois, une étude, réalisée par la société de cybersécurité Trend Micro, s’est penchée sur l’organisation de la sphère cybercriminelle française. D’après ses estimations, 40 000 escrocs réalisent un chiffre d’affaires compris entre 5 et 10
Àquoi ressemble l'économie souterraine de la cybercriminalité française ? Combien de hackers malveillants y prospèrent? Comment s'organisentils, que vendent-ils et combien gagnent-ils? Pour la première fois en France, une étude, réalisée par l'entreprise de cybersécurité Trend Micro et publiée ce mercredi, donne des réponses. Pendant un an, ses équipes de R&D ont scruté les marchés souterrains nationaux et compris ses spécificités. Le panorama dressé, plutôt inquiétant, révèle les secrets du Web souterrain (underground) français. Un écosystème criminel qui prospère dans le darknet (l'Internet caché), mais qui apparaît très bien organisé, en pleine professionnalisation et... en pleine croissance. Selon les estimations de l'auteur de l'étude, qui souhaite rester anonyme, le cybercrime français se compose de 40000 individus. Un chiffre « relativement faible » par rapport aux marchés plus importants comme la Russie ou les États-Unis, mais comparable à celui de l'Allemagne. Ce chiffre a été obtenu en compilant et en pondérant le nombre de membres de la centaine de marketplaces du darknet, c'est-à-dire les forums de discussions qui sont indispensables aux hackers pour organiser leurs fraudes. Quel est le profil de ces cybercriminels? Bien évidemment, tout le monde utilise un ou plusieurs pseudos, des plus loufoques aux plus lyriques. Mais les connaisseurs de ce milieu estiment qu'il s'agit surtout d'hommes jeunes, entre 20 et 30 ans. Au regard de leurs compétences techniques, certains sont « certainement des développeurs professionnels ». On assiste aussi au retour en force des anciens spammers nigérians, les escrocs qui envoyaient des courriels pour demander de l'aide dans les années 1990 et 2000, et qui se reconvertissent désormais dans les virus informatiques. Relatif soulagement : la plupart des 40000 cybercriminels français ne vivent pas exclusivement de cette activité. Seule une petite centaine d'entre eux serait « de vrais pros ». Les autres sont plutôt à la recherche d'un complément de revenus. Mais cela n'empêche pas cet écosystème de prospérer. D'après les données de la Gendarmerie nationale et de la Police nationale, la cybercriminalité française générerait entre 5 et 10 millions d'euros de chiffre d'affaires tous les mois.
ARMES, DROGUES ET DONNÉES BANCAIRES
Les places de marché, qui attirent au moins plusieurs milliers, voire une dizaine de milliers d'utilisateurs chacune (la plupart du temps, les hackers sont membres de plusieurs forums) sont très bien structurées, avec des sous-sections clairement identifiées en fonction des besoins : armes, logiciels malveillants, drogues... Comment s'organise ce commerce? « Généralement, il existe trois canaux de vente de biens et de services illégaux au sein de l'underground français », décrypte l'étude. Certains fraudeurs font la promotion de leurs produits directement sur les places de marché. D'autres, plus paranoïaques, guettent les messages et contactent eux-mêmes leurs clients. Enfin, il existe aussi des autoshops, c'est-à-dire de véritables boutiques gérées par les vendeurs eux-mêmes, dont beaucoup sont accessibles depuis les forums. C'est même la grande spécialité française. Les vendeurs proposent un catalogue impressionnant de produits illégaux, à des prix très compétitifs. On y trouve des armes discrètes (poings américains, couteaux de petits formats, stylos-pistolets de calibre .22 Long Rifle), vendues entre 10 et 150 euros. Mais aussi des armes lourdes, vendues entre 650 et 1800 euros, ainsi que des kits d'impression d'armes en 3D, que l'on peut acquérir pour une poignée d'euros. Au rayon des stupéfiants, le cannabis se vend entre 6 et 15 euros le gramme, mais on trouve aussi de la cocaïne, de l'héroïne, de la MDMA, du LSD et autres champignons. « Les dealers ne vendent qu'en France pour ne pas se faire détecter lors des transactions transfrontalières », note l'étude. Les autoshops proposent également des fichiers comportant des bases de données personnelles (comme des numéros de carte bancaire) pour environ 400 euros. Le darknet est aussi l'eldorado des amateurs de fraudes administratives. Des prestations propres à la France. Les passe-partout pour boîtes aux lettres, comme ceux utilisés par les employés de La Poste, sont très populaires et disponibles à des tarifs abordables (une quinzaine d'euros). Les cybercriminels s'en servent pour récupérer des colis et des courriers officiels, afin de réaliser ensuite des opérations de détournement d'identité. Les documents contrefaits, comme des fausses factures d'enseignes de la grande distribution (Amazon, Darty, Pixmania...), de fausses cartes grises (pour revendre des voitures volées), ou de faux chèques (pour régler des achats en magasin), sont également très populaires. De leur côté, les pirates qui mettent sur pied des attaques informatiques avec des malwares (logiciels malveillants) préfèrent les marchés anglophones. Les ransomwares (logiciels de rançon), qui sont en train de devenir la plus grande des menaces de sécurité, se vendent surtout dans les marchés étrangers en raison du manque de développeurs français (il n'y en aurait que quatre). En revanche, le marché français regorge de kits d'hameçonnage (pour voler des données personnelles dans les ordinateurs) ou de services de botnets, généralement utilisés pour des attaques de type déni de service, comme celle qu'a subi La Tribune en juin dernier.
MILIEU PARANOÏAQUE
Généralement, les transactions dans le darknet sont réglées en bitcoins ou via des cartes bancaires prépayées (PCS), qui s'achètent dans tous les bureaux de tabac. Les raisons sont facilement compréhensibles. Non réglementée, la monnaie virtuelle bitcoin ne nécessite aucune identification et s'échange facilement. Quant aux cartes prépayées, il suffit d'un numéro de téléphone valide pour les utiliser, ce qui permet ensuite de percevoir le paiement des produits et ser-
vices commercialisés. Cependant, si les paiements traditionnels sont bannis, c'est aussi pour des raisons de confiance et d'anonymat. « Le cybercriminel français, comme ses homologues d'ailleurs, est obnubilé par une idée : éviter de se faire coincer par les forces de l'ordre. Mais il est probablement plus prudent. Ici, les loups se dévorent entre eux », décrit l'étude. De fait, la paranoïa et la délation règnent en maître dans les forums du darknet, à des niveaux plus importants que ceux constatés dans d'autres pays. Par exemple, chaque forum ou presque encourage ses membres à dénoncer tout acte malhonnête ou frauduleux d'un membre vis-à-vis d'un autre, et publie leurs pseudos sur des « murs de la honte ». Cette paranoïa s'explique par les « guerres » incessantes entre les différentes places de marché. Pour attirer de nouveaux membres et récupérer l'argent mal acquis des concurrents, les cybercriminels les plus endurcis sont à l'affût de la moindre faille de sécurité qui permettrait de pirater un compte ennemi. Par ricochet, le chiffrement lourd, de type PGP, se généralise ces dernières années pour rendre les communications illisibles. Cela permet à la fois de se protéger des piratages (si le chiffrement est correctement installé) et des forces de l'ordre. Par conséquent, les places de marché naissent et disparaissent régulièrement dans le petit monde du cybercrime. Même les plus importantes peuvent s'évaporer du jour au lendemain. Récemment, les utilisateurs du forum French DarkNet en ont fait l'expérience. Selon des connaisseurs, les administrateurs de cette place de marché auraient prétexté un piratage et seraient partis avec 180000 euros, le fruit des arnaques de leurs membres... avant de resurgir quelques mois plus tard avec un nouveau forum. Pourtant, un minimum de collaboration est indispensable pour monter les arnaques. Pour garantir cette confiance, les places de marché organisent des mécanismes de véri- fication et de réputation, pour distinguer les authentiques cybercriminels des agents infiltrés par les forces de l'ordre.
SCORE DE RÉPUTATION, HIÉRARCHIE DES CYBERCRIMINELS
Ainsi, les administrateurs ne permettent à un demandeur de devenir un membre actif de la communauté qu'après obtention d'un certain score de réputation. Celui-ci se calcule en fonction des transactions frauduleuses réussies sur la place de marché, et de la pertinence des messages postés. Certains forums classent même leurs utilisateurs en fonction de leur expérience. « Les novices sont traités différemment des cybercriminels plus expérimentés, qui disposent d'un statut premium baptisé Élite, Administrateur ou Membre de confiance », explique l'étude. Un système de « tiers de confiance », bien que non généralisé, a aussi été mis en place entre le vendeur et l'acheteur. Cet escrow (terme anglais utilisé aussi dans le marché français) vérifie que le client reçoit son produit et que le vendeur touche son argent. Cet intermédiaire prend une commission, de 7% pour les transactions inférieures à 500 euros, et de 5% quand le montant est supérieur. Alors que l'underground français n'est pas comparable à ses homologues étrangers en termes de taille et de puissance, son offre spécifique en fait néanmoins une « niche très particulière de l'économie cybercriminelle », précise l'étude. « Après tout, il n'existe aucun autre marché offrant des outils et des services répondant parfaitement aux spécificités françaises », ajoute Loïc Guézo, stratégiste en cybersécurité chez Trend Micro. Qui confie : « Le marché français semblait prometteur et n'a pas manqué de nous surprendre, car sa croissance et son développement sont inquiétants, tout comme sa professionnalisation. » On trouve même des kits de formation pour apprendre à devenir un meilleur cybercriminel...