ceis les marches noirs de la cybercriminalite juin2011

5/17/2018 Ceis Les Marches Noirs de La Cybercriminalite Juin2011 - slidepdf.com

http://slidepdf.com/reader/full/ceis-les-marches-noirs-de-la-cybercriminalite-juin2011 1/73

LES MARCHES NOIRS DE LA CYBERCRIMINALITEEtude rédigée sous la direction de Guillaume Tissier par Marie Garbez,

Barbara Louis-Sidney, Félix Aimé, Louis Vatier et Nicolas Caproni de l’équipe Secu-Insight de CEIS.

Préface du Général d’armée Watin-Augouard

Technologies de l’informationJuin 2011Juin 2011Juin 2011Juin 2011

Collection Notes ∑ tratégiques



LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 1 sur 73

SOMMAIRE Sommaire ................................................................................................................................................................ 1

Préface .................................................................................................................................................................... 2 Introduction ............................................................................................................................................................ 7

La face visible de la cybercriminalité................................................................................................................... 7

La face cachée de la cybercriminalité ................................................................................................................. 7

Méthodologie ...................................................................................................................................................... 8

Scénarios ................................................................................................................................................................. 9

Scénario 1 : chantage au déni de service distribué ............................................................................................. 9

Scénario 2 : campagne d'infection massive de sites Internet .................................................................... ...... 10

Scénario 3 : vol de base de données clients .......................................................... ............................................ 11

Scénario 4 : campagne de phishing ................................................................................................................... 11

Scénario 5 : indisponibilité de superviseur ....................................................................................................... 12

Synthèse ............................................................................................................................................................ 13

Les sites de black market ...................................................................................................................................... 14

Du site « amateur » au site « professionnel »… ................................................................................................ 14

Deux grandes catégories ................................................................................................................................... 14

Les produits ....................................................................................................................................................... 20

Les outils des cybercriminels ................................................................. .......................................................... .. 23

Les infrastructures : les serveurs bulletproof ........................................................ ............................................ 28

Les acteurs des black markets ............................................................................................................................... 33

Entre goût du secret et besoin de publicité : une criminalité schizophrène .................................................... 33

Des « associations internationales de malfaiteurs » ........................................................ ................................. 34

Des profils très variés ........................................................................................................................................ 37 L’ennemi numéro un des cybercriminels : le ripper ......................................................................................... 38

L’économie des black markets .............................................................................................................................. 40

Les profits des cybercriminels ........................................................................................................................... 40

Un outil clé : la monnaie virtuelle ..................................................................................................................... 43

Un recours aux moyens classiques du blanchiment d’argent ................................................................... ....... 51

Synthèse ............................................................................................................................................................ 55

Quelles réponses ? ................................................................................................................................................ 56

Au plan français ................................................................................................................................................. 56

Au plan international ........................................................................................................................................ 60

Quelques pistes ................................................................................................................................................. 63

Glossaire ................................................................................................................................................................ 67

Présentation de CEIS ............................................................................................................................................. 70

Contacts ................................................................................................................................................................ 71




RESEARCH PAPER LES MARCHES NOIRS DE LA CYBERCRIMINALITE

Réalisé sous la direction de Guillaume Tissier par Marie Garbez, Barbara Louis-Sidney,

Félix Aimé, Louis Vatier et Nicolas Caproni de l’équipe Secu-Insight de CEIS.

Technologies de l’information

Tous droits réservésPublié en 2011 par CEIS

Compagnie Européenne d’Intelligence Stratégique (CEIS)Société Anonyme au capital de 150 510 € - SIRET : 414 881 821 – APE : 741 G

280 boulevard Saint Germain – 75007 Paris - Tél. : 01 45 55 00 20 – Fax : 01 45 55 00 60




PREFACE

L'homme a toujours eu l'ambition de se rendre maître de nouveaux espaces. Il a

investi la terre, son premier univers, a conquis la mer, avant de s’élancer dans les airs et,depuis peu, dans l’espace extra-atmosphérique. Chacune de ces aventures lui a permisde goûter à une nouvelle liberté dont il a parfois usé, voire abusé, avant de comprendrela nécessité d’établir des limites par une régulation protégeant le plus faible contre ladomination du plus fort.

L’ordre public a d’abord organisé la vie en société sur la terre. Il s’est tourné versla mer. Celle-ci a cessé d’être une res nullius pour devenir une res communis qu’il con-vient de protéger, car c’est un espace fragile sur lequel le trafic maritime et l’exploitationdes richesses doivent être encadrés. Avec le développement de la navigation aérienneest né un ordre public qui se manifeste chaque jour davantage sous la pression de la

menace terroriste. L’accès à l’espace extra-atmosphérique est encore le privilège dequelques grandes puissances, mais il ne manquera pas de justifier l’édification de règlesinternationales au fur et à mesure que des activités humaines s’y déploieront. Quelque

soit l’espace considéré, l’ordre public ne peut être garanti sans un consensus internatio-nal, condition d’une coopération sans frontière.

Le cyberespace est depuis trois décennies, une nouvelle terra incognita . Il estcertes un espace immatériel, mais on ne peut nier les conséquences matérielles et hu-maines de son exploration. Les technologies numériques sont désormais omniprésentes(information, culture, éducation, commerce, industrie, services, santé, sécurité, défense,etc.).

Elles sont source de progrès, de croissance si elles sont maîtrisées, mais elles portentaussi en germe des risques de fragilités. Les pionniers ont considéré que la liberté devaity être absolue, mais après une période d’euphorie, voire d’insouciance, chacun est dé-sormais convaincu de l’urgence d’une intervention concertée des acteurs publics etprivés afin que le cyberespace ne soit pas livré aux nouveaux prédateurs, que sont no-tamment les cybercriminels et les cyberdélinquants.

C’est justement tout l’intérêt de l’étude menée par CEIS que de décrire précisément,grâce à une observation quotidienne du cyberespace, le fonctionnement des marchésnoirs utilisés par les cybercriminels et de l’économie souterraine qu’ils entretiennent.Alors que la cybercriminalité suscite nombre de fantasmes et d’idées reçues, cette étudecontribuera sans aucun doute à la prise de conscience des pouvoirs publics mais aussi

des acteurs économiques qui sont en première ligne dans la lutte contre ce fléau.

Le terme « cybercriminalité » apparut à la fin des années quatre-vingt-dix, alors

qu’Internet se répandait en Amérique du Nord. Un sous-groupe des pays du G8 fut for-mé afin d’étudier les nouveaux types de criminalité encouragés par, ou migrant vers,Internet. La « cybercriminalité » définissait, de manière relativement vague, tous lestypes de délits perpétrés sur internet ou les nouveaux réseaux de télécommunicationsdont le coût chutait rapidement.

La cybercriminalité et/ou la cyberdélinquance, qui par ailleurs est celle quitouche le plus les individus, englobe(nt) toutes les infractions pénales susceptibles de secommettre sur ou au moyen d’un système informatique généralement connecté à un

réseau», à savoir :




• les infractions spécifiques aux technologies de l’information et de la communi-cation : parmi ces infractions, on recense les atteintes aux systèmes de traite-ment automatisé de données, les traitements automatisés de données person-nelles (comme la cession des informations personnelles), les infractions auxactes bancaires, les chiffrements non autorisés ou non déclarés ou encore les in-

terceptions ;

• les infractions liées aux technologies de l’information et de la communication :cette catégorie regroupe la pédopornographie, l’incitation au terrorisme et à lahaine raciale sur internet, les atteintes aux personnes, les atteintes aux biens ;

• les infractions facilitées par les technologies de l’information et de la communi-cation, que sont les escroqueries en ligne, la contrefaçon ou toute autre viola-tion de propriété intellectuelle.

Pour contrer la commission de ces actes criminels et délictueux, sur cette struc-ture planétaire que constitue le cyberespace, outre les législations nationales, une coo-

pération internationale s'est édifiée autour de règles de droit qui protègent les individus,les entreprises, les organisations internationales, les États. La plus emblématique de cesrègles demeure la convention sur la cybercriminalité du 23 novembre 2001, ainsi queson protocole additionnel de janvier 2003, adoptée par les pays membres du Conseil del'Europe ainsi que les Etats-Unis, le Canada, le Japon et l’Afrique du Sud et qui vise à :

• harmoniser les législations des Etats signataires en matière de cybercriminalité :à cette fin, la Convention établit des définitions communes de certaines infrac-tions pénales commises par le biais des réseaux informatiques.

• compléter ces législations, notamment en matière procédurale : afin d’améliorerla capacité des services de police à mener en temps réel leurs investigations et à

collecter des preuves sur le territoire national avant qu’elles ne disparaissent.

• améliorer la coopération internationale, notamment en matière d’extradition etd’entraide répressive.

Néanmoins, si 42 États ont signé la convention, seuls 14 ont procédé à sa ratification fin2007.

Pour appliquer et faire respecter ces règles juridiques, des organes de lutte ontété mis en place. Dès 1998, a été créé, au sein de la Gendarmerie, le département delutte contre la cybercriminalité au sein du service technique de recherches judiciaires etde documentation (STRJD). Le 15 mai 2000 a été créé l’Office central de lutte contre la

criminalité liée aux technologies de l’information et de la communication (OCLTIC), re-groupant policiers et gendarmes, notamment au sein de la plate forme de signalementdes contenus illicites sur internet. Chaque force de sécurité intérieure a formé sur l'en-semble du territoire des personnels, enquêteurs N'Tech pour la Gendarmerie Nationaleet Investigateurs en Cybercriminalité pour la Police Nationale.

Au niveau européen, a été créée en 2004 l’Agence européenne chargée de la sécuritédes réseaux et de l'information (ENISA). Située en Crète, elle fonctionne comme uncentre d'expertise pour les États membres, les institutions de l'UE et les entreprises.L’agence a pour mission de :

• prêter assistance et fournir des conseils à la Commission et aux États membres

sur les questions liées à la sécurité des réseaux et de l'information ;




• recueillir et analyser les données relatives aux incidents liés à la sécurité en Eu-rope et aux risques émergents ;

• promouvoir des activités d'évaluation et de gestion des risques afin d'améliorerla capacité de faire face aux menaces pesant sur la sécurité de l'information ;

• renforcer la coopération entre les différents acteurs du secteur de la sécurité del’information ;

• suivre l'élaboration des normes pour les produits et services en matière de sécu-rité des réseaux et de l'information.

Malheureusement la lutte contre la cybercriminalité n’est pas aisée. Il existeplusieurs obstacles juridiques et non juridiques à cette lutte. En premier lieu, le caractèrevaste des réseaux informatiques, mais aussi la rapidité de commission des infractions, ladifficulté de rassembler des preuves, et enfin des méthodes d’investigation et de con-

trôle qui peuvent se révéler attentatoires aux droits fondamentaux, en particulier audroit à l’anonymat et à la liberté d’expression.

Au niveau juridique, ce qui pose aujourd’hui beaucoup de difficultés c’est le fait qu’unmême comportement en France et à l’étranger n’est pas pareillement considéré. Il peutconstituer une infraction dans un pays et pas dans l’autre. On peut citer pour exemple, la« promotion du cannabis », ou encore la « provocation pour surprendre les pédophiles ».Cela renvoie à un autre problème celui de la loi applicable. En effet, la cybercriminalité «bouleverse le principe classique de la territorialité de la loi pénale ». La loi française seraapplicable dès lors qu’un élément constitutif de l’infraction a eu lieu en France (TGI deParis 17ème chambre, 26 février 2002). Ainsi, par exemple, la simple réception parl’utilisateur est un élément constitutif de l’infraction. Mais s’il n’y a pas d’élément consti-tutif de l’infraction en France, la loi française ne sera pas applicable.

Il faut alors lutter chaque jour contre les paradis juridiques « cyber paradis », pour unemeilleure efficacité du droit relatif à la cybercriminalité.

De même, toutes les législations, et les outils en charge de leur mise en œuvreet de leur respect, ne sont que le cadre d'une action individuelle, ou l'homme se doitd'être informé et responsable de ses actes. Ceci passe par une éducation aux possibilitéset dangers des systèmes d'information car la cible principale des cybercriminels et dé-

linquants sera les réseaux sociaux et les téléphones portables. C'est ce que met en avantSymantec dans son rapport annuel d’analyse des menaces de la cybercriminalité. Lesutilisateurs de Facebook, Twitter et du système d’exploitation de Google Android, sontparticulièrement vulnérables, selon l’étude. Les failles exploitables par la cybercriminali-

té ont augmenté de 115% en 2009 à 163% en 2010. Le nombre d’attaques, notammentpar la diffusion de virus, demeure néanmoins réduit sur ces programmes, comparé àceux commis par e-mail.

Les attaques ciblées vont aussi se développer. Il s’agit de ces pièges qui semblent venird’expéditeurs que vous connaissez, sur Facebook, ou par mails. Plus difficiles à mettre enplace par les cybercriminels, ils sont aussi plus efficaces : vous cliquez plus facilement surle lien envoyé par un ami sur Facebook que par un expéditeur dont le mot «viagra»compose l’adresse e-mail.

Au total, le nombre d’attaques menées sur Internet a augmenté de 93% entre 2009 et2010, boosté par la prolifération des mini-url, selon Symantec: Elles ne comprennent que

rarement un élément permettant d’identifier la provenance, plus compliqué donc dedistinguer un lien virus d’un lien valable. Ces attaques ciblées sont les plus susceptibles




de compromettre les données personnelles des internautes. Selon le rapport, la trans-mission de données privées causées par les attaques a débouché sur le dévoilementd’environ 260.000 personnes, soit un nombre beaucoup plus élevé que ceux dû à des

pertes accidentelles ou de mauvais systèmes de protection.

Ainsi, toute démarche doit placer l’Homme au coeur de toute réflexion, de toute

action : « à quoi lui servirait de gagner l’univers du cyberespace s’il venait à perdre sonâme ? ». La maîtrise du cyberespace s’inscrit dans une stratégie de développement du-rable(1) qui préserve l’avenir des générations futures. Elle doit garantir la paix publiquemais aussi la paix, car les hommes ont toujours porté leurs conflits sur les espaces qu’ilsse sont appropriés, telle que l'actualité récente l'a démontré dans les pays arabes et querappelait le Président de la République Nicolas SARKOZY lors de son discours du 24 mai2011, lors de l'e.G8 Forum, "cette révolution qui a modifié jusqu'à notre perception dutemps et de l'espace a joué un rôle déterminant dans le déroulement d'autres révolu-tions".

Outre la nécessité de promouvoir une prise de conscience collective par une formation à

l'information, chaque Etat doit se doter de compétences humaines et d'outils qui puis-sent veiller à détecter en permanence les menaces, définir les mesures de protection,détenir et mettre en œuvre des capacités de riposte qui s’imposent afin de préserverl’extraordinaire potentiel de développement dont le cyberespace est porteur et qui doitêtre considéré comme une chance pour l’humanité qu’il faut saisir avec l’optimisme dela liberté et le réalisme de la sécurité.

Général d’armée WatinGénéral d’armée WatinGénéral d’armée WatinGénéral d’armée Watin----AugouardAugouardAugouardAugouard

Inspecteur Général des Armées Gendarmerie




INTRODUCTION

Si la cybercriminalité est au cœur de l’actualité en raison du développement sans précé-

dent des technologies numériques et du « tout Internet », elle n’en reste pas moins uneforme de criminalité dont le mode opératoire est extrêmement opaque.

Les cybercriminels utilisent en effet à leur avantage les caractéristiques propres à Inter-net : l’absence de frontières, l’anonymat, la volatilité etc. Si bien que la traque se révèleparticulièrement complexe. Il est en outre plus ardu de lutter contre un individu subtili-sant un euro à un million de personnes que contre un individu subtilisant un milliond’euros à une seule personne… Le délit est indolore ou presque et, bien souvent, au-cune plainte n’est déposée par les victimes.

La face visible de la cybercriminalité

La cybercriminalité consiste à utiliser des systèmes et des réseaux informatiques, soitpour commettre des infractions spécifiques à ces réseaux, soit pour réaliser ou faciliterdes infractions plus classiques, lesquelles étaient déjà incriminées avant l’arrivéed’Internet.

Elle s’illustre, plus concrètement, par toute une série de comportements frauduleux aunombre desquels se retrouvent, par exemple, le vol de données à caractère personnel(adresse, nom, identifiant et mots de passe…), la fraude et le vol d’identifiants ban-caires, le vol et la falsification de papiers d’identité, mais aussi l’atteinte au fonction-

nement d’un système informatique. Ces comportements sont facilités par la réalisationd’actes en amont tels que la fabrication et l’utilisation de malwares capables de subtili-ser les données d’un réseau ou d’un système d’information.

Cette vision de la cybercriminalité n’est cependant que parcellaire et de nombreusesquestions restent en suspens : Comment les cybercriminels s’organisent-ils ? Quelle estl’étendue de leurs profits ? Où se situe la jonction entre cybercriminalité et criminalitéphysique traditionnelle ?

C’est pour apporter des éléments de réponse à ces interrogations que CEIS a menécette étude sur la face cachée de la cybercriminalité.

La face cachée de la cybercriminalité

L’envers du décor, c’est un véritable marché noir – ou black market – de la cybercrimi-nalité, permettant aux cybercriminels :

• De s’organiser. Ils y nouent des contacts et opèrent une division des tâches àtravers un mode opératoire plus ou moins bien ficelé ;

• De vendre, de louer et d’acheter. Sur les black markets , forums ou shops , sontmis en vente toutes sortes de produits et de services, qu’il s’agisse d’outils de

piratage (malwares …) ou de résultats de ces malversations (numéros de




cartes bancaires, de comptes de jeux en ligne, faux papiers, données à carac-tère personnel en tous genres…).

Méthodologie

Quelques scénarios, issus pour la plupart de cas réels, permettront tout d’abord au

lecteur d’appréhender l’étendue de la cybercriminalité et le rôle central des black mar-

kets .

Dans un deuxième temps seront présentés les différents types de black market , lesoutils utilisés et les acteurs impliqués. Le rôle des monnaies virtuelles et l’analyse desliens entre cybercriminalité et criminalité physique traditionnelle feront égalementl’objet d’une attention particulière.

Une dernière partie détaillera enfin les cadres juridiques français et internationauxavant de proposer quelques pistes pour lutter contre le fléau cybercriminel : renforce-

ment de la coopération internationale, surveillance renforcée des black markets etdéveloppement d’un modèle de sécurité actif.




SCENARIOS

La mise en réseau des dispositifs informatiques a vu l’émergence du cybercrime, uneforme de criminalité principalement axée sur l’escroquerie, ciblant toutes les sphères dela société, des simples internautes aux groupes industriels en passant par les institutionsgouvernementales.

Les scénarios présentés ci-dessous décrivent les principales tendances actuelles du cy-bercrime financier, qu’il s’agisse de détournements de fonds, de chantage ou de revented’informations personnelles sur des espaces d’échanges cybercriminels. Ils ne sont pasexhaustifs et ne sont en aucun cas représentatifs de tout le spectre des menaces cyber-criminelles. Ces dernières ne sont d’ailleurs limitées que par l'imagination - débordante -de leurs auteurs.

Scénario 1 : chantage au déni de service distribué

Mots clés : DDoS1, Rançon, Botnet2

ContexteContexteContexteContexte ---- Brice, ancien employé de la société Zcorp, licencié pour faute grave, lanceune attaque en déni de service distribué (DDoS ) contre son ancien employeur. Consé-quence : la saturation du serveur mail et du PABX de la société. En parallèle de cetteattaque, une rançon est demandée afin de faire cesser la saturation des moyens decommunication de Zcorp.

Mode opératoireMode opératoireMode opératoireMode opératoire ---- Pour monter l’attaque, Brice se connecte à un forum et contacte unepersonne offrant un service de DDoS à la demande. La mise à disposition du botnet (2 500 machines « zombies ») est facturée 5$/heure. La discussion avec le pirate russe surles modalités de la transaction se fait en anglais via le système de messagerie ICQ. Avantde lancer l’attaque, Brice contacte son ancien employeur par le biais d’un mail anonymeenregistré chez un service étranger pour demander une rançon.

Une fois l’attaque lancée, les serveurs mail et Asterisk de Zcorp deviennent rapidementinaccessibles et la société est coupée du reste du monde. Faute d’équipe techniquecapable de mettre en œuvre des contre-mesures efficaces, seules deux options s’offrentà Zcorp : payer la rançon demandée (une dizaine de milliers d’euros, versés sur uncompte Liberty Reserve) ou attendre la fin de l’attaque.

ImpactsImpactsImpactsImpacts ---- Face à une coupure de tous ses moyens de communication, la société Zcorpne prend pas le temps d’analyser la situation et décide de transférer la rançon demandéesur le compte du cybercriminel pour faire cesser l’attaque DDoS contre ses infrastruc-tures. La société ne porte pas plainte, considérant que cela ne servirait à rien et que samésaventure pourrait bien être médiatisée et ternir son image.

1 : Attaque DDoS (DistributedDenial of Service) - Attaqueinformatique ayant pour finalitéde rendre indisponible l’accès àun service en le saturant derequêtes.

2 : Botnet - Réseaud’ordinateurs corrompus con-trôlés par un ou plusieurs

cybercriminel(s) pouvant êtreutilisé pour différentes finalités: émission de spam, diffusion dephishing ou de malware, fraudeau clic, puissance de calcul,attaque DDoS, opération de

commerce illicite, etc.




Scénario 2 : campagne d'infection massive de

sites Internet

Mots clés : Défiguration de site, exploit kit, failles.

ContexteContexteContexteContexte ---- Katia, développeur web dans une société de services informatiques, s’estconvertie au cybercrime pour faire face à ses nombreuses dettes. Son activité consiste àdévelopper et à revendre des « exploits » visant principalement des squelettes prépro-grammés de sites Internet (Content Management System ou CMS ). Suivant le type devulnérabilité trouvé et le nombre potentiel de sites Internet vulnérables, elle peut re-vendre ses exploits plusieurs centaines d’euros.

Mode opératoireMode opératoireMode opératoireMode opératoire ---- Récemment, lors d’un audit du code source d’un CMS, elle a trouvéle moyen de faire exécuter un code arbitraire aux serveurs des sites Internet disposantde ce CMS, dont Google évalue le nombre à 115 000. Ce type de vulnérabilité pourrapermettre la mise en place de scripts malveillants sur les sites Internet attaqués ou lepiratage des serveurs afin de constituer à moindre coût des serveurs de commandes debotnets répartis dans le monde.

Elle vendra quelques jours plus tard le code d’exploitation personnalisé 1000 $ sur unsous-forum privé dédié aux exploits, espace de discussion réservé aux cybercriminels(black market ). Plusieurs acheteurs ont répondu à cette offre par leur numéro de messa-gerie ICQ. Après quelques échanges avec un escrow 1 , son code d’exploitation est venduà un acheteur crédible, sans que Katia ne connaisse l’usage qui en sera fait.

ImpactsImpactsImpactsImpacts ---- Quelques jours plus tard, une campagne de piratage d’envergure visant plu-

sieurs dizaines de milliers de sites Internet utilisant le CMS aura lieu. L’attaque se traduirapar l’insertion dans les sites visés d’un composant (une iframe ) qui tentera d’infecter lesordinateurs des visiteurs à l’aide du kit d’exploit Black Hole .

Face à ce type d’attaque

Il est conseillé d’utiliser des CMS soutenus par une large communautéd’utilisateurs afin de prévenir d’éventuelles failles de sécurité dans leurs codessources. Une veille doit être réalisée sur les failles et les mises à jour du CMSutilisé. Enfin, un contrôle d’intégrité des fichiers présents sur les sites Internetest primordial afin de s’assurer qu’aucun fichier n’a été modifié.


L’entreprise aurait pu mettre à jour ses zones DNS et les faire pointer vers denouveaux serveurs avec des adresses IP différentes. Même si les chances deretrouver les cybercriminels à l’origine de ce type d’attaque sont faibles, il estfortement conseillé de porter plainte.

1 : Escrow - tiers de confiancequi va permettre de finaliserune transaction entre deux per-sonnes n’ayant jamais traité

ensemble auparavant.




Scénario 3 : vol de base de données clients

Mots clés : Base de données, SQL injection, vol, CVV.

ContexteContexteContexteContexte ---- Rand3k est un pirate informatique. Son activité : dérober des bases de don-

nées clients pour revendre les informations qu’elles contiennent. Suivant le nombred’enregistrements, le pays d’origine, mais également les informations qu’elle contient, leprix d’une base de données peut aller jusqu’à plusieurs milliers de dollars US sur certainsmarchés.

Mode opératoireMode opératoireMode opératoireMode opératoire ---- Pour commettre son méfait, Rand3K réalise à la main des recherchessur des sites potentiellement vulnérables. Afin de compromettre les bases de données, ilutilise plusieurs méthodes de hacking (principalement l'exploitation de simples injec-tions SQL). Pour lui, une « bonne » base de données contient plusieurs centaines de mil-liers d’enregistrements clients, dont leurs données bancaires.

Sa dernière victime en date, MyGardenShop, lui a permis de récupérer 80 000 données

clients comprenant les noms et prénoms, les adresses email, les mots de passe en clair,mais également l’ensemble des données bancaires des membres. Après avoir posté uneoffre de vente sur plusieurs forums, Rand3K a vendu sa base de données à un cybercri-minel pour 1 500 $US. Celui-ci pensait alors faire fructifier son achat en vendant les in-formations bancaires séparément sur des shops automatisés.

ImpactsImpactsImpactsImpacts ---- MyGardenShop apprendra l'attaque dont il a été victime dans la presse infor-matique sur Internet, tout comme ses clients. L'entreprise est obligée de mettre en placeune communication de crise, invitant ses clients à changer leur mot de passe sur le siteInternet et à prévenir leur banque que leurs données de cartes bancaires ont pu êtrecompromises. Suite à la médiatisation de l’affaire, le chiffre d’affaires réalisé sur le siteInternet chutera de 40 %.

Scénario 4 : campagne de phishing

Mots clés : phishing, vol de données bancaires.

ContexteContexteContexteContexte ---- Depuis des années, le phishing est la menace cybercriminelle la plus visible.Même si les navigateurs possèdent aujourd’hui des parades anti-phishing et qu’unecoopération internationale s’est organisée dans la lutte contre ce fléau, beaucoupd’internautes sont encore victimes de ce type d’escroquerie. C’est en parlant avec descontacts sur Internet qu’Eric a eu l’idée de se lancer dans l’aventure du phishing .

Quelques mois après ses débuts, sa technique est aujourd’hui bien rodée : son dispositif lui rapporte plusieurs dizaines d’identifiants bancaires par jour.


Ce type d’attaque est malheureusement courant sur Internet. Plusieurs mesureset normes telles que PCI-DSS doivent être appliquées afin de minimiser la sur-face d’attaque mais aussi de s’assurer de la sécurité de l’infrastructure. De plus,des tests d’intrusions devront être réalisés afin d’évaluer, de manière dyna-mique, la sécurité du système.




Mode opératoireMode opératoireMode opératoireMode opératoire ---- Eric achète sur des espaces illégaux (black markets ) des kits de phis-

hing usurpant l’identité de grandes banques. Le kit, dont le prix varie de 10 à 30 dollarsUS, imite parfaitement l’interface graphique de l’entité visée. Il installe ensuite ces kits

sur des espaces d’hébergement gratuits à l’étranger, principalement sur des serveursbasés aux Etats-Unis.

Parallèlement à cette opération, Eric met à jour une base d’adresses électroniques, crééepar ses soins grâce à des forums et dont l’activité lui permet de récupérer une centainede nouveaux mails par jour. Après avoir constitué sa base, il envoie - par l’intermédiaired’un serveur SMTP autorisant l’envoi d’email sans authentification - plusieurs vagues dephishing en usurpant les identités des banques visées.

ImpactsImpactsImpactsImpacts ---- Pour Eric, le phishing est la solution idéale pour gagner de l’argent. Il arrive àrevendre sans difficulté les données à des shops car la demande est en hausse depuisquelques mois. Il considère même que sa démarche est « éthique » puisque, selon lui, "cene sont pas les clients mais les banques qui sont volées".

Scénario 5 : indisponibilité de superviseur

Mots clés : Malware, Ransomware

ContexteContexteContexteContexte ---- Igor et Kevin, tous deux étudiants, ont décidé de consacrer leur temps libreau développement d’un ransomware . Ce projet, qui devait être à visée scolaire, est vitedevenu une activité permettant aux deux amis de dégager quelques profits.

Mode opératoireMode opératoireMode opératoireMode opératoire ---- Le fonctionnement du système est simple : un petit logiciel, appelébuilder , permet à n’importe quel internaute de créer son propre malware « rançonneur »

en inscrivant, durant le processus de création du malware , le numéro de téléphone sur-taxé à appeler ou l’adresse du site Internet à visiter pour payer la rançon. Le malwareainsi fabriqué se charge ensuite de modifier la séquence de démarrage originale del’ordinateur (MBR ou Master Boot Record 1 ) pour empêcher son démarrage en prétextant,par exemple, le chiffrement complet de son disque dur et demander une rançon pour sarestauration.

Autour de leur projet s’est organisée une petite entreprise : Igor se charge de la vente etdu service client sur certains espaces d’échanges cybercriminels. Pour chaque builder vendu 250 $, un service après-vente de six mois est offert, principalement pour créer denouvelles parades contre les anti-virus. Leur publicité est assurée depuis qu’un blogueurréputé en sécurité informatique a fait mention de leur malware dans un article surl’évolution de la menace en 2011. À ce jour, les deux comparses dégagent un profitd’environ 1500 $ par semaine en vendant leur création sur plusieurs forums réputés.


Le phishing ne touche pas que de simples particuliers mais également les entre-prises. Ce type d’attaque, bien que facile à mettre en œuvre, est très dangereux.Il est préconisé de vérifier les émetteurs des messages, principalement à l’aidedes headers. Plusieurs solutions existent pour vérifier automatiquementl’appartenance de l’émetteur d’un mail à un domaine. De plus, il ne faut pas sefier aux demandes par email, une banque ne demandant jamais des identifiantspar courrier électronique ou par téléphone.

1 : MBR (Master Boot Record) -Egalement appelé “zoneamorce”, le MBR est le premiersecteur adressable d’un disquedur. Il intègre une routined’amorçage dont la finalité est

de charger le système

d’exploitation.




ImpactsImpactsImpactsImpacts ---- Le malware s’est propagé sur de nombreux ordinateurs. Plus grave, lors d’uneopération de maintenance sur un système SCADA1 d’un centre de supervision d’un ré-seau autoroutier, un technicien à malencontreusement branché une clé USB contenant

le ransomware au superviseur principal afin de réaliser une mise à jour de routine. Suiteà l’installation de cette mise à jour, le redémarrage du superviseur a provoqué une réé-criture du MBR, rendant inopérant pendant plusieurs heures le système de supervision.

Synthèse

La cybercriminalité est une chaîne complexe. Dans cette chaîne, les black markets (en

bleu) jouent un rôle essentiel, tant en amont pour la préparation des attaques qu’enaval, pour la monétisation des bénéfices réalisés par les cybercriminels.


Une hausse de la production des ransomwares est à prévoir ces prochains moisdu fait de leur facilité de développement et de leur furtivité potentielle sur lesystème ciblé. Face à ce type de menace, il est impératif de maintenir à jour lesystème et de disposer d’un antivirus. De plus, une politique de sauvegarde doitêtre mise en œuvre afin de limiter l’impact d’un éventuel incident.

1 : SCADA (Supervisory Control

and Data Acquisition) – Sys-tème informatique permettantla surveillance et le contrôle desystèmes industriels (énergie,transports, usines etc.)




LES SITES DE BLACK MARKET

Du site « amateur » au site « professionnel »…

Les black markets sont à l’image de la criminalité traditionnelle : il y a autant de diffé-rences entre un cybercriminel amateur et un cybercriminel chevronné qu’entre un vo-leur d’occasion et un braqueur expérimenté.

Certains black markets , qu’il est possible d’assimiler à de la petite délinquance, sontdonc accessibles à tous et leur découverte est aisée sur la Toile. Les renseignements oudonnées qui s’y trouvent ne seront pas toujours excellents mais ils permettront à unnovice de « débuter » en criminalité informatique.

Généralement, lorsqu’un black market se développe et acquiert une certaine notoriété,son accès devient payant. Ce prix reflète la qualité de l’information : une bonne informa-tion ne peut être gratuite et tout cybercriminel est prêt à investir pour s’inscrire dans unsite web reconnu par ses pairs (pour certains, les prix peuvent aller jusqu’à 500 $).

Enfin, l’accès à certains sites est impossible pour la majeure partie des criminels : àl’instar d’une mafia, il n’est possible d’y entrer qu’avec l’assentiment donné àl’administrateur par des « parrains » déjà inscrits. Le droit d’entrée ne repose plus alorssur un effort financier mais une réelle reconnaissance du milieu, ce qui nécessite d’avoirfait ses preuves et de connaître les bonnes personnes.

Deux grandes catégories

Les forums

Un lieu d’échange «Un lieu d’échange «Un lieu d’échange «Un lieu d’échange « undergroundundergroundundergroundunderground »»»» - -- - Les forums sont le lieu de rencontre des cyber-criminels débutants ou aguerris qui peuvent lire les dernières nouvelles et innovationsdu milieu, demander conseil sur tout type de sujet, proposer leur service ou collabora-tion pour des opérations illicites.

Eu égard au caractère international de la cybercriminalité, les discussions se font enplusieurs langues. Les plus usitées sont l’anglais et le russe mais il arrive de rencontrerdes forums dédiés aux germanophones, francophones et hispanophones.

Figure 1 : quatre garants sont demandés pour entrer dans ce black market.




Un forum se divise en plusieurs rubriques, chacune concernant un sujet particulier. Il estainsi aisé pour un cybercriminel de trouver rapidement toutes les annonces susceptiblesde l’intéresser. On y retrouve notamment des offres concernant des fraudes aux jeux

d’argent en ligne, du hacking , de l’hébergement de sites illégaux ou de serveurs despam mais également la vente d'exploits , de malwares , la location de botnets …

Les annonces sont visibles par tous les membres qui peuvent se contacter entre eux parmessage privé puis, une fois le contact pris, converser par ICQ ou Jabber (voir page 24).Les administrateurs déconseillent d’ailleurs généralement à leurs inscrits d’indiquer

directement dans leurs annonces les numéros ICQ mais nombre d’entre eux passentoutre cette règle de sécurité.

Les participants n’ont en effet pas tous le même statut. Par ordre d’importance décrois-sant, il est possible de distinguer les administrateurs, les modérateurs, les vendeurs véri-fiés, les membres reconnus et les invités. Ces derniers n’étant recommandés ni parl’administrateur ni par d’autres membres, ils suscitent inévitablement la méfiance : ilpourrait s’agir de policiers ou de rippers 1 .

Les inscrits peuvent parfois se noter entre eux ce qui permet de passer du statut d’invitéà celui de membre reconnu. La réputation d’un cybercriminel se fait également aumoyen de feedbacks (commentaires) des autres utilisateurs.

Figure 2 : un forum multilingue

Figure 3 : les rubriques d'un black market

1 : Rippers - Le ripper est uncybercriminel qui se fait passerpour un vendeur légitime surun site de Black Market ou quicrée de faux sites de Black Market, afin de récupérer lemontant de ces transactionsillégales, sans offrir de réelles

contreparties.




A la fin de l’annonce ci-dessus, cette personne (qui possède elle-même une note +5)indique attendre les feedbacks des utilisateurs qui seront amenés à traiter avec elle.

Le forum peut ainsi être à l’origine de la création d’une organisation criminelle carchaque membre peut trouver le ou les partenaires qui lui conviennent pour des activités

déterminées.

Le lieu de convergence entre criminalité virtuelle et physiqueLe lieu de convergence entre criminalité virtuelle et physiqueLe lieu de convergence entre criminalité virtuelle et physiqueLe lieu de convergence entre criminalité virtuelle et physique ---- Un cybercriminelprocède à des infractions en chaîne. Le recours à un ou plusieurs complices est d’autantplus nécessaire que la moindre erreur à l’un des stades de l’opération peut causer unéchec.

La criminalité traditionnelle fait partie intégrante de ce processus et c’est en grandepartie au sein des forums que les échanges ont lieu entre ces deux formes de criminalité.

En amont, cette criminalité peut prendre l’apparence d’employés malhonnêtes qui vontse servir de leur situation pour récupérer des données illicites comme des cartes ban-

caires.

Deux exemples :

• Un employé d’hôtel en Afrique du Sud a pu copier frauduleusement les don-nées des cartes bancaires de ses clients durant la Coupe du monde de football.Dans cette annonce, il les revend avec les informations issues des passeports deses victimes. « […] Je travaille pour un hôtel haut de gamme dans la ville duCap, Afrique du Sud et nous avons eu récemment beaucoup d’invités pour laCoupe du monde de football. J’ai pu cloner certaines cartes de crédit et j’ai aussitoutes les informations apparaissant sur les passeports. Au total, j’ai environ 37cartes et la plupart viennent des Etats-Unis, de Suisse, de France, d’Allemagne et

de Corée du Sud […]. »

• Dans un autre cas, les membres francophones du forum s’entraident : une per-sonne indique gagner 4 000 $ par mois en fournissant le matériel approprié(« skimmer ») à une serveuse qui va lui permettre de récupérer les données ban-caires de la clientèle.

Figure 4 : Message d’un employé d’hôtel proposant ses services




Phase d’exécutionPhase d’exécutionPhase d’exécutionPhase d’exécution ---- Avoir recours à des complices implantés dans le pays cible est pri-mordial pour un cybercriminel lors de l’exécution de son délit et pour la phase finale demonétisation. Pendant la phase d’exécution, cette aide se traduit par de petites actionssimples, comme par exemple donner un coup de téléphone pour valider une com-mande ou recevoir un SMS.

Exemple de discussion tirée d’un forum : une personne voulant frauder Western Unionrecrute des « collaborateurs » afin de valider les transferts au téléphone 1. Une personnerésidant en France propose de passer ces appels et de fournir occasionnellement unevoix de femme pour les fraudes réalisées avec des titulaires de cartes bancaires fémi-nines.

Phase de monétisationPhase de monétisationPhase de monétisationPhase de monétisation ---- La phase de monétisation est la plus délicate et suscited’ailleurs de très nombreuses demandes dans les forums. Elle est principalement baséesur le système de « mule ».

Le rôle des mules ou « money mule » est de : recevoir des colis, des virements bancaires,

des mandats Western Union, retirer l’argent à un distributeur automatique avec unecarte bancaire contrefaite… La « mule » va servir d'intermédiaire et de facilitateur afin depermettre aux cybercriminels de transformer l'argent virtuel en argent réel : il s’agit doncde blanchiment d'argent.

Exemples :Exemples :Exemples :Exemples :

Lorsqu’un cybercriminel pirate le compte bancaire d’un ressortissant français, il a systé-matiquement besoin d’une mule possédant un compte bancaire en France pour recevoirle virement frauduleux.

Les transferts bancaires sont en effet instantanés en France métropolitaine alors que des

virements à l’étranger nécessitent un délai de plusieurs jours, ce qui laisse le temps à labanque de repérer la fraude. Une fois le virement effectué, la mule retire la somme de

Figure 5 : un cybercriminel décrit son mode-opératoire de skimming

Figure 6 : recherche de service de fraudes

Figure 7 : proposition d'aide à la fraude

1 : L’envoi d’argent par WesternUnion sur Internet nécessitedeux phases : une première sur

le site de la société et uneseconde qui suppose d’appelerWestern Union par téléphoneafin de valider le transfert

effectué sur Internet.




son compte et en envoie une partie par Western Union à l’instigateur du virement frau-duleux.

L’annonce ci-dessous propose de retirer le maximum d’argent possible à des distribu-teurs automatiques en France au moyen de cartes bancaires dupliquées.

On retrouve enfin sur Internet de nombreuses offres d'emploi suspectes sur de véri-tables sites de recrutement tout à fait légitimes. Elles promettent aux candidats de ga-gner des sommes d'argent confortables pour du travail à domicile. Le travail demandéest simple et financièrement intéressant : il consiste à effectuer des transferts d'argent(électronique, chèque...) en gardant une commission (entre 5 et 10%) sur chaque tran-saction réalisée.

Arrestations suite aux démantèlements de réseaux de "money mules"

En octobre 2009, l'Office Central de Lutte Contre la Criminalité liée aux Techno-logies de l'Information et de Communication (OCLCTIC) (voir section 7.1.1) adémantelé deux réseaux internationaux de fraudes bancaires opérant depuis laRussie et l'Ukraine. Plus de 70 personnes ont ainsi été mises en examen. Lespirates, par l'intermédiaire de techniques de phishing, vidaient les comptesbancaires de leurs victimes et transféraient les fonds vers des "mules" qui ren-voyaient ensuite l'argent par mandat Western Union vers la Russie et l'Ukraine.

En octobre 2010, après l’arrestation en Grande Bretagne de 11 individus exploi-tant le Cheval de Troie bancaire Zeus pour voler les comptes de particuliers, leFBI a inculpé 60 personnes pour les mêmes motifs. Ces derniers sont accusés de

faire partie d’un réseau de cybercriminels situé en Europe de l’Est et de "moneymules" suspectés d’avoir ouvert des comptes aux États-Unis pour y transférerles fonds volés.

Figure 8 : proposition de retrait sur des DAB français.




Les shops

Les « shops » sont l’autre visage des black markets . Ici, pas d’annonces en vrac, pas decontacts entre utilisateurs. Comme leur nom l’indique, les shops sont des sites purementcommerciaux.

Le fonctionnement d’un shop est le même qu’un site marchand ordinaire : chaque utili-sateur possède son propre compte sécurisé par un nom d’utilisateur et un mot de passeet gère ses achats selon ses besoins.

Prenons l’exemple du carding , c'est-à-dire de la vente illégale de numéros de cartesbancaires, dont le produit-type comprend les éléments suivants : les 16 chiffres du nu-méro de la carte, la date d’expiration, le code de sécurité (les 3 chiffres au dos de la cartedésignés aussi par les acronymes CVV / CVC / CVV2), les nom et prénom du propriétaire,son adresse et son téléphone.

Une activité très lucrativeUne activité très lucrativeUne activité très lucrativeUne activité très lucrative ---- Ces sites « commerciaux », véritable vitrine du carding , se

sont multipliés sur la Toile, leur objectif étant de viser le plus large public possible. Laprésentation des sites est simple, la recherche d’une carte facile : acheter un numéro neprend que quelques minutes.

Les administrateurs de ces sites ne sont, en général, que de simples revendeurs. Commetout commerçant, ils ont acheté auprès de cybercriminels des lots de cartes en gros etles revendent au détail sur leur site à un prix supérieur.

Cette activité étant très lucrative, le nombre de ces sites a tout naturellement explosé. Ilsuffit de comparer le prix d’achat en gros d’un numéro de carte à celui proposé dans unshop pour comprendre.

Les prix de base pour une carte américaine varient de 0,50 $ à 1 $ lorsque la vente dé-passe 1 000 numéros. Dans l’offre suivante, le prix à l’unité oscille lui entre 2 et 3 $.

Figure 9 : un "shop" vendant des cartes bancaires américaines

Figure 10 : Cartes américaines présentes dans un shop.




Pour les cartes européennes, le prix est d’environ 2 $ si la quantité achetée est supé-rieure à 1 000. A l’unité, il oscille entre 10 et 15 $. Le prix dépend en fait du pays, unecarte anglaise étant souvent moins chère que les autres.

Les produits

Il existe différents types de produits vendus sur les sites de black market . De la vente denuméros de cartes de crédit aux malware , en passant par la vente de faux papiers ou decomptes de jeux en ligne, tous les secteurs de l ’économie sont touchés.

Carding

Les produits les plus courants sont issus du carding . Ce terme anglophone désignel’ensemble des techniques de vols de numéros de cartes bleues, en particulier par skim-

ming – technique consistant à placer un dispositif sur un distributeur automatique debillets (DAB) pour voler toutes les informations saisies par l’utilisateur – et le phishing –

opération destinée à usurper l’identité d’une banque pour créer une fausse interfaced’identification bancaire en ligne.

Bien que l’on puisse trouver quelques cartes vendues sur des forums, la majorité des

espaces de vente sont des shops ( voir la section précédente).

Le prix de vente de ces cartes varie fortement en fonction des informations venduesavec le numéro proprement dit. Ainsi, peuvent-être vendus en plus : le nom et le pré-nom du porteur de la carte, sa date de naissance, la date d’expiration ou encore le CVV.

Sur un panel de cinq sites, le prix minimum constaté était de 2,5 $ pour un prix maxi-

mum de 15 $ et un prix moyen de 13,21 $.

Au delà des cartes sont également vendus des identifiants de banque en ligne, dont leprix dépend du solde du compte concerné. Les prix se situent en général entre 150 € et400 €.

Figure 11 : un "shop" vendant des cartes bancaires européennes

Figure 12 : shop proposant des cartes bancaires françaises




Les malwares

La vente de malware sur les black markets est de plus en plus courante. Pour accroîtreleur marché, les développeurs de logiciels malveillants créent des applications qui nerequièrent aucune compétence technique. Grâce à ce concept, baptisé CaaS pour Cri-

meware as a Service, le cybercriminel n’est plus nécessairement un technicien et achète

le service offert par le produit et non le produit lui-même.

On retrouve ainsi sur les black markets des ransomware , des kits de phishing ou encoredes chevaux de Troie.

Comptes de jeux

Sont également vendus sur les sites de black market des comptes de jeux en ligne. Leprix de ces derniers varie naturellement, comme pour les comptes bancaires, en fonctiondu solde du compte. Les prix moyens de ces produits oscillent entre 30 $ et 100 $.

Figure 13 : proposition de service d’installation pour le Banker SpyEye

Figure 14 : vente d’identifiants de jeux en ligne




Faux papiers

Les sites de black market proposent aussi des faux papiers. Première catégorie : les scans de papiers d’identité légitimes. Ils peuvent notamment être utilisés pour l’ouverture decomptes de jeux en ligne. Leur qualité varie fortement, ce qui a un impact sur leur prix.Deuxième catégorie : les pièces d’identité contrefaites et envoyées sous une forme phy-

sique. Les prix sont évidemment nettement supérieurs : ils varient de quelques centainesd’euros à plus d’un millier d'euros alors que les scans sont vendus pour quelques di-zaines d’euros.

Figure 15 : vente de faux papiers sur un site internet




Accès à des sites gouvernementaux

Des produits moins communs peuvent également être vendus sur ces marchés, àl’image d’identifiants de sites gouvernementaux.

Le Spam

Souvent hébergés sur des serveurs bulletproof , ces sites proposent des services d’envoide spam clés en mains. Cela permet au cybercriminel d’inonder de nombreuses boîtesmail en vue d’inviter les destinataires à se connecter sur un site commercial vendant desproduits souvent prohibés.

Le prix payé par le client dépend naturellement de la qualité du service de spam auquelil souscrit. Certains de ces services sont même capables de contourner les captchas 1 .

Les outils des cybercriminels

Des messageries instantanées aux fonctions multiples

Pour communiquer entre eux, les cybercriminels ont essentiellement recours à ICQ,même si, depuis peu, l’utilisation de Jabber a nettement progressé. Le rôle d’ICQ et deJabber ne saurait cependant être cantonné à celui de simple messagerie, tant ces deuxservices prennent une importance grandissante dans l’univers des black markets

ICQICQICQICQ ---- ICQ a fait partie des précurseurs en matière de messagerie instantanée. Le système

se distingue de ses concurrents (MSN ou Yahoo) par le fait que les utilisateurss’identifient entre eux par un numéro et non par un pseudo. Les numéros ICQ pouvant

Figure 16 : vente d'identifiants à des sites gouvernementaux

1 : Captchas – Systèmes decontrôle visuel ou audio per-

mettant de différencier unhumain d’un programmeautomatique lors de la valida-tion de formulaires sur internet.




aller jusqu’à 9 chiffres, certains cybercriminels cherchent d’ailleurs pour des raisons mar-keting à obtenir des numéros plus courts, au point qu’un marché des numéros ICQ s’estdéveloppé.

Que ce soit dans les forums ou dans les shops , tous les cybercriminels indiquent leurnuméro ICQ. Figurant sur la page d’accueil du site, il permet de contacter

l’administrateur pour s’inscrire. Au sein des forums, il donne également la possibilité àtout membre de contacter l’auteur d’une annonce intéressante. Enfin, au sein des shops ,il fait plutôt office de contact pour le service après-vente.

ICQ ne permet pas uniquement à ses membres de discuter : il est possible d'y trouverdes shops totalement automatisés. Cette annonce propose à la vente des numéros decartes bancaires. Pas besoin de site Internet, tout se passe par ICQ et ce n’est pas unepersonne, mais un programme automatique qui répond.

Il suffit pour cela de suivre les commandes proposées par le robot et, comme pour unrépondeur automatique, de taper le chiffre correspondant à sa requête : taper 1 pouracheter une carte, 2 pour remplacer une carte invalide, 3 pour créer son compte utilisa-teur, 4 pour lire les informations inhérentes à ce service, 5 pour contacter le support, 0pour sortir du programme…

Le service est en tout point identique à celui d’un shop car il est même possible de re-chercher un numéro de carte par pays ou par banque. Cette multiplication des black

markets sur ICQ pourrait poser de graves problèmes aux autorités car ils sont beaucoupmoins repérables qu’un site Internet.

JabberJabberJabberJabber ---- Après ICQ, Jabber est devenu le deuxième outil indispensable aux cybercrimi-nels. Bien que proposant aussi une messagerie instantanée, il ne peut être considérécomme un concurrent direct d’ICQ car son emploi n’est pas le même.

Construit sur le protocole ouvert XMPP (Extensible Messaging and Presence Protocol ),Jabber permet de chiffrer ses conversations, de créer son propre serveur ou de naviguersur les milliers de serveurs Jabber disponibles à travers le monde.

Figure 17 : Service de ventes de cartes par ICQ

Figure 18 : Service de ventes de cartes par ICQ (2)




De plus, il est possible de se connecter directement à ICQ depuis Jabber par un systèmede passerelle, ce qui pourrait décider certains cybercriminels à continuer à utiliser ICQtout en bénéficiant de la sécurité et de la performance de Jabber.

Jabber a notamment fait parler de lui avec le cheval de Troie bancaire Zeus. L’une de sesversions nommée « JabberZeus » permettait d’envoyer au cybercriminel en temps réel

via un serveur Jabber les informations recueillies dans les ordinateurs compromis.

Communiquer via des forums présente des risques : ces supports peuvent à tout mo-ment être fermés par les autorités. Ils sont également régulièrement infiltrés par les ser-vices de police. Les administrateurs de forums mettent donc en place des réseaux paral-lèles sur Jabber pour organiser des conférences de façon permanente ou occasionnelle.

Le forum ci-dessous a par exemple créé son propre serveur sur Jabber et les membrespeuvent s’y rendre à tout moment.

Ces serveurs peuvent être privés ou ouverts à tous les membres d’un forum comme

l’illustrent ces deux exemples :

• Créé sur Jabber, le réseau ci-dessous n’est ouvert qu’aux modérateurs du forumet aux vendeurs « vérifiés ». « La conférence a été créée. […] Le mot de passe[…] n’est que pour les modérateurs et les vendeurs. Pour les autres, ce ne seraqu’après vérification. »

• La conférence ci-dessous est à l’inverse ouverte à tous les membres du forum.« On a discuté avec Corpse (super modérateur du forum) de la possibilité decréer une conférence sur Jabber et nous avons décidé qu’il était temps de seréunir et de discuter de tout ce qui est intéressant. La conférence aura lieu aujourd’hui, le 24/10/2010 à 21h, heure de Moscou. Le thème de la conférence :

discussions sur le matériel de carding , la programmation, les problèmes à venir,les informations récentes, l’échange d’expérience, etc. Toutes les informations

Figure 19 : Possibilité de notification par jabber du banker ZeuS

Figure 20 : Serveur Jabber privé d'un black market




au sujet de la réunion et le mot de passe seront publiée une heure avant le dé-but […]. »

Un serveur est particulièrement apprécié des cybercriminels : thesecure.biz. Sécurité etanonymat en sont les mots d’ordre. L’inscription est gratuite mais le site accepte volon-tiers les dons par Webmoney. Aucune information n’est disponible sur le ou les créateursde ce serveur mais des investigations permettent de relever deux éléments majeurs :

• Le site Internet, localisé en Allemagne, est hébergé par « Hetzner Online AG ».Cette société, bien connue des autorités, a déjà pu être reliée à plusieurs affairescybercriminelles : en 2009, lors d’une tentative d’hameçonnage des clients SFRet Neuf Télécom et en 2010 lors de l’envoi d’un cheval de Troie à Reporters SansFrontières par le biais d’un courriel ;

• Le nom de domaine a été enregistré par un certain « Sergey Ryabov », résidanten Russie. Plusieurs dizaines de sites web hébergeant des codes malveillantsont pu être directement associés à cette même personne.

Un outil indispensable : les checkers

Tous les shops sont équipés de « checker » qui leur permet de vérifier la validité d’unecarte. Les clients ne payant que pour des cartes utilisables, toutes les cartes déclaréesinvalides par le checker seront automatiquement remboursées sur le compte du client.Cette opération ne prend que quelques secondes sur le site et le client n’a pas la possibi-

lité de savoir de quel checker se sert l’administrateur.

Figure 21 : une conférence Jabber ouverte à tous

Figure 22 : un checker




Les checkers peuvent être des programmes informatiques ou des sites Internet privésayant des options d’utilisation plus ou moins étendues.

Il suffit de rentrer les 16 chiffres du numéro de la carte, la date d’expiration et parfois lecode secret (CVV) pour que la carte soit déclarée valide ou non. Une somme générale-ment comprise entre 0,01 et 3 $ peut être prélevée mais certains checkers s’en dispen-sent de peur de d'invalider la carte.

Certains checkers proposent en option de savoir quel est le montant maximal autorisépar la carte. Si le cybercriminel désire par exemple procéder à un achat de 2 000 eurossur Internet, il pourra ainsi demander une pré-autorisation de paiement afin de savoir si

le montant peut être supporté ou non. Tout à fait légal à l’origine, ce système est utilisédans de nombreuses professions (bijoutiers, magasins de luxe, location de véhicules…).

Autre option : le checker permet de savoir si une carte est vérifiée par Visa Verified ou

par Mastercard Secure Code. Selon le site Internet visé, le cybercriminel pourra en effetchoisir d’utiliser une carte non reliée au système de vérification utilisé. A noter que lescartes sont parfois directement vendues avec ces détails.

Ces deux dernières options (pré-autorisation de prélèvement et système de vérification

de la carte) intéressent au premier plan les cybercriminels qui achètent leurs proprescheckers .

Figure 23 : conditions d'utilisation d'un checker

Figure 24 : Checker logiciel




Les infrastructures : les serveurs bulletproof

Le premier souci des cybercriminels est l’anonymat. C’est la raison pour laquelle ils ontnotamment détourné le protocole DNS et utilisent l’architecture même d’Internet, unréseau de réseaux, pour mettre en place un dispositif leur garantissant anonymat et

haute disponibilité. Ce sont les serveurs dits « bulletproof », ou littéralement « àl’épreuve des balles ».

L’une des caractéristiques de ces serveurs est de proposer des hébergements sans sesoucier de l’utilisation qui sera faite de l’espace loué. Certains hébergeurs affichentmême fièrement leurs convictions sur leur page d’accueil : « We will never shut down, no

matter how many complaints we receive ». Autrement dit : « nous ne serons jamais dé-connectés, peu importe le nombre de plaintes que nous recevons ». Une garantie dont lavaleur est évidemment difficile à évaluer…

Un shop « vandalisé » par ses clients…

Un site de vente de numéros de cartes a récemment connu des problèmes ré-currents avec son checker . Les difficultés ont duré des semaines commel’illustrent les messages ci-dessous.

Le shop fut fermé à de nombreuses reprises et dut même faire face à une clien-tèle protestant contre les non-remboursements de certaines cartes non valides.Le 12 février 2011, une défaillance technique avec le checker amène au con-traire ce dernier à rembourser automatiquement les clients, y compris ceuxayant acheté des cartes valides.

Certains utilisateurs perçoivent la faille et vident littéralement le shop d’une

partie de ses cartes sans rien payer. L’administrateur est furieux : les clientsconcernés sont bannis du site et, à moins de rembourser, ne pourront plus yaccéder. Les adresses IP sont relevées afin de ne pas leur permettre d’ouvrir unnouveau compte sans s’acquitter de leur dette.

Figure 25 : Promotion d’un serveur bulletproof




Le protocole DNS a initialement été conçu pour faciliter la mémorisation d’adressesInternet. Pour se connecter à un site, il faut connaître son adresse IP. Or, le format de ces

adresses est loin d’être simple à mémoriser. Ainsi, le protocole DNS permet d’associer àune adresse IP une URL qui est plus littérale et plus facile à mémoriser qu’une suite dechiffres. Par exemple, l’adresse IP de Google 66.249.92.104 est associée à l’URLwww.google.fr.

Pour assurer la haute disponibilité de leurs ressources, les pirates ont utilisé les failles duprotocole pour associer plusieurs adresses IP à une URL. Derrière une seule et même URLse cachent ainsi de nombreux serveurs répartis dans le monde entier. C’est la techniquedu fast flux . Il est donc très difficile d’identifier ces serveurs et dès lors de les faire fermer.

Cette technique est notamment utilisée pour les campagnes de phishing . En hébergeantle site d’hameçonnage sur plusieurs serveurs accessibles via une même URL grâce au fast

flux , les fraudeurs accroissent fortement le temps de présence sur Internet du site mal-veillant. Cette continuité de service augmente ainsi proportionnellement leurs revenus.

Ils en profitent d’ailleurs parfois pour héberger d’autres types de contenus illicitescomme des images pédopornographiques ou des codes malveillants.

Une autre utilisation classique des serveurs bulletproof est la mise en place de serveursde C&C (control and command 1) pour contrôler les ordinateurs contaminés par un che-val de Troie. Grâce à ces serveurs, le pirate peut réaliser toutes les actions qu’il désire surles machines « zombies » tout en restant anonyme. Il va en particulier pouvoir voler sans

crainte les identifiants bancaires et les comptes mails de ses victimes.

Pour renforcer l’accessibilité et l’anonymisation des serveurs C&C, les pirates ont égale-

ment mis en place un maillage « upstream » qui camoufle au maximum les serveursmalveillants et leur assure une très bonne connectivité Internet. Avec cette architecture,

les serveurs bulletproof ne sont en fait pas directement connectés aux fournisseursd’accès à Internet mais à une série de serveurs, dit « upstream providers », qui sont con-nectés à Internet et interconnectés entre eux. Ces serveurs upstream sont tout à fait

légaux, si ce n’est qu’ils sont volontairement connectés aux serveurs bulletproof . Aucuneaction malveillante n’est directement diligentée depuis ces serveurs. Avec ce maillage, sil’un des serveurs « upstream providers » est déconnecté d’Internet, le serveur bulletproof sera toujours relié à la Toile via un autre serveur et sera de fait toujours en mesure decontrôler les serveurs C&C et les ordinateurs zombies. Cette technique rend encore plusdifficile la localisation des serveurs malveillants.

Figure 26 : Enregistrements DNS utilisant le Fast-Flux.

1 : Serveur C&C - Serveur utilisépar un pirate pour contrôler à

distance des ordinateurs qu’ilaura infecté. Ces serveurs luipermettent de renforcer son

anonymat.




Les ordinateurs contrôlés depuis les serveurs C&C du serveur bulletproof forment unbotnet . Profitant alors de plusieurs milliers, voire de plusieurs dizaines de milliersd’ordinateurs, les pirates peuvent lancer des attaques DDoS massives. Ces attaques con-naissent aujourd’hui un large succès. Au-delà des attaques DDoS à but économique,déjà bien connues, la force de frappe qu’apportent les serveurs bulletproof fait de cettetechnique une réelle arme de guerre. Des pirates d’origine russe n’ont pas hésité à lamettre en œuvre lors du conflit russo-géorgien de 2008.

Les serveurs bulletproof permettent donc d’industrialiser des techniques d’attaques déjàanciennes mais toujours efficaces. La tendance du marché est d’ailleurs la vente de solu-

tions clefs en main. Des utilisateurs n’ayant pas de compétences particulières en infor-matique peuvent ainsi, sans grandes difficultés, se lancer dans la cybercriminalité et entirer une source de revenus illégaux non négligeables, par exemple en louant un serveurdédié pour 250 $/mois chez spamhost.com, un célèbre serveur bulletproof , afind’héberger un site de phishing et de lancer des campagnes de spam via le service xru-mer. Les serveurs bulletproof contribuent donc clairement à l’émergence du CaaS ouCrimeware As A Service .

Figure 28: Service d’hébergement bulletproof.

Figure 27 : l’architecture proposée par un « upstream provider »




Lutter contre les serveursLutter contre les serveursLutter contre les serveursLutter contre les serveurs bulletproof bulletproof bulletproof bulletproof ---- Le cœur d’Internet est constitué de réseauxindépendants interconnectés les uns aux autres. Ces réseaux sont appelés Autonomous

System ou AS et sont répartis en trois catégories :

• Les Tier-1 : AS de niveau international. Ils s'interconnectent entre eux ou se con-nectent avec les Tier-2 les plus vastes soit directement soit via des Network Ac-

cess Point (NAPs).

• Les Tier-2 : AS de niveau national ou régional. Ils sont interconnectés entre euxet sont connectés aux AS Tiers-1 et 3.

• Les Tier-3 : AS de niveau local.

Les pirates ont déjà réussi à compromettre certains AS Tier-3 en prenant le contrôle desserveurs qui en dépendent. Ces « AS malveillants », qui sont par définition connectés àdes AS sains et légaux, contribuent ainsi au bon fonctionnement d’Internet en partici-pant au routage de l’ensemble des flux, qu’ils soient légitimes ou criminels.

Pour détecter ces AS corrompus, les mieux armés sont les FAI qui les gèrent. Ceux-cipeuvent par exemple surveiller les flux et détecter toute augmentation anormale dutrafic vers des plages d’IP qui appartiendraient à l’un d’eux.

Figure 29 : illustration d'un réseau avec des AS. Si seul l'ASXXX2 est malveillant, il fait transi-

ter de nombreux flux légitimes, en particulier tout ceux émis par, et à destination de l'ASXXX5

Figure 30 : localisation des serveurs malveillants identifiés par Malware Domain List durant le mois d’avril 2011




Mais après la détection et l’identification, toute la difficulté est de pouvoir déconnecterl’AS malveillant. Couper simplement les connexions des AS bulletproof identifiés auraiten effet une double conséquence. D'une part, cela bloquerait tous les flux entrants et

sortants de cet AS, y compris les flux légitimes. D’autre part, pour permettre aux fluxlégitimes d’atteindre la bonne destination, il faudrait revoir les tables de routage dechaque routeur afin de contourner l’AS qui aurait été banni d’Internet.

Une telle opération génèrerait donc des coûts très importants et risquerait de provoquerun ralentissement du trafic Internet mondial avec d’inévitables pertes de paquets, fautede table de routage à jour. De surcroît, les AS bulletproof hébergeant aussi bien descontenus malveillants que légaux, la mesure aurait également pour conséquence derendre définitivement inaccessibles certains contenus licites.




LES ACTEURS DES BLACK MARKETS

Entre goût du secret et besoin de publicité :

une criminalité schizophrène

Le comportement des cybercriminels peut dérouter tant il semble parfois inconstant etvariable. D’un côté, ils s’exposent à outrance sur la Toile et expliquent en détail les ru-diments de la fraude en ligne. Le ton est jovial et les questions des novices sont traitéesavec considération, la cybercriminalité étant perçue comme permettant à chacund’obtenir « sa part du gâteau »… Des « universités » apparaissent même sur le web avec

des programmes aux matières peu orthodoxes : introduction à la cybercriminalité (50 $),cours de scam (200 $), l’art de frauder les jeux en ligne (300 $), création de botnet (500 $).

D'un autre côté, la cybercriminalité cherche aussi la discrétion et le secret. La moindrequestion fera redouter la présence d’un policier infiltré et les sites seront fermés, rom-pant toute possibilité de prise de contact.

Voici par exemple quelques unes des recommandations d’un administrateur de black

market à ses membres : « ne communiquer à personne l’adresse du site et ne pas parlerde son existence, indiquer à l’administrateur tout site Internet où un commentaire seraitfait sur son black market ainsi que le nom de l’auteur du message ».

Figure 31 : « université » du cybercrime

Figure 32 : Message d’avertissement sur un forum




Ce comportement paradoxal ne s’explique pas simplement par la division existant entreles pirates novices, traditionnellement plus bavards, et la criminalité organisée, par es-sence plus discrète. Les cybercriminels aguerris aiment aussi s’exposer aussi bien pour

vendre leurs trouvailles au grand public que pour recruter des débutants pour certainesopérations.

Vaste réseau, la cybercriminalité fait appel à de multiples protagonistes mais le rôle etl’importance de certains d’entre eux sont méconnus. En matière de carding , on oublieainsi souvent le rôle clé joué par certains individus dans le vol « physique » de donnéesbancaires. Les liens entre cybercriminels et organisations mafieuses n’ont également jamais pu être établis avec certitude. De même qu’il est difficile de prouver le lien entrecertaines attaques informatiques et les services étatiques de tel ou tel pays régulière-ment montré du doigt.

Des « associations internationales de malfaiteurs »

Les cybercriminels opèrent rarement isolés. C’est pourquoi de multiples forums leurpermettent d’échanger et de trouver des partenaires pour des opérations précises. Par-tenaire d’un jour ne signifie d’ailleurs pas partenaire de toujours car le choix d’un com-plice n’est pas fondé sur des critères personnels mais techniques (son lieu de résidence

par exemple).

À l’instar d’un panneau affichant en temps réel les cours de bourse, les annonces défilenten continu sur certains forums afin d’identifier la ou les compétences manquantes àl’opération. La rapidité, voire l’instantanéité, sont fondamentales.

Les facteurs motivant les choix des cybercriminels dans leurs « partenariats » sont mul-tiples et complémentaires.

Le facteur de compétences

Même des actions simples requièrent de multiples compétences. Or un cybercriminel nepeut pas maîtriser tous les savoir-faire : piratage informatique, hébergement de serveurs,création de faux documents et de sites web, blanchiment d’argent, etc.

Les cybercriminels se spécialisent donc dans l’une ou l’autre de ces activités et préfèrentpartager leurs gains dans une opération réussie plutôt que de courir un risque d’échecen tentant de maîtriser toute la chaîne.

Dans une affaire récemment jugée aux Etats-Unis, un cybercriminel nommé Gonzalez

faisait ainsi appel au dénommé Maksik pour vendre les numéros de cartes qu’il avaitpiratées. Il avait également acquis un sniffer auprès de Stephen Watt (programmeur à

Figure 33 : Interface d'affichage d'annonces cybercriminelles en temps réel




Morgan Stanley) et avait collaboré durant deux ans avec des pirates d’Europe de l’Estafin de déchiffrer des codes PIN. Quant à la partie blanchiment d’argent, elle était géréepar un Américain du nom de Zaman.

Le facteur temps

Le fait que chaque cybercriminel soit affecté à un rôle précis diminue fortement la duréede réalisation de l’infraction.

Cette rapidité d’exécution est indispensable pour ne pas laisser le temps aux sociétés ouparticuliers visés de prendre conscience qu’ils ont été victimes d’une attaque informa-tique. Elle permet de plus de déplacer des liquidités en un temps minimal, ce qui réduitle risque de voir les autorités bloquer ces circuits financiers illégaux.

Le facteur risque

La réponse pénale peut être très variable selon l’activité à laquelle s’adonne un cyber-criminel, comme en témoignent les peines très hétérogènes prononcées aux États-Unisà l’encontre de Gonzalez et de ses complices.

• Stephen Watt, le créateur du sniffer ayant permis à Gonzalez de pirater des mil-lions de numéros de cartes de crédit, n’a été condamné qu’à deux ans de prison.Cet ingénieur informatique travaillait pourtant pour la banque d’investissementMorgan Stanley, ce qui aurait pu être considéré comme une circonstance ag-gravante. Il ne pouvait en outre ignorer l’utilisation qui serait faite de son sniffer .

• Gonzalez a été condamné à 20 ans de prison. Le hacker était déjà bien connu

des autorités et cette lourde peine ne fait que traduire la tolérance zéro desÉtats-Unis envers le piratage de données bancaires.

• Zaman, chargé de blanchir l’argent de Gonzalez, a été condamné à 46 mois deprison. Celui-ci bénéficiait d’une commission de 10% sur tous les bénéfices deGonzalez et travaillait lui aussi dans le secteur bancaire (Barclays Bank).

Les risques encourus expliquent que certains cybercriminels se refusent à réaliser eux-mêmes des opérations simples comme des retraits d’espèces avec des cartes bancairesfalsifiées. Le risque d’être identifié par les caméras de vidéosurveillance des distributeursautomatiques est élevé. D’où le recours à des « mules » chargées de recevoir des vire-ments bancaires ou des mandats Western Union. Ces dernières sont d’ailleurs souvent

présentées comme des victimes malgré les larges commissions qu’elles perçoivent.

Le facteur temps dans l’affaire Gonzalez

Le facteur temps apparaît clairement dans l’affaire Gonzalez. Dans l’extrait deconversation ci-dessous, ce dernier presse Maksik de vendre au plus vite lesdonnées piratées car il sait que la société Visa peut à tout moment identifier lesvictimes et bloquer les cartes. Or des cartes invalidées n’ont plus aucune valeuret représenteraient pour les deux comparses une importante perte financière.

[Gonzalez] visa knows [major retailer] is hacked[Gonzalez] but they don’t know exactly which stores are affected




Il n’existe donc pas forcément de corrélation entre l’importance du risque pénal et lemontant des bénéfices reçus. Chacun évalue le risque qu’il est prêt à courir et le montantde cette prise de risque même si des pourcentages-type peuvent être définis. Pour rece-

voir un virement bancaire sur son compte, le partage est ainsi généralement fixé à 50 %.

Pour les transferts provenant de Western Union ou Money Gram, les mules employéesperçoivent une commission de 8 à 10 % du montant total de la transaction. Pour le re-trait d’espèces à un distributeur automatique, la commission est, elle, comprise entre 50et 75 %.

Ces pourcentages peuvent cependant être très variables selon la fréquence des transac-tions entre les deux parties et le montant des opérations.

Le facteur géographique

Les cybercriminels ne sont limités par aucune frontière et peuvent viser le pays de leurchoix. La distance géographique ne constitue pas un frein mais un avantage car ellepermet de se protéger d’éventuelles poursuites, la coopération internationale étantencore restreinte en matière de lutte anti-cybercriminalité.

Il est cependant souvent nécessaire de faire appel à un complice dans le pays visé pourcertaines actions impliquant une présence physique (réception de marchandises, retraiten liquide de virements bancaires,etc.). Dans chaque forum, des rubriques sont ainsiconsacrées aux « offres et recherches d’emplois ».

Les forums Internet jouent donc clairement un rôle de facilitateur dans ces « associations

internationales de malfaiteurs ». Gonzalez a ainsi lié connaissance avec tous ses com-plices dans les forums, à l’exception de Stephen Watt qu’il connaissait dans le « monderéel ».

Figure 34 : Exemple de commission proposée à une « mule »

Figure 35 : Exemple de commissions en faveur d’une « mule » (Retrait d'espèces)

Figure 36 : la rubrique "offres d'emplois" d'un

black market




Des profils très variés

Qui se cache derrière ce nouveau business ? Les administrateurs des forums et shops ont-ils un profil type ? Trois exemples permettent d’illustrer la variété des acteurs impli-qués.

Exemple n°1 : le shop « professionnel »

En décembre 2009, un nouveau forum dédié au carding et au hacking voit le jour surInternet. L’objectif annoncé par ses créateurs est de se poser en nouveaux leaders car,selon eux, la qualité du marché cybercriminel sur Internet a chuté. Un an plus tard, lesadministrateurs du forum créent leur propre shop de carding .

Avantage clé : dans le shop , les numéros de cartes mis en vente ne seront que ceux né-gociés entre les administrateurs et les vendeurs déjà connus du forum. Le risque de

« ripping » est nul et il n’est pas nécessaire de partir à la recherche de vendeurs de cartesà bas prix. Le forum compte plus de 3 800 membres qui sont autant de clients potentielspour le nouveau shop . Un tel développement témoigne d’un véritable savoir-faire mar-keting.

Exemple n°2 : le shop « amateur »

A l’inverse, certains shops sont beaucoup plus amateurs dans leur manière des’organiser. Le site de carding ci-dessous achète des lots de cartes à n’importe qui etquelle que soit la quantité avec un partage des gains à 50/50.

Il est aussi possible de s’adresser directement à l’administrateur pour acheter des quanti-tés importantes de numéros sans passer par le site. L’appât du gain a même amené lesdirigeants à se « franchiser » en proposant à la vente le script de leur site pour des per-sonnes désirant ouvrir leur propre shop .

Figure 37 : annonce de création d'un nouveau shop dédié du carding

Figure 38 : Un shop "amateur"




Cette organisation artisanale ne signifie pas pour autant moins de bénéfices. Ce derniershop est très populaire et les utilisateurs lui ont donné bonne réputation.

Exemple n°3 : les « historiques »

Derrière certains black markets se cachent aussi des cybercriminels très connus. En no-

vembre 2010, un nouveau site de vente de numéros de cartes bancaires arrive sur laToile. Le nom de son créateur, « Smooch », ne passe pas inaperçu car ce dernier est uncybercriminel actif depuis 2002 et recherché au niveau international. Il s’est fait con-naître dans des forums tels que Carderplanet ou Shadowcrew pour des services demules et de blanchiment d’argent. Neuf ans plus tard, Smooch est toujours bien présent

à travers cette nouvelle activité.

Certains anciens de Shadowcrew ne sont pas aussi "chanceux" que Smooch. Un britan-nique de 33 ans d’origine sri lankaise s’est vu condamné à 56 mois de prison en mars2010 pour avoir animé un forum privé usité par plus de 2 500 cybercriminels. Pizzaiolo le jour et administrateur la nuit, Renukanth Subramaniam alias JiLsi, s’est fait repérer dansle cybercafé où il opérait pour mettre à jour son site. Trois ans d’enquête auront été né-cessaires au FBI pour le localiser. Cette conclusion de l’un des enquêteurs est révélatrice :« c’était l’un des dix meilleurs sites dans le monde mais il y en a plus d’une centaine que

nous connaissons et une autre centaine que nous n’avons pas encore découvert. »

L’ennemi numéro un des cybercriminels : le ripper

Les cybercriminels les ont en horreur et pour cause : il est difficile d’y échapper. Les rip-pers sont les cybercriminels doublement malhonnêtes : ils se font passer pour des ven-deurs légitimes ou montent de faux sites de black markets et disparaissent une foisl’argent encaissé.

Ils ne font en fait que profiter des failles inhérentes au commerce électronique : toutes

les transactions s’effectuent entre des personnes qui ne se connaissent pas dans le« monde réel ».

Figure 39 : Créer sa franchise de shop de carding

Figure 40 : Message d'alerte contre les rippers




Ce black market proposant à la vente des données bancaires est ainsi un faux. Aprèsavoir payé 100 $ d’inscription, le client s’aperçoit qu’il est impossible d’accéder au site.Ce cas est loin d’être isolé et de nombreux sites sévissent ainsi sur la Toile.

Les rippers sont présents à tous les stades de la cybercriminalité. Mais une solution a étémise en œuvre1 pour sécuriser les transactions : le recours aux « escrow services ». Un« escrow » peut être défini comme un tiers de confiance qui va permettre de finaliser unetransaction entre deux personnes n’ayant jamais traité ensemble auparavant.

Exemple : un hacker propose de vendre des numéros de cartes de crédits à un individu.Le hacker ne veut pas envoyer les numéros de cartes le premier car il a peur de ne pasêtre payé. Quant au client, il ne veut pas payer d’abord car il redoute que le hacker ne lui

envoie pas les numéros de cartes attendus. Afin d’éviter des discussions sans fin et mi-nimiser les risques de part et d’autre, l’escrow va prendre part aux termes de l’échange :le hacker va lui envoyer les numéros de cartes, le client l’argent. L’escrow s’assure alorsque les conditions de la transaction sont respectées. Une fois les vérifications terminées,il procède aux échanges. Dans la majorité des forums, des services d’escrow sont re-commandés directement par les administrateurs.

Dans l’exemple ci-dessous, le tiers de confiance se rémunère par un prélèvement de 5 %sur le montant total de l’échange.

1 : Les membres d’un forum ontgénéralement différents sta-tuts, ce qui permet théori-quement de reconnaître lespersonnes « dignes de con-fiance ». La majorité desmembres des forums possé-dant le statut d’invités, cela nepermet cependant pas derésoudre le problème desrippers .

Figure 41: Un cas de black market « ripper »

Figure 42 : Exemple d’un escrow service recommandé dans un forum.




L’ECONOMIE DES BLACK MARKETS

La cybercriminalité est une activité économique en pleine expansion. Au-delà de ceconstat global, est-il possible d’évaluer les revenus d’un cybercriminel ? Une estimationest-elle réalisable à partir d’une observation des black markets ? Autre question clé :comment s’effectuent les transactions financières propres à cette économie souterraine?

Si la cybercriminalité n’aurait pas pu se développer aussi rapidement sans les systèmesde monnaie virtuelle, les circuits classiques de blanchiment d’argent jouent égalementun rôle important.

L’affaire Gonzalez servira de fil conducteur à ces développements. Elle démontre en effetparfaitement le rôle spécifique de chacun des intervenants : hacking , vente de donnéesillicites et blanchiment d’argent.

Les profits des cybercriminels

Les profits générés par la cybercriminalité sont difficilement quantifiables car l’activitéd’un certain nombre de black markets est tout simplement impossible à évaluer, tant entermes de bénéfices réalisés que de volume de clientèle.

Certaines arrestations permettent a posteriori de découvrir les fortunes détenues parcertains cybercriminels. Mais l’analyse est biaisée et partielle puisque les profils étudiéscorrespondent aux acteurs ciblés par les autorités (hackers , administrateurs de forums

ou de sites de vente de données bancaires) et ne sont donc pas représentatifs del’ensemble des protagonistes.

Analyse à partir des affaires judiciaires connues

La presse relate régulièrement l’arrestation de cybercriminels et la manière dont ils sesont enrichis. Prenons par exemple la célèbre affaire Gonzalez et effectuons une compa-raison avec la vente de numéros de cartes bancaires qui est l’un des rares marchés dontles bénéfices peuvent être calculés en amont.

En 2007, Maksim Yastremskiy, plus connu sous le pseudonyme de Maksik, est arrêté enTurquie. Cet Ukrainien se fournissait régulièrement en numéros de cartes bancaires au-près d’un hacker américain, Gonzalez, qui à l’aide d’injections SQL et de sniffers a pu enobtenir des quantités très importantes. Maksik revendait ensuite ces données en gros ouau détail sur son site. Maksik et Gonzalez opéraient selon une clé de répartition 50/50 :environ chaque semaine, suivant la progression des ventes, la moitié des bénéfices étaitenvoyée à Gonzalez.

En quatre ans, Maksik a pu générer un revenu de onze millions de dollars à lui seul, ré-parti de la manière suivante :




Maksik est-il une exception ? De nombreux administrateurs de shops peuvent-ils fairedes bénéfices aussi considérables ? Les éléments ci-dessous résultent de l’observationd’un shop de taille moyenne durant un mois.

La méthode a consisté à relever le nombre de cartes proposées au début du mois de janvier 2011 et à la fin du mois, à calculer combien de cartes avaient été vendues et àrelever leur prix, celui-ci dépendant à la fois du pays et du type de carte (Visa, Master-card, AMEX…).

En un mois, 30 180 numéros de cartes ont été vendus pour un chiffre d’affaires total de193 752 $, soit 1 006 numéros achetés quotidiennement. L’existence de ce site remon-tant au minimum au 15 novembre 2009, il est possible d’évaluer les profits déjà réaliséspar le ou les propriétaires. Sur une durée de quatre ans, le site aurait donc pu générer

9 300 096 dollars, soit un revenu proche de celui de Maksik.

Historique de conversation ICQ de Gonzalez et Maksik

Cet enregistrement des conversations ICQ récupéré par les autorités améri-caines démontre que Gonzalez s’informait régulièrement auprès de son reven-deur Maksik de l’état de leurs finances :

[Gonzalez] ok good – do you have approximate amount total$ needed to be sent to me ?

[Maksik] well, because of some orders are pending, I can tellyou approximately

[Maksik] I have so far around 100k for you[Gonzalez] :)))[Maksik] and from what I have left, it should be around 15-20k

more[Gonzalez] I think selling this information is better for me

instead of dealing with cashers

Figure 44 : Estimation des revenus de cybercriminels

Figure 43 : Répartition des revenus de Maksik




Tous les sites n’ont cependant pas le même niveau d’activité, certains proposant à lavente un nombre bien inférieur de numéros de cartes. Un nouveau shop peut toutefoiscroître très vite. L’historique du site ci-dessous permet par exemple d’observer sa pro-

gression. Ouvert depuis le 10 décembre 2010, le site ne proposait à ses débuts « que » 1745 numéros de cartes. Le 27 janvier 2011, 4 570 numéros sont ajoutés, l’activité du sitecommençant à se développer. Le succès a ensuite été rapide car deux semaines plustard, 27 872 numéros supplémentaires étaient mis en ligne.

Evaluation à partir des prix observés sur les shops

Certaines activités cybercriminelles sont beaucoup moins connues. Leur rôle est pour-tant clé dans la chaîne cybercriminelle. Il s’agit par exemple de la fabrication de scans defaux documents officiels, de la recherche de dates de naissance, de numéros de sécuritésociale, de la réception de SMS ou d’appels téléphoniques, du piratage de boîtes mails,etc. Certains sites Internet sont exclusivement dédiés à ces services. Leurs prix sont gé-néralement assez élevés, comparativement à d’autres activités courantes des black mar-

kets .

Pour des scans de documents officiels, les prix varient par exemple de 25 à 100$, les plusdemandés étant ceux de cartes bancaires, de passeports, de factures attestant le domi-cile et de relevés bancaires pour une moyenne de 30 $ chacun. Le site enregistre lesinformations désirées par le pirate (nom, prénom, adresse, etc.) et les administrateurspiochent ensuite dans leur base de données des exemplaires de ces documents prove-nant de nombreux pays.

Autre exemple de « niche » cybercriminelle : la fraude aux compagnies aériennes. Cer-tains individus proposent de réserver en ligne des billets d’avion avec des numéros decartes obtenus frauduleusement. Les voyageurs rémunèrent le cybercriminel selon unpourcentage du prix total du billet (dans l’exemple ci-dessous pour 20 à 30 % du prix).

Figure 45 : Historique de l'approvisionnement d'un black market

Figure 46 : Listing de prix




Quels sont les revenus générés par ces activités ? Sont-ils plus élevés que ceux prove-nant de la vente de données bancaires ? La difficulté de l’exercice réside dans le faitqu’une part importante de ces transactions se fait généralement par ICQ, Jabber ou

courrier électronique et qu’aucune trace de cette activité n’apparaît ainsi sur le site webproprement dit.

Le faible nombre d’enquête complique encore singulièrement les choses. La relativeimpunité dont jouissent certains de ces sites est d’ailleurs inquiétante. Mais elle traduitune réalité : nombre de ces délits ne font l’objet d’aucune poursuite. Plusieurs raisonspeuvent être avancées : les victimes ne portent pas plainte ; le coût des enquêtes estparfois supérieur à celui de la fraude ; la coopération internationale est insuffisante ;

faute de disposer des moyens adéquats, les pouvoirs publics ont d’autres priorités, etc.

Un outil clé : la monnaie virtuelle

L’économie de la cybercriminalité doit prendre en compte deux contraintes majeures :toutes les transactions s’effectuent au travers des frontières entre des personnes devantrester anonymes et tout paiement doit être instantané car le moindre délai pourraitfaciliter la détection du délit.

La monnaie virtuelle a su répondre à ces deux contraintes. À l’instar d’une zone ou d’unecommunauté économique, les cybercriminels du monde entier se sont accordés sur

l’utilisation d’une, voire de deux monnaies exclusives afin de faciliter leurs échanges.

Définition

Qu’estQu’estQu’estQu’est----ce que la monnaie virtuellece que la monnaie virtuellece que la monnaie virtuellece que la monnaie virtuelle ???? ---- La monnaie virtuelle utilisée dans les marchésnoirs de la cybercriminalité – à ne pas confondre avec la monnaie virtuelle servant dansles jeux multi-joueurs en ligne sur Internet ou des simulations comme Second Life (quiutilise le Linden Dollar) – est une solution qui permet, grâce au porte-monnaie virtuel quis’y rattache, de réaliser des achats en ligne sans communiquer ses coordonnées ban-caires.

Le succès de la monnaie virtuelle Le succès de la monnaie virtuelle Le succès de la monnaie virtuelle Le succès de la monnaie virtuelle sur les sur les sur les sur les black markets black markets black markets black markets - Initialement prévue poursimplifier les transactions - légales - sur Internet (pour les internautes ne disposant pasde carte bancaire ou ne voulant pas l’utiliser), son utilisation présente des avantagesnon-négligeables pour le cybercriminel : simplicité, anonymat et opacité, fiabilité etsécurité.

La monnaie virtuelle la plus rencontrée actuellement dans les Black Markets est LibertyReserve. Son importance est telle que lorsque le site de la société ne fonctionne plus,c’est toute l’économie cybercriminelle qui s’en retrouve perturbée.

Dans le commentaire ci-dessous, un carder évoque ainsi la récente panne de LibertyReserve du 31 mars au 5 avril 2011 et le manque à gagner que cela représente pour lui.

« Je ne suis pas inquiet du tout de ne pas retrouver mon compte (Liberty Reserve)comme je l’ai laissé mais perdre du temps dans notre profession c’est perdre de l’argent.

Figure 47 : Fraude aux compagnies aériennes




C’est une leçon pour moi que de ne compter que sur une seule monnaie virtuelle. Je vaisretirer mon argent dès que possible et garder uniquement dans mon compte le montantnécessaire pour des opérations quotidiennes. Pour moi, carder , si je ne peux pas me

servir de Liberty Reserve pour acheter des dumps , cela va représenter d’ici le weekendune perte de 3000 à 4000$. »

Trois systèmes principaux

Le choix d’une monnaie est motivé par des critères précis : anonymat, instantanéité destransactions, possibilité de stocker ou de faire circuler de fortes sommes d’argent sansrestriction et sans plafonnement, absence de mesures de prévention contre le finance-ment d’activités criminelles ou le blanchiment de capitaux.

L’histoire de la cybercriminalité à été marquée par trois monnaies virtuelles : E-gold,Webmoney et Liberty Reserve.

EEEE----GoldGoldGoldGold ---- Très active entre 1996 et 2006, E-gold aurait pu rester la monnaie de référencedes cybercriminels si des ennuis avec la justice américaine n’avaient fortement perturbéson activité et fait fuir tous ses utilisateurs. Dès que les difficultés d’E-gold ont commen-cé, deux monnaies ont dès lors régulé le marché : Webmoney et Liberty Reserve.

WebmoneyWebmoneyWebmoneyWebmoney ---- Le succès de Webmoney, société implantée en Russie, a pendant long-temps reflété l’importance de la cybercriminalité dans cette région du monde. Mais latendance s’est récemment inversée. Avec la notoriété et un fort développement interna-tional, Webmoney s’est vu contraindre de réviser ses pratiques pour pouvoir conclure denouveaux contrats comme celui signé en décembre 2010 avec la société américaine« Steam » spécialisée dans la vente de jeux vidéo en ligne. La monnaie est donc en trainde disparaître de l’univers des cybercriminels. Un abandon douloureux à accepter par lescybercriminels, notamment russes et ukrainiens, qui manifestent leur ressentiment ausein des forums ou dans les shops comme le reflètent les deux copies d’écran ci-dessous.

Liberty ReserveLiberty ReserveLiberty ReserveLiberty Reserve ---- Avec le changement d’orientation stratégique de Webmoney, LibertyReserve est désormais l’unique monnaie de référence. La société est localisée au Costa-Rica, pays très peu coopératif et faisant partie de la liste noire des paradis fiscaux de

Figure 48 : Un carder évoque la panne Liberty Reserve

Figure 49 : Conséquences du changement de stratégie de Webmoney




l’OCDE. L’adresse du siège de la société indiquée sur le site Internet serait d’ailleursfausse et peu d’informations sont disponibles sur son fonctionnement.

Les deux propriétaires de la société opèrent en outre sous de faux noms. Le propriétaireofficiel, Amed Mekovar, se nommerait en réalité Ahmed Yassin, citoyen marocain pour-suivi dans son pays pour des délits relatifs au scam . Le véritable propriétaire serait en fait

Ragnar Danneskojold, de son vrai nom Vladimir Kats. Ce dernier est bien connu dans lemonde des monnaies virtuelles et de la justice américaine car il a été arrêté en 2006 pourblanchiment d’argent et exercice de la profession d’intermédiaire financier sans licence.Alors qu’il était à la tête de Goldage, site Internet d’échange de monnaies virtuelles, ilaurait transféré globalement au moins trente millions de dollars sans effectuer aucunevérification d’identité1.

Sauf difficultés imprévues, Liberty Reserve va très certainement s’imposer comme mon-naie de référence pour les cybercriminels pour une longue période. Ses dirigeants ont eneffet pour stratégie de refuser d’imposer une quelconque contrainte à leurs clients, quece soit en termes de vérification d’identité ou d’informations sur l’origine des fonds.

Liberty Reserve a d’ailleurs toutes les faveurs de son pays d’accueil qui bénéficie en re-

tour de ses largesses. En témoignent un don de plus de 80 000 dollars versé à l’Etat en2009 pour aider à la reconstruction du pays après un tremblement de terre, le sponso-ring d’une équipe locale pour un marathon et le soutien apporté aux orphelins et en-fants défavorisés en 2010. Un parallèle peut être effectué avec les mafias classiques quise préoccupent souvent des problématiques sanitaires et sociales afin d’avoir une meil-

leure implantation.

Un procédé d’utilisation simple et rapide

Grâce à Liberty Reserve, les cybercriminels peuvent effectuer des transferts d’argentinstantanés et anonymes. Chaque utilisateur n’est identifié que par un numéro (se pré-sentant sous la forme U1234567). Indiquer le numéro du bénéficiaire est l’unique forma-

lité exigée par Liberty Reserve lors d’un transfert et il est impossible pour les deux par-ties, comme pour les tiers, d’obtenir des renseignements complémentaires sur le titu-laire d’un compte.

Cette monnaie peut être utilisée soit dans le cadre de paiements automatisés (dans lesshops ), soit dans le cadre de paiements manuels (dans les forums).

Paiements automatisésSur le site de Liberty Reserve (cf. copie d’écran ci-dessous), une application gratuite per-met de doter son site web d’un système de paiement automatique.

Les achats de données frauduleuses ainsi que leur remboursement lorsque celles-ci sontdéfectueuses se font automatiquement. Il n’est en aucun cas nécessaire de faire appel àl’administrateur du shop .

Figure 50 : Système de paiement automatique LR

1 : Source : http://bit.ly/iQCgX4




Ce système a donc permis à la cybercriminalité de se développer rapidement puisqu’ilrend possible des ventes massives à un nombre important d’utilisateurs.

Webmoney propose d’ailleurs exactement la même application pour son service mais lasociété a fini par bloquer les comptes reliés directement à des shops . Il est en effet trèsaisé pour ces sociétés de contrôler le caractère frauduleux ou non des sites sur lesquels

leur application est installée.

Seuls quelques sites continuent de proposer Webmoney comme monnaie d’achatcomme ce shop qui propose d’accepter uniquement les paiements par Webmoney pourles clients importants.

Paiements manuels

Lorsque des cybercriminels se rencontrent dans des forums, ils prennent par la suite

contact sans intermédiaire par ICQ ou Jabber. Si une transaction doit se concrétiser, lecybercriminel qui désire vendre une donnée ou fournir un service indiquera à l’acheteurson numéro de compte Liberty Reserve et ce dernier pourra, en se connectant de sonpropre compte, lui transférer l’argent manuellement.

Ces transactions sont plus ponctuelles et concernent des opérations précises. En casd’association de cybercriminels pour une fraude précise, chaque intervenant sera parexemple rémunéré sur son compte Liberty Reserve s’il le souhaite.

Analyse du processus

La création de compte

OpacitéOpacitéOpacitéOpacité ---- Créer un compte sur Liberty Reserve est rapide, simple et n’exige aucune véri-fication d’identité. L’anonymat et l’opacité sont de rigueur. Liberty Reserve est très prisédes cybercriminels parce que ces critères se retrouvent à toutes les étapes d’utilisationdu service, de la création de compte à son approvisionnement, jusqu’à la réalisation d’unachat en ligne.

L’utilisation d’un VPN ou autre moyen d’anonymisation de la connexion permet de nelaisser aucune trace de son point de connexion. Les informations requises pourl’inscription ne sont pas vérifiées par les administrateurs du site. Les champs « First

Name » et « Last Name » peuvent être remplis avec des alias. L’adresse mail exigée pour-ra être créée pour l’occasion. Cette adresse servira de point de contact avec Liberty Re-serve qui y enverra des courriels de vérification, des codes, etc.

Figure 51 : Le paiement Webmoney est réservé aux gros clients




Une fois le compte validé, l’utilisateur obtient un numéro de compte (par exemple :U3346079) qui lui permettra d’effectuer des transactions avec d’autres individus dispo-sant eux-mêmes d’un compte Liberty Reserve.

SécuritéSécuritéSécuritéSécurité ---- Liberty Reserve enregistre les adresses IP des terminaux accédant au compte.Ainsi l’utilisateur peut surveiller l’historique de ses connexions et réagir à toute tentatived’intrusion. Une option permet de bloquer automatiquement le compte lorsqu’une IPinhabituelle est détectée. En cas de piratage, il est aussi possible de faire appel à un ser-

vice d’urgence qui va « geler » le compte et éviter à l’utilisateur de perdre ses gains parun transfert frauduleux. En effet, tous les virements effectués par Liberty Reserve sontinstantanés, définitifs et non remboursables.

Par conséquent, toutes les opérations se feront avec demande régulièred’authentification, combinant mot de passe, code PIN et « master key » (cf. copie d’écranci-dessous). Ces mesures visent à rassurer l’utilisateur sur la sécurité de son compte car,étant enregistré de façon anonyme, toute usurpation du compte ne pourra pas êtreprouvée et donner lieu à un dédommagement.

Figure 52 : Créer un compte Liberty Reserve

Figure 53 : Le numéro de compte Liberty Reserve




L’approvisionnementL’approvisionnementL’approvisionnementL’approvisionnement ---- Pour effectuer des achats, le compte Liberty Reserve devra êtreapprovisionné mais le site de Liberty Reserve ne permet pas d’alimenter son compte

directement. Pour ce faire, il faudra passer par un site Internet appelé « sociétéd’échange » qui alimentera le compte Liberty Reserve du client directement par un vi-rement de son propre compte Liberty Reserve.

Le moyen le plus usité est de payer directement la société d’échange par un voucher ouune carte prépayée. Il existe pour ce faire des services comme Ukash qui permettent,après paiement sur un site d’échange, d’obtenir un virement équivalent sur le compteLiberty Reserve.

D’autres options sont également disponibles mais intéressent moins les cybercriminelsen raison de leur lenteur.

Ukash et les sociétés d’échanges

Ukash est accessible dans plus de 15 000 points de vente situés principalement dans lesbureaux de tabac et les kiosques à journaux sur tout le territoire français. A l’échellemondiale, Ukash est disponible dans plus de 300 000 points de vente physiques etcouvre 29 pays.

L’achat d’un bon Ukash ne nécessite pas la présentation d’une pièce d’identité ets’effectue en argent liquide. Les utilisateurs peuvent acheter des codes pour des valeurs

allant de 20, 50, 100 à 200 euros. Pour utiliser l’argent ainsi converti, il suffit de saisir lecode du reçu papier sur le site où l’on souhaite effectuer la transaction.

Figure 54 : Les identifiants LR

Figure 55 : Bon Ukash




Très rapide, la conversion d’un bon Ukash en Liberty Reserve est dans la majorité des casinstantanée. Le site effectuant l’opération récupère une commission sur le montantchangé.

Exemple d’un site d’échange automatique : le client saisit le numéro du bon Ukash qu’ila acheté (voucher code ) ainsi que sa valeur (voucher value ). Il indique ensuite son numé-

ro de compte Liberty Reserve et la société procède à un virement instantané.

La réalisation d’achats en ligne

Une fois le compte approvisionné , , , , les transactions se réaliseront par échange de numé-ro de compte Liberty Reserve entre acheteur et vendeur. Il n’y a aucune possibilité deconnaître l’identité de la personne possédant le compte Liberty Reserve. Seuls les numé-ros de compte seront échangés.

De l’économie virtuelle à l’économie réelle :

le rôle des sociétés d’échanges

Les sociétés de monnaies virtuelles n’offrent pas à leur clientèle des services permettantde retirer directement les fonds contenus dans leur compte virtuel. Cette prestation estprise en charge par des « sociétés d’échanges » qui se sont spécialisées dans cette activi-té très lucrative.

Une société d’échange achète, vend ou convertit des monnaies virtuelles entre elles.Pour acheter ou vendre une monnaie virtuelle, les procédés utilisés, tant par la clientèleque par ces sociétés, sont les transferts bancaires, les dépôts ou retraits en liquide et lesenvois par Western Union ou MoneyGram. En matière d’échanges, ces sociétés peuventproposer sur leur site plus d’une dizaine de monnaies virtuelles et ainsi échanger selon lademande du client un montant de monnaie en Liberty Reserve contre le montant équi-valent en PayPal par exemple. Sur chaque opération réalisée, la société prélève une

commission pouvant parfois dépasser les 15 %.

Figure 56 : Conversion en Liberty Reserve




L’affaire Gonzalez a mis en évidence le rôle de ces sociétés d’échange : Maksik revendaitdirectement les données volées par Gonzalez dans son shop . Ce dernier proposait depayer automatiquement par Webmoney ou E-gold. Ces deux comptes de monnaies

virtuelles étaient donc la propriété de Maksik. Afin de reverser une partie des bénéfices àGonzalez, Maksik transférait une partie des sommes contenues dans ses comptes E-goldet Webmoney à une société d’échange. Cette société reversait ensuite à des mules em-ployées par Gonzalez aux États-Unis la somme échangée sous forme de virement ban-caire, mandat Western Union ou chèque postal.

Un marché florissant

Le marché des monnaies virtuelles s’est développé très rapidement sans que la règle-mentation ne suive. Les internautes sont d’ailleurs de plus en plus nombreux à utiliserces monnaies sur le web pour des achats tout à fait légaux, certains estimant le procédéplus sûr que la carte bancaire. C’est tout naturellement que ces nouveaux paiementsanonymes ont attiré les criminels. Certaines sociétés d’échange sont parfois poursuiviespar la justice pour blanchiment d’argent.

Dans la pratique, cette incrimination est cependant fragile, une société d’échange pou-vant difficilement contrôler l’origine des fonds qui lui sont transférés. Entre 2002 et 2005,la société d’échange Western Express International créée à New York avait par exempleséduit une clientèle d’origine russe qui s’est révélée être composée pour sa majeurepartie de cybercriminels. En quatre ans, 35 millions de dollars ont ainsi circulé à travers

les comptes de la société. Provenant de multiples fraudes, cet argent était renvoyé par lasociété en Russie par E-gold ou Webmoney. Les dirigeants de Western Express ont refuséd’être considérés comme les responsables de ces fraudes, arguant du fait qu’ils ne con-naissaient personnellement aucun des clients ayant eu recours à leur site1.

Conclusion

La monnaie virtuelle joue donc un rôle central dans le fonctionnement des black mar-

kets . Elle est insaisissable, difficile à tracer et permet aux cybercriminels, en leur garantis-sant l’anonymat, d’effectuer leurs transactions sans risque.

Mais les bénéfices des ventes sur les marchés noirs de la cybercriminalité ne restent paslongtemps virtuels. Le vendeur devra, pour récupérer le résultat de ses ventes, faire ap-pel à différents acteurs (mules, etc.). Ces derniers lui permettront, après plusieurs opéra-

Historique de conversation ICQ évoquant les taux de commissions

Dans cet extrait de conversation ICQ, les deux complices comparent les taux decommissions de plusieurs sociétés :

[Maksik] about egold – u want me to use an exachanger ? [sic][Gonzalez] how much will cost to do egold => wmz?

[Maksik] sec[Maksik] 1.00 E-gold (USD) 0.9223 WeMoney (WMZ)[Gonzalez] that’s cheap, is this reboxchange ?[Maksik] www.exchange.net.ua[Gonzalez] exchange.net.ua doesn’t have much wmz at times unless

you’re like premium customer[Maksik] robox have 10% for exchange

1 : Source : http://bit.ly/iXFSf7




tions financières, de passer de la monnaie virtuelle à la monnaie réelle et de renoueravec la criminalité classique.

Si elles sont fondamentales pour l’économie de la cybercriminalité, les monnaies vir-tuelles ne suffisent donc pas. Lorsqu’il faut convertir cet argent virtuel en monnaie réelle,les cybercriminels ont recours à Western Union et aux virements bancaires. La cybercri-

minalité rejoint dès lors la criminalité classique qui utilise aussi majoritairement ces deuxprocédés afin de blanchir l’argent issu d’activités frauduleuses.

Un recours aux moyens classiques du

blanchiment d’argent

Une grande partie de l’argent contenu dans les comptes de monnaies virtuelles descybercriminels sera perçue sous forme de mandats Western Union ou de virements ban-

caires. Cette phase devrait, en théorie, permettre aux autorités d’identifier les criminelscar ces opérations ne sont pas anonymes. Les opérations suspectes devraient aussi êtredétectées car les institutions bancaires et les agences Western Union sont tenues à desmesures de vigilance. Dans les faits, de nombreux manquements et un certain laxismeempêchent tout contrôle.

Il devient dès lors très complexe de remonter la succession d’opérations financièreseffectuées par un cybercriminel. À partir d’un compte Liberty Reserve totalement ano-nyme, un cybercriminel va par exemple faire appel à une société d’échange qui va luiacheter le contenu de son compte. Cette première phase de blanchiment permet dedissocier l’argent sale du délit. La société d’échange, en renvoyant l’équivalent du mon-tant par virement bancaire ou mandat Western Union, permet au cybercriminel de don-

ner une origine économique vraisemblable à cet argent. Son identité réelle reste égale-ment totalement dissimulée dans cette deuxième étape de blanchiment grâce à demultiples possibilités de fraudes. Il ne reste plus au cybercriminel qu’à réinjecter cessommes d’argent dans l’économie réelle et légale.

Western Union

Western Union est une société financière basée aux Etats-Unis. Disposant d’environ270 000 points de présence dans plus de 200 pays, elle permet l’envoi instantané

d’argent liquide à travers le monde.

Le fonctionnement de la société est simple : une personne résidant dans un pays A serend dans un point Western Union et indique le nom, prénom et pays du bénéficiaire.Elle remet à l’agent Western Union le montant en liquide qu’elle désire faire parvenir aubénéficiaire résidant dans un pays B. Le bénéficiaire peut immédiatement se rendre dansune agence de son pays pour y retirer ce montant en l iquide.

Chaque agent doit normalement vérifier l’identité de ses clients et il existe des restric-tions à l’envoi et à la réception (pour un envoi ou une réception, la limite en France estd’environ 7 600 euros par jour et par personne).

Dans la pratique, ces règles ne sont pas toujours respectées car Western Union permet àn’importe quel commerçant de devenir un agent agréé, les seules conditions imposéespar la société étant de disposer d’un ordinateur et d’une connexion Internet.




Western Union a cependant pris soin de se dégager de toute responsabilité quant auxactivités de ses agents. En matière de lutte contre le blanchiment d’argent, chaque pointde vente est ainsi personnellement responsable, Western Union n’imposant aucune

contrainte ni surveillance. La société l’explique clairement sur son site Internet :

Avec une politique si permissive, certains agents Western Union ne respecteraient doncpas toutes les règles et deviendraient donc complices volontaires ou involontaires des

cybercriminels.

Dans ce shop , il est par exemple possible d’acheter des numéros de cartes bancaires parLiberty Reserve ou Western Union. Il suffit d’indiquer sur la page ci-dessous le montantque l’on désire envoyer par Western Union.

Le site redirige alors automatiquement le visiteur vers les coordonnées d’un bénéficiaireau Vietnam.

Depuis de nombreux mois, cette personne est l’unique destinataire de tous les envoispar Western Union des clients du shop . Les transferts sont tous encaissés en moins d’uneheure, ce qui laisse supposer la complicité directe d’un agent sur place.

Les vérifications d’identités, en théorie obligatoires, ne sont pas non plus respectées.

Dans le forum ci-dessous, un Ukrainien propose ainsi d’encaisser des mandats Western

Figure 57: Politique de Western Union en matière de lutte contre le blan-

chiment d'argent

Figure 58 : Choix de Liberty Reserve ou Western Union

Figure 59: Le bénéficiaire du paiement est au Vietnam




Union sous n’importe quel nom, réel ou fictif. Cette personne a donc potentiellementcorrompu un agent Western Union, sauf à imaginer qu’il en soit lui-même un.

À noter qu’il n’est pas indispensable de bénéficier de la complicité directe d’un agentWestern Union. Un cybercriminel indique par exemple sur le forum ci-dessous avoir étéinterdit dans une agence car il avait dépassé la limite légale autorisée pour des trans-ferts. Il lui a suffit de se rendre dans une autre agence et de continuer ses transferts maisavec un faux passeport. Les agences Western Union n’étant pas astreintes aux mêmesrègles, il suffirait donc de se rendre dans les plus permissives.

Sur les onze millions de bénéfices de Maksik, plus de 4 800 000 dollars étaient issus demandats Western Union…

Les circuits bancaires traditionnels

Les opérations de blanchiment d’argent sont traditionnellement associées aux paradis

fiscaux.

Le pays le plus recherché par les cybercriminels, tant pour effectuer des attaques infor-matiques que pour faire transiter des flux financiers illicites, n’apparaît cependant suraucune liste noire de l’OCDE. Aussi étonnant que cela puisse paraître, il s’agit des États-Unis car sur les 50 États qui les composent, une dizaine bénéficie de législations trèspermissives, les plus libéraux étant le Delaware, la Californie, la Floride et l’État de New

York. Le rôle de ces Etats a régulièrement été dénoncé, notamment par un office duMinistère américain du Trésor (FinCEN) en raison de leurs législations sur la création desociétés à responsabilité limitée. Il est en effet possible à n’importe quelle personne,résidant hors ou aux États-Unis, de créer sa propre société en 24h sur Internet.

Dans l’exemple ci-dessous, il est possible de créer une société en ligne en quelques clics.Il suffit de choisir un État américain et de remplir un formulaire. La création d’une sociétéau Delaware coûte ainsi 129,25 $.

Figure 60 : Proposition d’encaissement de mandats WU sans n’importe

quel nom, réel ou fictif

Figure 61 : Problème rapidement résolu avec une agence Western Union




Ces sociétés écrans sont légalement enregistrées par un agent sur place qui n’est as-treint à aucune responsabilité, que ce soit en termes de surveillance d’éventuelles activi-tés illicites ou de signalement aux autorités en cas de soupçons. Quatorze États, du faitde leurs législations, permettent à ces sociétés fictives de garder secret le nom de leursmembres ou propriétaires.

Une fois la société enregistrée, l’agent ouvre un compte bancaire aux Etats-Unis pourson client. Ce compte bancaire ne sert généralement que de relais : beaucoup des vire-ments effectués transitent par la suite vers des succursales de banques internationales à

New York puis sont rapatriés vers l’étranger (la Russie et la Lettonie sont les principauxpays bénéficiaires).

Une fois arrivé à destination finale, l’argent est totalement blanchi : la société écran per-met de faire passer ces numéraires pour des revenus issus d’une activité économiqueréelle et la succession de virements bancaires internationaux ne permet pas de remonterà la source.

Maksik, le vendeur de numéros de cartes bancaires ukrainien, possédait ainsi descomptes bancaires en Lettonie dont l’un contenait une partie des bénéfices revenant àGonzalez. Il permettait en effet à ses clients de confiance de le payer directement parvirements bancaires, les autres étant astreints à payer par monnaie virtuelle.

Gonzalez, pour rapatrier ses fonds aux États-Unis, faisait appel à Humza Zaman. Cethomme était chargé d’ouvrir plusieurs comptes en banques aux États-Unis sous desidentités fictives puis, une fois les ordres de virements effectués par Maksik de soncompte letton, Zaman allait retirer cet argent en liquide à des distributeurs automa-tiques.

Tous les retraits effectués par Zaman n’ont pas pu être décelés. Il s’est rendu plusieursfois à San Francisco et New York pour y récupérer de l’argent liquide appartenant à Gon-zalez (50 000 et 370 000 $) mais les autorités n’ont pas pu déterminer la traçabilité de cesfonds.

La situation en Europe apparaît beaucoup moins chaotique. Un projet du Conseil euro-péen des paiements risque pourtant de déstabiliser l’équilibre existant. Baptisé « Single

Euro Payments Area » ou SEPA, ce texte vise à harmoniser les moyens de paiements dansune Europe élargie à 32 États.

Deux mesures apparaissent particulièrement préoccupantes :

• La nouvelle façon dont les prélèvements automatiques seront autorisés faitcraindre un important risque de fraude internationale, équivalent à celui inhé-rent aux cartes bancaires. Le débiteur perdra en effet l’initiative d’autoriser unedemande de prélèvement : c’est le créancier qui, sur simple requête, demande-

ra à sa banque d’effectuer le prélèvement en débit immédiat. La seule informa-tion nécessaire pour réaliser cette opération sera de connaître le numéro IBAN(International Bank Account Number ) et BIC (Bank Identifier Code ) du compte

Figure 62 : Création d’une société en ligne dans l’Etat du Delaware




du débiteur. De nombreuses associations de consommateurs jugent cette in-formation insuffisante en termes de sécurité. Cette mesure sera définitivementmise en place en 2014 mais les responsables européens devraient se préoccu-

per fortement de cette question car les cybercriminels s’intéressent déjà de prèsau SEPA. La future activité nouvelle des black markets pourrait bien être lavente de numéros IBAN et BIC.

• Le virement SEPA est une autre mesure permettant de faciliter les transfertsbancaires en Europe. Déjà opérationnel, ce virement peut être effectué en lignesur plusieurs sites Internet de banques françaises (LCL, Monabanq, Boursorama).En 2012, chaque virement devra être traité en 24h. Or le SEPA regroupe plu-sieurs États considérés comme des paradis fiscaux ou des centres financiersoffshores : le Luxembourg, Malte, la Suisse, Monaco et Chypre. Le fait qu’il soittrès aisé de créer une société ou d’ouvrir un compte bancaire sur Internet dansces pays européens risque de multiplier les fraudes concernant le secteur ban-caire mais aussi de faciliter le blanchiment d’argent. À noter que le virement SE-PA est déjà utilisé par les cybercriminels qui se tiennent très informés des nou-

velles règlementations.

Ces nouvelles mesures pourraient donc contribuer à un essor rapide de la cy-bercriminalité en Europe. La dématérialisation du contact entre client et banqueet l’accélération des flux financiers génèrent un phénomène « boule de neige »qui est en contradiction totale avec les règles de bon sens préconisées par lesexperts économiques depuis des années.

Synthèse

La cybercriminalité est entretenue et facilitée par un ensemble d’outils. Au plan tech-

nique, les hébergeurs bulletproof fournissent les moyens logistiques. Au plan financier,les systèmes de monnaie virtuelle et les sociétés d’échange font le lien entre économievirtuelle et économie réelle.

Hackers

Développeurs de

malwares

Phishing

Money Mule

Carders

Cybercriminels

Hébergeurs

bulletproof

Infrastructure support

Économie virtuelle

Approvisionnement

black markets

Shops et forums :

véritables plaques

tournantes de la

cybercriminalité

Economieréelle

Les flux financiers de la c bercriminalité




QUELLES REPONSES ?

Au plan français

Panorama des acteurs

L’Agence nationale de la sécurité des systèmes d’informationL’Agence nationale de la sécurité des systèmes d’informationL’Agence nationale de la sécurité des systèmes d’informationL’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été créée parle décret n° 2009-834 du 7 juillet 2009, succédant ainsi au Service central de la sécuritédes systèmes d’information (SCSSI) puis à la Direction centrale de la sécurité des sys-tèmes d’information (DCSSI) instituée en 2001. Elle est, depuis le décret n° 2011-170 du11 février 2011, l’autorité nationale en matière de défense des systèmes d’informationfrançais et « elle décide les mesures que l'Etat met en œuvre pour répondre aux crisesaffectant ou menaçant la sécurité des systèmes d'information des autorités publiques etdes opérateurs d'importance vitale »1.

La Commission nationale de l'informatique et des libertésLa Commission nationale de l'informatique et des libertésLa Commission nationale de l'informatique et des libertésLa Commission nationale de l'informatique et des libertés (CNIL) est une autoritéadministrative indépendante garante du respect de la vie privée et des libertés sur In-ternet. Créée par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers etaux libertés, cette autorité dispose d’un pouvoir de contrôle, de sanction, d’alerte et deconseil des particuliers, des entreprises et des administrations.

L’OCLCTICL’OCLCTICL’OCLCTICL’OCLCTIC (l’Office Central de Lutte contre la Criminalité liée aux Technologies del’Information et de la Communication), créé par décret interministériel du 15 mai 2000au sein de la DCPJ, remplit deux missions opérationnelles : mener des enquêtes en ma-tière de crime numérique (surtout en matière de piratage, de fraudes aux cartes ban-caires et d’escroqueries) et assurer une assistance technique des autres services de po-lice et de gendarmerie. À coté de ces missions opérationnelles, l’Office assure des mis-sions qualifiées de « stratégiques » telles que la veille documentaire continue en matièrede nouvelles menaces, la formation d’enquêteurs spécialisés, les Investigateurs en Cy-bercriminalité (ICC), et la coopération internationale. L’Office gère également les signa-lements de contenus illicites grâce à la plateforme PHAROS (qui sera bientôt coordon-née à l’échelle européenne par Europol et ses homologues du Royaume-Uni, des Pays-Bas, de l’Italie et de la Roumanie) et réalise les interceptions judiciaires.

L’OCRVPL’OCRVPL’OCRVPL’OCRVP (Office Central de Répression des Violences aux Personnes) joue un rôle essen-

tiel dans la lutte contre la diffusion d’images pédopornographiques sur Internet.

La BEFTILa BEFTILa BEFTILa BEFTI (Brigade d’Enquête sur les Fraudes aux Technologies de l’Information), unitédépendant de la Direction régionale de la police judiciaire de Paris, assure deux missionsprincipales : l’assistance technique des autres services d’enquête et la réalisationd’enquêtes grâce à la présence de nombreux ICC. Si sa compétence se limite en théorie àParis et sa petite couronne, certaines affaires lui sont attribuées par défaut, lorsque lacompétence territoriale est incertaine.

La DCRILa DCRILa DCRILa DCRI (Direction Centrale du Renseignement Intérieur) dispose d’un pôle consacré à lacybercriminalité. Ses policiers, habilités secret défense, peuvent traiter d’affaires exi-geant l’habilitation secret défense ou confidentiel défense (ministères, administrations,

etc.). Ce pôle est régulièrement amené à travailler tant avec l’OCLCTIC qu’avec l’IRCGN.

1 : Décret n° 2011-170 du 11février 2011 modifiant le décretn° 2009-834 du 7 juillet 2009portant création d'un service àcompétence nationale dé-nommé « Agence nationale dela sécurité des systèmes d'in-formation »




L’IRCGNL’IRCGNL’IRCGNL’IRCGN (Institut de Recherche Criminelle de la Gendarmerie Nationale), laboratoire depolice scientifique de la gendarmerie, et le STRJD (Service Technique de RecherchesJudiciaires et de Documentation), mènent l’action de la gendarmerie en matière de lutte

contre la cybercriminalité. L’IRCGN réalise trois missions principales :

• Examens et expertises dans le cadre d’investigations judiciaires, à la demande

de la gendarmerie ou de magistrats,

• Formation des techniciens et des enquêteurs,

• Veille technologique et recherche en matière de développement etd’amélioration des techniques d’investigation.

Le STRJD possède pour sa part une division spécialisée dans la lutte contre la cybercri-minalité, la DLC, et centralise les données qui lui sont transmises par les unités de gen-darmerie nationale. Il est, depuis 1994, chargé de la police du réseau Internet et de lalutte contre la cybercriminalité.

La cyberdouaneLa cyberdouaneLa cyberdouaneLa cyberdouane ---- Depuis 2009, la Douane dispose d’un service, la cellule « cyber-douane » agissant pour la lutte contre la fraude sur Internet

Les JIRSLes JIRSLes JIRSLes JIRS ---- Les magistrats se spécialisent eux aussi dans la lutte contre la cybercriminalité.Certaines affaires (concernant les atteintes aux STAD, mais aussi quelques atteintes auCode monétaire et financier) sont confiées à des Juridictions Interrégionales Spéciali-sées, les JIRS. Leur activité est importante : dans leur premier bilan1, plus du tiers desaffaires économiques et financières concernent des escroqueries complexes liées à lafalsification de cartes bancaires. Et 82% des affaires traitées disposent d’un élémentd’extranéité.

L'ObservatL'ObservatL'ObservatL'Observatoire de la sécurité des cartes de paiementoire de la sécurité des cartes de paiementoire de la sécurité des cartes de paiementoire de la sécurité des cartes de paiement a été créé par la loi n° 2001-1062du 15 novembre 2001 relative à la sécurité quotidienne. Cet observatoire assure nonseulement une veille technologique mais est également chargé de mettre en œuvre desmesures de renforcement de la sécurité des cartes bancaires et d’établir des statistiquesen matière de fraude2.

Le Club de la Sécurité de l'Information FrançaisLe Club de la Sécurité de l'Information FrançaisLe Club de la Sécurité de l'Information FrançaisLe Club de la Sécurité de l'Information Français (CLUSIF) est une association indépen-dante d’entreprises et de collectivités agissant pour la promotion de la sécurité del’information. Cette association s’organise en groupes de réflexions portant sur la ges-tion des incidents, la cybercriminalité ou encore, plus généralement, les politiques desécurité.

Cadre juridique

Le Droit pénalLe Droit pénalLe Droit pénalLe Droit pénal ---- Le droit pénal français bénéficie d’un large panel de textes incriminantles comportements des cybercriminels.

La loi GodfrainLa loi GodfrainLa loi GodfrainLa loi Godfrain ---- Pour permettre au droit pénal d'appréhender les phénomènes de pira-tage informatique, la France s'est dotée le 5 janvier 1988 de la loi relative à la fraudeinformatique dite « loi Godfrain ». Cette loi, codifiée aux articles 323-1 et suivants dunouveau code pénal, permet de sanctionner plusieurs comportements placés en amontou en aval de l'iter criminis de l'acte de piratage.

1 : AJP Dalloz, mai 2010, Pre-mier Bilan des JIRS.

2 : Son rapport annuel est

disponible à l’adresse sui-vante : http://bit.ly/jFZV5W




• L'article 323-1 sanctionne le simple accès frauduleux à un Système de Traite-ment Automatisé de Données.

• Ce même article sanctionne ensuite de façon autonome le maintien frauduleuxdans un STAD (de cette façon, même si l'accès est régulier, le maintien peut re-vêtir un caractère irrégulier en lui-même).

• Sont sanctionnés les actes préparatoires, à travers l'article 323-3-1 du Code pé-nal, visant la détention d’un virus ou la fourniture de moyens permettant lacommission de l'une des infractions prévues par le dispositif Godfrain.

• Est ensuite sanctionnée la simple participation à un groupe criminel « en vue dela préparation » d'une de ces infractions.

• Le commencement d'exécution interrompu involontairement est expressémentvisé par l'article 323-7 du même code qui sanctionne la tentative des délits d'at-teinte à un système de traitement automatisé de données (STAD).

• Enfin, sont sanctionnées l'introduction et la suppression de données dans unSTAD, que l'accès qui les a précédé ait été frauduleux ou pas.

LaLaLaLa fraude à la carte bfraude à la carte bfraude à la carte bfraude à la carte bancaireancaireancaireancaire est une source majeure d’approvisionnement des black

markets . Cet acte est sanctionné par l’article L163-4 du code monétaire et financier quiprévoit sept ans d’emprisonnement et 750 000 euros d’amende pour le fait de contre-faire ou de falsifier une carte de paiement ou de retrait, de faire ou de tenter de faireusage, en connaissance de cause, d’une carte bancaire contrefaisante ou falsifiée, etenfin le fait d’accepter délibérément de recevoir un paiement au moyen d’une de cescartes.

La collecteLa collecteLa collecteLa collecte frauduleuse de données à caractère personnelfrauduleuse de données à caractère personnelfrauduleuse de données à caractère personnelfrauduleuse de données à caractère personnel ---- L’article 226-18 du codepénal vise « le fait de collecter des données à caractère personnel par un moyen fraudu-

leux, déloyal ou illicite » et sanctionne cet acte par cinq années d’emprisonnement et

300 000 euros d’amende. Cet article pourra concerner la collecte de données bancaires(cartes bancaires, comptes bancaires en ligne), de pièces d’identité, d’identifiants demessagerie électronique, et de toute autre donnée dès lors qu’elle peut être considéréecomme une donnée à caractère personnel.

Nécessité de réciprocité d’incriminationNécessité de réciprocité d’incriminationNécessité de réciprocité d’incriminationNécessité de réciprocité d’incrimination ---- Mais pour que ces textes soient applicables,il faut que la juridiction française soit clairement compétente. La cybercriminalité, enraison de son caractère transfrontalier et mondial bouleverse le principe de la territoriali-té de la loi pénale. Selon l’article 113-2 du code pénal, la loi française est applicable dès

lors que l’un des faits constitutifs de l’infraction a lieu sur le territoire français. Et la locali-sation des serveurs à partir desquels sont diffusés les éléments susceptibles de consti-tuer une infraction a un impact moindre sur la compétence juridictionnelle française. Eneffet, dans un arrêt du 29 mars 2011, la chambre commerciale de la Cour de cassation apu affirmer que le juge français n’est compétent que lorsque le contenu du site concernéest « orienté vers un public français ». Cette décision s’inscrit dans le droit fil de l’arrêt dit« Hugo Boss »1 qui prévoit quatre critères permettant de retenir la compétence du jugefrançais : le site doit être en langue française, accessible depuis la France, doit explicite-ment viser les internautes français et doit proposer la livraison de ses produits sur leterritoire français. L’article 113-6 du code pénal prévoit une autre condition àl’applicabilité de la loi française : que le crime ou délit commis à l’étranger soit puni à la

fois par la loi française et par la loi du pays où il a été commis.

1 : Cass. comm. 11.01.2005,Bulletin 2005 IV N° 8 p. 8




Les textes de procédure pénale.Les preuves de la commission d’une infraction sur ou par Internet sont souvent numé-riques. Or la preuve numérique est souvent périssable, volatile, voire insaisissable. Ils’agit d’historiques de navigation sur le Web, d’historiques de conversation via message-rie instantanée, de logs de connexion, d’images, de fichiers textes, d’adresses IP, de don-

nées Whois, etc. Des éléments qui, bien que dématérialisés, sont indispensables au bondéroulement de l’enquête. Pour obtenir toutes ces données, l’enquêteur devra disposer,en plus des techniques traditionnelles d’investigation, d’outils adaptés au cyberespace.

L’infiltration numériqueL’infiltration numériqueL’infiltration numériqueL’infiltration numérique ---- L’infiltration numérique permet, selon l’article 706-81 ducode de procédure pénale, à des enquêteurs spécialement habilités de « surveiller des

personnes suspectées de commettre un crime ou un délit en se faisant passer, auprès de

ces personnes, comme un de leurs coauteurs, complices ou receleurs ». Ce procédé nepeut être utilisé que pour les enquêtes concernant les infractions listées par l’article 706-73 du même code. Utilisée dans la lutte contre les black markets , elle autoriseraitl’enquêteur à recourir à une fausse identité et, par exemple, à acquérir ou vendre desproduits tels que ceux que l’on retrouve sur les marchés noirs de la cybercriminalité.

Les «Les «Les «Les « hhhhoneypotsoneypotsoneypotsoneypots »»»» ---- Dans le cadre de la lutte contre les cybercriminels, il est possible des’interroger sur la pertinence de l’utilisation de honeypots ou « pots de miel ». Ces ho-

neypots sont des leurres : ordinateurs, serveurs, ou programme laissés volontairementvulnérables afin d’attirer et de piéger les hackers. Ce leurre permet d’observer le modeopératoire du hacker et, par la même, de récupérer ses coordonnées. La légalité del’utilisation de ce procédé par l’enquêteur est toutefois discutable. En effet, en vertu duprincipe de loyauté de la preuve pénale, le policier ne peut provoquer la commissiond’une infraction. Tout élément de preuve obtenu de cette façon sera irrecevable. Ceprincipe a été rappelé par la Chambre criminelle de Cour de cassation dans un arrêt du 4 juin 2008 (Bulletin criminel 2008, n°141). En l’espèce, un ressortissant français avait été

identifié suite à sa connexion à un site contenant des images pédopornographiques. Orce site avait été monté de toutes pièces par l’unité de criminalité informatique de lapolice de New York dans le but d’attirer les pédophiles. Dans cette affaire, la Cour a dé-claré irrégulières et donc irrecevables ces preuves, considérant qu’elles avaient été ob-tenues par provocation policière. Ce raisonnement peut trouver à s’appliquer dans le cas

du honeypot.

Il faut rappeler que seul l’officier de police judiciaire est soumis au principe de légalité dela preuve. La partie privée bénéficie quant à elle d’une jurisprudence clémente. Dans unrécent arrêt du 27 janvier 2010 (pourvoi n°09-83.395), la Cour de cassation a rappeléqu’ « aucune disposition légale ne permet aux juges répressifs d’écarter des moyens de

preuve remis par un particulier aux services d’enquête, au seul motif qu’ils auraient été

obtenus de façon illicite ou déloyale ».

Les interceptions de communicationLes interceptions de communicationLes interceptions de communicationLes interceptions de communication - Il est possible pour l’officier de police judiciairede procéder à l’interception de communications sur Internet. Ce procédé, visant les cor-respondances privées, est décrit aux articles 100 et suivants du code de procédure pé-nale. Au moyen d’une dérivation sur la ligne de l’internaute suspecté ou avec le con-cours de l’opérateur Internet ou de téléphonie mobile, l’enquêteur « interposera » unprocédé d’enregistrement des conversations. Ce procédé pourra par exemple être unsniffer.

La capture de données informatiques à distanceLa capture de données informatiques à distanceLa capture de données informatiques à distanceLa capture de données informatiques à distance ---- La Loppsi a inséré dans le code deprocédure pénale un nouvel article 706-102-1 permettant la capture de données infor-

matiques à distance. Ainsi, l’officier de police judiciaire pourra « sans le consentementdes intéressés », accéder aux données informatiques « telles qu'elles s'affichent sur un




écran pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'illes y introduit par saisie de caractères ».

La perquisition et la saisie informatiquesLa perquisition et la saisie informatiquesLa perquisition et la saisie informatiquesLa perquisition et la saisie informatiques ---- Dans la plupart des enquêtes, qu’ellessoient classiques ou qu’elles relèvent de la cybercriminalité pure, les policiers et gen-darmes seront régulièrement amenés à perquisitionner et à saisir des ordinateurs ou des

périphériques de stockage. Ce sera d’autant plus nécessaire pour les enquêtes impli-quant des black markets . Leurs utilisateurs, s’ils ne se sont pas « anonymisés » via destechniques spécifiques, laissent en effet des traces de leur passage sur ces sites. Destraces qui ne sont souvent accessibles que suite à la perquisition et saisie de terminauxinformatiques (ordinateurs, tablettes, smartphones…).

C’est l’article 56 al. 5 du code de procédure pénale qui permet la perquisition de don-nées informatiques. L’enquêteur procédera « à la saisie des données informatiques né-

cessaires à la manifestation de la vérité en plaçant sous main de la justice soit le support

physique de ces données, soit une copie réalisée en présence des personnes qui assis-

tent à la perquisition » . Ainsi, la saisie informatique pourra être complétée par la saisie du

support physique des données (disque dur, etc.).

Le droit de perquisitionner a dû s’adapter aux évolutions de l’informatique, et le déve-loppement constant du cloud computing , ou « informatique dans le nuage », oppose àce droit sa seule limite légale. Le cloud computing consiste pour l’utilisateur à externali-ser le stockage de ses données. Elles ne sont plus sur le disque dur de son ordinateurpersonnel, mais sur des serveurs distants dont la localisation est souvent secrète voire

vague. Face à ce cas précis, l’enquêteur peut procéder à une perquisition en ligne (article57-1 CPP pour l’enquête de flagrance, 76-3 pour l’enquête préliminaire, 97-1 sous com-mission rogatoire). Et ce droit de perquisitionner connaît une limite importante : l’accès àdes données stockées sur des serveurs situés hors du territoire national.

Si les données accessibles en ligne sont stockées en France, aucun problème ne se pose-ra. La perquisition s’effectuera selon la procédure ordinaire définie à l’article 56 al. 2 ducode de procédure pénale. Si les données sont localisées à l’étranger, l’article 57-1 ducode indique qu’ « elles sont recueillies par l’officier de police judiciaire, sous réserve des

conditions d’accès prévues par les engagements internationaux en vigueur » . Ainsi, l’unedes solutions est l’ouverture d’une information judiciaire afin d’obtenir une commissionrogatoire internationale. La coopération internationale est donc au cœur de l’enquête enmatière cybercriminelle.

Au plan international

Panorama des acteurs

La cybercriminalité étant par nature transnationale, les autorités nationales sont réguliè-rement amenées à collaborer avec les entités internationales suivantes :

InterpoInterpoInterpoInterpollll a pour mission première d’assurer la réception, conservation et transmissiondes informations sur la cybercriminalité à tous ses pays membres. Le canal principal decommunication est I-24/7, système mondial de communication policière assurant sonservice 24 heures sur 24 et sept jours sur sept. Assurant la fluidité de la circulation de

l’information, Interpol améliore la coopération internationale.

EuropolEuropolEuropolEuropol centralise les informations et a un rôle similaire à celui d’Interpol, mais àl’échelle européenne. Afin de mieux lutter contre la cybercriminalité, Europol :




• Participe au développement de l’European Cybercrime Task Force, grouped’experts composé de représentants d’Europol, d’Eurojust et de la CommissionEuropéenne ;

• Enrichit régulièrement sa base de données consacrée à la cybercriminalité ;

• Procède à des analyses stratégiques sur les tendances de la cybercriminalité ;

• Développe deux projets : ICROS (Internet Crime Reporting Online System) etIFOREX (Internet & Forensic Expert Forum). Ces deux projets permettront unemeilleure centralisation des données, des formations ainsi que des réflexionssur l’amélioration des textes de loi.

EurojustEurojustEurojustEurojust, l’unité de coopération judiciaire de l’Union Européenne, coordonne les actionsdes autorités judiciaires chargées d’investigations concernant au moins trois pays etrenforce ainsi leur coopération.

L’ENISAL’ENISAL’ENISAL’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) a

pour mission, en partenariat avec les entités nationales et européennes, de promouvoiret assurer la sécurité des réseaux d’information dans l’Union européenne.

Un Cadre juridique international : la convention « cybercrime »

La Convention sur la cybercriminalité de Budapest du 21 novembre 2001 constitue aujourd’hui le texte de référence en matière de coopération internationale dans la luttecontre la cybercriminalité. À noter que dès 1981, le Conseil de l’Europe avait été àl’origine de la Convention 108 relative à la protection des personnes à l’égard du traite-ment automatisé des données à caractère personnel, un texte ratifié uniquement par 17Etats membres.

Des intentions louablesLes textes nationaux ne suffisent pas : tôt ou tard, l’enquête en matière cybercriminellefranchira les frontières du pays où se déroule initialement l’enquête. La cybercriminaliténe connait pas les frontières juridiques et opère sur de nombreux territoires nationauxdifférents : acteurs localisés dans différents pays, serveurs bulletproof hébergés dans un« paradis numérique », etc. C’est pourquoi la Convention de Budapest a souhaité renfor-cer la coopération internationale, cette amélioration passant par une harmonisation deslégislations nationales mais aussi par l’amélioration des canaux de coopération.

• Le «Le «Le «Le « gelgelgelgel » de données» de données» de données» de données ---- la Convention sur la cybercriminalité de Budapest de

2001 contient quelques dispositions essentielles. Son article 29 prévoit ainsi lapossibilité de « geler » les données informatiques situées hors du territoire na-tional. Cet article dispose en effet qu’ « une Partie peut demander à une autre

Partie d’ordonner ou d’imposer d’une autre façon la conservation rapide de

données stockées au moyen d’un système informatique se trouvant sur le terri-

toire de cette autre Partie, et au sujet desquelles la Partie requérante a

l’intention de soumettre une demande d’entraide en vue de la perquisition […],

de la saisie […], ou de la divulgation desdites données » .

• Les canaux de coopérationLes canaux de coopérationLes canaux de coopérationLes canaux de coopération ---- la demande de gel des données pourra être effec-tuée par commission rogatoire internationale ou par demande d’entraide. Ellepourra aussi être réalisée à travers le canal d’information Interpol. En France,

c’est l’Office Central de Lutte contre la Criminalité liée aux Technologies del’Information et de la Communication (OCLCTIC) qui est le point de contact In-




terpol en matière de cybercriminalité (voir décret n°75-431 du 26 mai 1975).L’officier de police judiciaire enverra sa demande via le canal BCN (Bureau Cen-tral National) situé à l’Office. Les points de contact peuvent être joints 24 heures

sur 24 et sept jours sur sept pour recevoir et fournir toute information, ou exé-cuter les demandes d’assistance.

Cette mesure qui exige la conservation et la communication des données est sans con-teste la plus importante de la Convention. Mais elle est aussi celle qui suscite le plus deréticence de la part des États. La Russie a notamment considéré qu’elle constituait uneatteinte à la souveraineté nationale1.

Un texte à portée limitée.Très peu de signatairesTrès peu de signatairesTrès peu de signatairesTrès peu de signataires ---- Malgré ses objectifs louables, la Convention sur la cybercrimi-nalité de Budapest a une portée limitée et les moyens de coopération policière et judi-ciaire sont encore insuffisants. Au 17 mars 2011, seuls 29 pays l’ont ratifiée. Parmi ceuxqui l’ont signée, mais pas ratifiée, figurent notamment la Chine, le Royaume-Uni, la Bel-gique, la Suède ou encore la Géorgie. La Russie estime quant à elle que ce traité est une

menace pour sa souveraineté nationale. Or, la Chine et la Russie sont des acteurs essen-tiels dans le domaine de la cybercriminalité. Au deuxième trimestre 2009, 9,3% des bot-

nets venaient de Chine, et 5,6% de Russie.

Le manque de volonté des ÉtatsLe manque de volonté des ÉtatsLe manque de volonté des ÉtatsLe manque de volonté des États ---- Il est aussi possible de constater un manque de vo-lonté de la part de certains Etats. Une large partie des affaires traitées par les services depolice et de gendarmerie renvoient en effet vers l'étranger, souvent vers des pays quin'ont ni les moyens ni la volonté de coopérer efficacement. La coopération s’avère ainsiparticulièrement difficile avec des pays tels que les États-Unis, la Russie ou l’Ukraine quise montrent parfois réticents à communiquer des données stockées chez leurs fournis-seurs d’accès à Internet. Le peu d’intérêt manifesté par certains États pour la lutte contrela cybercriminalité s’explique à la fois par la difficulté des enquêtes et le fait qu’elles

concernent parfois des préjudices de faible montant à l’échelle d’une seule victime.

Le développement des cyberparadisLe développement des cyberparadisLe développement des cyberparadisLe développement des cyberparadis ---- Il faut enfin noter que certains pays trouvent un

intérêt particulier à la cybercriminalité. Par exemple, le scam « 419 » (se référant au nu-méro de l’article sanctionnant cet acte) représente aujourd’hui l’une des sources les plusimportantes de revenus étrangers pour le Nigéria. Certains États deviennent ainsi devéritables « cyberparadis ». Les Pays-Bas refusent par exemple d’établir un lien entre unepersonne et une adresse IP. En Russie, où la cybercriminalité est en plein essor, les cyber-

criminels bénéficient même d’une certaine tolérance tant qu'ils ne s'attaquent pas à desintérêts nationaux. C’est cette impunité de fait qui a favorisé l’émergence d'un véritablemarché noir de logiciels malveillants.

Le manque de volonté des acteurs privés :Le manque de volonté des acteurs privés :Le manque de volonté des acteurs privés :Le manque de volonté des acteurs privés : On dénote également un manque de vo-lonté de la part des acteurs privés qui, pour certains, y trouvent leur compte en termesde chiffre d’affaires. Certains serveurs bulletproof font ainsi de leurs garantiesd’anonymat et de non conservation des données un argument commercial. Même cons-tat pour certains services de monnaie virtuelle qui font de l’anonymat et de l’opacité leurfond de commerce.

1 : Pedro Verdelho, “The Effec-tiveness of International Co-operation against Cybercrime:Examples of Good Practice,”Discussion Paper (Draft), Projecton Cybercrime, Council of

Europe, March 12, 2008,

http://bit.ly/jL0kG6




Quelques pistes

Vers un renforcement de la coopération internationale ?

L’élargissement de la Convention de Budapest

L’une des solutions, notamment encouragée par les récentes conclusions du Conseil del’Union Européenne « relatives à un plan d'action visant à mettre en œuvre la stratégie

concertée de lutte contre la cybercriminalité » , serait la ratification générale de la Con-vention de Budapest par une majorité d’États, permettant ainsi l’harmonisation des légi-slations et une coopération optimale. Mais ce scénario semble peu probable aujourd’hui,bien que les pays réfléchissant à l’amélioration de la coopération soient nombreux. 17pays de l’Amérique du Sud, 14 pays de la zone Caraïbe et 10 pays asiatiques ont ainsi étéinvités par le Conseil de l’Europe afin de contribuer à l’évolution de la législation. LaConvention sur la cybercriminalité de Budapest reste le texte de référence : elle a unevocation internationale et plus de 100 pays s’en inspirent afin de faire évoluer leur légi-slation en la matière.

La conclusion d’accord bilatérauxSi la Convention de Budapest rassemble encore peu de pays, elle les influence énormé-ment, notamment dans la conclusion d’accords bilatéraux de lutte contre la cybercrimi-nalité. C’est le cas de la Colombie qui a mis en place des outils de coopération bilatéraleen la matière avec des pays qui n’ont pas ratifié la Convention : Chili, Mexique, etc. Ac-tuellement, l’Australie améliore sa législation et les pratiques de ses fournisseurs d’accèsà Internet dans le but d’intégrer la Convention de Budapest. Le jeudi 10 mars 2011, leMaroc a également adopté deux conventions relatives à la lutte contre la cybercriminali-té, visant à soutenir la coopération entre les pays arabes. Les États-Unis et la Russie (quiplaide pour un traité de désarmement du cyberespace) sont actuellement en discussion

afin de concilier leurs approches différentes de la cybersécurité et d’améliorer la coopé-ration.

Début 2010, la Russie a durci les conditions d’attribution des adresses en .ru. Les an-ciennes conditions d’attribution des noms de domaine en .ru, trop laxistes, en avaient

fait l’extension la plus prisée par les spammeurs , à l’origine du phishing recueillant lesdonnées personnelles telles que des identifiants ou numéros de cartes bancaires à re-vendre sur les black markets . Peu de temps avant, la Chine avait elle aussi restreintl’attribution de ses noms de domaines afin de lutter contre la contrefaçon.

Un Schengen du numérique ?Une solution consisterait à permettre, à l’échelle européenne, un système similaire audroit de poursuite et au droit d’observation prévu par la Convention de Schengen1. Ledroit d’observation (article 40) permet sous certaines conditions de poursuivre une fila-ture sur le territoire d’un autre État membre sur la base d’une entraide judiciaire. Le droitde poursuite (article 41) permet sous certaines conditions « de continuer la poursuite

sans autorisation préalable » sur le territoire d’un État voisin. Étendre ces possibilités à lalutte contre la cybercriminalité reviendrait à permettre à l’officier de police judiciaire deréaliser, sans autorisation préalable, des actes d’enquête sur des serveurs et espaces destockage situés dans l’un des pays ayant intégré les acquis Schengen. On parlerait alorsde « Schengen du numérique ».

Une telle solution présenterait cependant les mêmes lacunes que le système actuel. En

effet, comment savoir si les données sont dans ou hors de l’espace Schengen ? De plus, ily a toujours restriction de la marge de manœuvre de l’officier de police judiciaire. Cedernier est toujours contraint de s’adapter aux frontières de l’espace Schengen, alors

1 : Les Accords de Schengen(l'Accord signé le 14 juin 1985,ses protocoles ainsi que lesaccords d'adhésion des Etats)

ont donné lieu à l'adoptiond'une Convention d'ap-plication (Convention Schen-gen du 19 juin 1990) puis àdifférentes mesures de mise enœuvre. L'ensemble de ces

textes constitue l'Acquis de

Schengen.




que ces frontières n’ont souvent qu’une réalité concrète très relative, dans le cyberes-pace.

En février dernier, a été évoquée, au cours d’une réunion du LEWP (Law Enforcement

Working Party , groupe de travail au sein du Conseil Justice et affaires intérieures del'Union européenne), la création d'une « frontière virtuelle Schengen » . Dans ce projet,

les FAI joueraient le rôle de « douaniers » en bloquant tout contenu jugé illicite prove-nant de l’extérieur. Ce projet n’a cependant pas été accueilli favorablement par la cri-tique qui l’a rapidement comparé aux procédés employés par la Chine. Mais surtout,c’est l’impossibilité de mise en œuvre du projet qui a été soulignée.

Les Nations UniesC’est pourquoi une autre solution est préconisée, cette fois-ci dans le cadre d’une ap-proche mondiale et globale. Il s’agirait de mettre en place une sorte de « Cyber-ONU »afin de mieux lutter contre la cybercriminalité1. Cette ONU de l’Internet aurait pour fonc-tion première de définir les règles de l’espace Internet. Elle « aura à arbitrer la réponse

informatique offensive qu’un État se verra contraint d’adopter face à des attaques ». En

effet, de la même façon qu’il existe un droit maritime dédié à l’espace maritime, et undroit aérien pour l’espace aérien, il doit être créé un droit de l’Internet pour le cyberes-pace.

Les Nations Unies jouent déjà un rôle essentiel dans l'amélioration de la coopérationinternationale en matière de lutte contre la cybercriminalité. La Commission sur la pré-vention du crime et la justice pénale a en effet tenu, en 2009, un débat portant sur lafraude économique et la criminalité liée à l’identité. De plus, le Congrès des NationsUnies d’avril 2010 au Brésil qui portait sur la prévention du crime et la justice pénale aété l’occasion de discuter de la pertinence d’un nouveau texte international pour amé-liorer cette lutte. Mais, comme l’a souligné le représentant de l’Espagne au cours de ceCongrès, la rédaction d’une nouvelle Convention n’est pas nécessaire, l’utilisation des

outils existant déjà – la Convention de Budapest – dépendant surtout de la volonté poli-tique des États.

L’engagement de la responsabilité des ÉtatsEn vertu du projet d’articles sur la responsabilité de l’État pour « fait internationalementillicite » adopté en 2001 par la Commission des Nations Unies, il est possible d’envisagerla mise en œuvre de la responsabilité des États signataires à la Convention de Budapestne respectant pas les obligations en découlant. En effet, dès lors qu’un Etat exprime sonapprobation à un texte international (signature ou ratification), la coutume internatio-nale veut que sa responsabilité puisse être engagée pour tout fait internationalementillicite. Selon l’article 12 du projet d’article, la violation d’une obligation internationale

consiste dans le manque de conformité entre le comportement requis de l’État par cetteobligation et celui qu’il a effectivement adopté. La violation peut n’être que partielle-

ment contraire à l’obligation incombant à l’État. Elle peut aussi consister dans une omis-sion, ou une succession d’omissions. Le manquement peut être un manquement à uneobligation de comportement ou de résultat.

Ainsi, dans la convention sur la cybercriminalité de Budapest, lorsqu’un article indiqueque « chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires

pour ériger en infraction pénale » certains comportements décrits dans cette mêmeConvention, l’État signataire est contraint de suivre cette disposition. Dans le cas con-traire, et comme le précise l’article 45 de la Convention sur la cybercriminalité, en cas de

différend sur l’application de cette Convention, les Parties « s’efforceront de parvenir à un règlement du différend par la négociation ou par tout autre moyen pacifique de leur

1 : « Vers une cyber-ONU –Entretien avec ChristianAGHROUM, commissaire divi-sionnaire, ancien chef de

l’OCLCTIC ». Bulletin de l'ILEC,n°404., Octobre 2009, p. 13.




choix » ; mais ils pourront aussi opter pour l’arbitrage, ou encore pour la Cour internatio-nale de Justice.

De ce fait, et plus concrètement, un État signataire ne respectant pas l’obligation del’article 31 de la convention de Budapest imposant la coopération entre États signatairespar la conservation et l’autorisation d’accès à des données numériques localisées sur son

territoire commettrait un acte qui pourrait être qualifié d’internationalement illicite. Saresponsabilité pourrait être ainsi engagée, notamment s'il tolère l’activité d’entreprisesqui proposent des serveurs bulletproof se vantant explicitement de la non-conservationdes logs de connexion et contribuant ainsi au développement de la cybercriminalité.

Ce principe d’engagement de la responsabilité internationale d’un État pour tout faitillicite a notamment été affirmé par la Cour permanente de Justice internationale dansun arrêt du 26 juillet 1927 relatif à l’affaire de l’usine de Chorzow (CPJI, Série A, n°9, p21),mais aussi par le tribunal arbitral dans l’affaire du Rainbow Warrior. Le Tribunal avaitconsidéré en effet que « toute violation par un État d’une obligation, quelle qu’en soit

l’origine, engage la responsabilité de cet État et entraîne, par conséquent, le devoir de

réparer » (Nouvelle Zélande/France, Recueil des sentences arbitrales, vol XX (1990), p.251, §75).

Pour un modèle de sécurité actif

La lutte contre la cybercriminalité passera aussi nécessairement par l’émergence d’unmodèle de sécurité active. Les caractéristiques intrinsèques du cyberespace (l’anonymat,l’instantanéité, l’imprévisibilité des effets d’une attaque…) font en effet que celui-ciprivilégie souvent systématiquement l’attaquant sur le défenseur alors que la stratégie

contemporaine est fondée sur une posture défensive, sur la dissuasion et sur la légitimedéfense. La dissymétrie est importante : le pirate informatique a le choix des armes, tan-dis que le défenseur doit imaginer tous les scénarios ; le hacker ne respecte aucune règletandis que la victime agit dans un cadre très contraint. Or dans le cyberespace la dissua-sion est impossible ou presque : comment dissuader un adversaire qui est quasiment

certain de ne pas être identifié ? Même constat pour la légitime défense : comment réa-gir lorsque l’on ne peut pas attribuer l’attaque ? Comment respecter les sacro-saintsprincipes de simultanéité et de proportionnalité de la riposte pour des attaques quidurent quelques millisecondes dans un environnement non prédictif ?

Dans ces conditions, un modèle de sécurité active doit notamment se traduire par :

• Une meilleure gestion des événements sécurité. Les logs constituent des élé-ments précieux, fréquemment sous-exploités. Triés, analysés, corrélés avec des

profils de risque, ils permettent souvent de détecter des signaux faibles.

• Une surveillance permanente des black markets afin de détecter le plus enamont possible des attaques les menaçant. Les banques ne sont pas les seulesconcernées par la cybercriminalité. Les compagnies aériennes et de nombreuxindustriels sont eux aussi victimes de fraudes ou de divulgation d’éléments sus-ceptibles d’affecter la sécurité de leurs produits et leur image ;

• Une lutte renforcée contre les outils financiers et logistiques utilisés par les cy-bercriminels. La chaîne cybercriminelle implique l’utilisation de systèmes demonnaie virtuelle et de sociétés d’échange. Moins mobiles que les black mar-

kets eux-mêmes, ces opérateurs qui constituent le lien entre la criminalité tradi-

tionnelle et la cybercriminalité doivent être des cibles prioritaires pour les ac-tions judiciaires ;




• Le renforcement des capacités d’enquête des services spécialisés tant à traversdes moyens supplémentaires que grâce à l’aménagement d’un cadre juridiqueapproprié ;

• Le développement, nécessairement discret, de capacités militaires, tant en ma-tière de lutte informatique défensive qu’offensive.

Certaines de ses actions relèvent logiquement des missions régaliennes de l’État.D’autres, en revanche incombent aux entreprises qui sont en première ligne dans cettelutte.

Pour une véritable stratégie de puissance dans le cyberespace

Ce modèle de sécurité active doit être soutenu par une stratégie de puissance globaledestinée à faire valoir et à défendre les intérêts français et européens dans lecyberespace à travers des objectifs et des moyens politiques, diplomatiques, écono-miques, technologiques et militaires.

La lutte contre la cybercriminalité s’inscrit en effet dans le contexte plus large d’un

cybrespace devenu un terrain d’affrontement, où les relations entre acteurs doiventaussi s’analyser en termes de rapports de force. Les causes de cette instabilité croissantesont multiples :

• Internet a changé de taille mais surtout de centre de gravité. Il y a aujourd’huiplus d’internautes en Chine qu’aux États-Unis. Par ailleurs, Internet qui étaitl’apanage des pays les plus industrialisés conquiert petit à petit toutes les ré-gions du monde, y compris l’Afrique, jusqu’alors totalement isolée au plan nu-mérique ;

• La domination américaine semble s’éroder au plan technologique, industriel, enmatière d’infrastructures ou d’innovation. Exemple : le premier supercalculateurest maintenant chinois ;

• Les technologies et protocoles actuels montrent leurs limites, notamment entermes de sécurité ;

• Les affrontements de tous types sont de plus en plus nombreux ;

• Alors que l’on était dans un espace essentiellement marchand géré par destechniciens, le « politique » se réapproprie cet espace. Avec les aspects positifs(rôle d’internet dans le développement de la démocratie, régulation d’un cer-

tain nombre de dysfonctionnements) et négatifs (censure et atteintes à la « neu-tralité du net »).

• Internet a encouragé la dilution de la souveraineté étatique entre États, entreÉtats et entreprises, entre États et « internautes citoyens ».

Après plus d’une décennie de croissance ininterrompue et harmonieuse, la géopolitique

est qu’on le veuille ou non en train de reprendre ses droits sur Internet.




GLOSSAIRE

Autonomous System - Ensemble de réseaux appartenant à une plage d’adresses IP parti-culière sous le contrôle d’une seule entité, souvent un Fournisseur d’Accès à Internet(FAI). Les AS sont interconnectés entre eux, ce qui forme le réseau Internet.

Attaque DDoS (Distributed Denial of Service) - Attaque informatique ayant pour finalitéde rendre indisponible l’accès à un service en le saturant de requêtes.

Banker – Logiciel malveillant permettant la récupération d’informations bancaires par unpirate informatique.

Black Market - Plateforme marchande illégale sur laquelle s’échange biens, services etrenseignements destinés à la commission d’acte cybercriminel.

Botnet - Réseau d’ordinateurs corrompus contrôlés par un ou plusieurs cybercriminel(s)pouvant être utilisé pour différentes finalités : émission de spam , diffusion de phishing

ou de malware , fraude au clic, puissance de calcul, attaque DDoS, opération de com-merce illicite, etc.

Captchas – Systèmes de contrôle visuel ou audio permettant de différencier un humaind’un programme automatique lors de la validation de formulaires sur internet.

Carding - Ce terme anglophone désigne l’ensemble des techniques de piratage et deventes illégales de cartes bancaires.

Checkers - Programme informatique qui permet de vérifier la validité d’une carte ban-caire en effectuant une transaction en générale d’un faible montant.

Cheval de Troie - Un cheval de Troie (appelé également Troyen ou Trojan ) est un pro-gramme informatique, souvent d’apparence légitime, conçu pour exécuter subreptice-ment des actions à distance à l’insu de l’utilisateur infecté.

CMS (Content Management System) - Un CMS est une famille de programme informa-tique destinée à la conception et l’administration de plateforme Web ou d’application

multimédia.

CVV (Card Verification Value) - Il s’agit du cryptogramme visuel situé en général au dos

d’une carte de paiement qui a pour rôle de renforcer la sécurisation des transactionsbancaires.

Escrow - Tiers de confiance qui va permettre de finaliser une transaction entre deuxpersonnes n’ayant jamais traité ensemble auparavant.

Exploit – Programme permettant à un pirate d’automatiser l’exploitation d’une vulnéra-bilité dans un programme existant.

Exploit kit - Un exploit kit est un pack de programme malicieux qui est principalementutilisé pour mener à bien des attaques automatisées afin de propager des programmesmalveillants.

ICQ - ICQ est un système propriétaire de messagerie instantanée, de VoIP et de visiocon-férence développé par la société Mirabilis. Ce service se distingue notamment par le fait




que les utilisateurs sont identifiés par des numéros UIN (Universal Internet Number )délivrés par ordre d’inscription, offrant par la même, une garantie d’anonymat aux utili-sateurs.

Iframe - Contraction de “Inline frame”, l’Iframe est une balise HTML qui permet d'afficherau sein d'une page Web des informations stockées sur un serveur différent.

Iter criminis (Chemin du crime) - Processus, étapes franchies par la personne souhaitantcommettre une infraction.

JABBER - Jabber est un système décentralisé, libre et gratuit de messagerie instantanéefondé sur le protocole XMPP (Extensible Messaging and Presence Protocol) permettantde chiffrer les conversations, de créer des serveurs ou encore de naviguer sur des milliersde serveurs Jabber à travers le monde.

Malware - Contraction de l’expression anglophone malicious et software, un malware estun terme générique désignant un programme malveillant (code, scripts, contenu actif)qui effectue des actions à l’insu de son utilisateur. Ce terme généraliste peut aussi bien

désigner un virus, un vers, un spywares , un keylogger , un cheval de Troie, etc.

MBR (Master Boot Record) - Egalement appelé “zone amorce”, le MBR est le premiersecteur adressable d’un disque dur. Il intègre une routine d’amorçage dont la finalité estde charger le système d’exploitation.

Money Mule - La « Money Mule » est une personne qui transfère ou récupère de l’argent

ou des marchandises pour le compte d’autrui, dans le cadre d’escroquerie dont elle n’estsouvent pas conscience.

Ordinateur Zombie - Cette appellation désigne un ordinateur contrôlé à distance par unpirate informatique.

PABX - Autocommutateur téléphonique privé qui gère de manière automatique lescommunications entre plusieurs postes téléphoniques.

Phishing - Egalement appelé « hameçonnage » ou « filoutage », le phishing est une tech-nique de fraude reposant sur l’ingénierie sociale qui vise à obtenir les données à carac-tère personnel ou bancaires de la victime en se faisant passer pour un tiers de confiance.Le phishing peut employer différents canaux de diffusion : sites Web, e-mails, SMS(SMiShing), téléphone, etc.

Ransomware - Un ransomware est un type de malware qui vise à empêcher l’utilisateurd’avoir accès à ses données ou son système d’exploitation notamment par le biais de

techniques de chiffrement des données ou par blocage du MBR.

Rippers - Le ripper est un cybercriminel qui se fait passer pour un vendeur légitime surun site de Black Market ou qui crée de faux sites de Black Market , afin de récupérer lemontant de ces transactions illégales, sans offrir de réelles contreparties.

SCADA (Supervisory Control and Data Acquisition) – Système informatique permettantla surveillance et le contrôle de systèmes industriels (énergie, transports, usines, etc.)

Serveur Bulletproof - Service d’hébergement littéralement « à l’épreuve des balles », oùle prestataire ne vérifie pas l’utilisation faite de l’espace alloué et garantit la disponibilitédu service en dépit des plaintes et/ou injonctions qu’il pourrait recevoir. Généralement,

le prestataire ne conserve aucunes donnée relative à l’identification du client.




Serveur C&C - Serveur utilisé par un pirate pour contrôler à distance des ordinateurs qu’ilaura infecté. Ces serveurs lui permettent de renforcer son anonymat.

Shops - Sites de vente automatisée de produits cybercriminels. Ce type de Black Marketest généralement d’accès limité et implique un ou plusieurs parrainages.

Spam - Selon la CNIL, le spam se caractérise par « l’envoi massif et souvent répété decourriers électroniques à des personnes avec lesquelles l’expéditeur n’a jamais eu decontact et dont il a récupéré les adresses électroniques de façon irrégulière ».

Injection SQL - Ukne injection SQL exploite une faille de sécurité d’une application weben introduisant une requête SQL non prévue. Cette injection permet d’interagir avec labase de données de l’application et ainsi de compromettre sa sécurité.

Voucher - Système de paiement électronique pouvant se présenter sous la forme d’uncode PIN représentant une valeur monétaire.

VPN (Virtual Private Network) - Interconnexion de réseaux locaux sécurisée via tunnel. Ce

dernier assure la sécurisation du réseau par des algorithmes de chiffrement.

Zombie (ordinateur) – Ordinateur préalablement infecté afin d’être sous le contrôle d’unpirate informatique, un Botnet est composé de milliers d’ordinateurs zombies .




Compréhension desenjeux techniques

Compréhension desenjeux "métiers"

Compréhension desenjeux stratégiques

Anticipation Analyse Conseil

Tests d'intrusionVeille

technologique

Veilleopérationnelle

Veillestratégique

Analyse de risquestechnologiques

Analyse desmenaces

Politique desécurité

Etudesd’architectures

Recommandationstechniques

PRESENTATION DE CEIS

Créée en 1997, CEIS est une société de conseil en stratégie et en management desrisques qui compte aujourd’hui 80 consultants en France. CEIS dispose en outre de plu-sieurs implantations internationales : Bruxelles, Beijing, Abu Dhabi, Kiev, Astana et Mos-cou.

CEIS s'organise autour de 4 grands pôles d'activité :

• Risques opérationnels : intelligence économique et financière, management desrisques et gestion de crise, sécurité des systèmes d’information et business in-telligence ;

• Prospective stratégique : études stratégiques et analyse des menaces ;

• Intelligence publique et territoriale : lobbying, communication, marketing terri-torial ;

• Innovation 128 : gestion de l’innovation et veille technologique.

Pour développer ses activités en matière de sécurité des systèmes d’information et delutte anti-cybercriminalité, CEIS a créé l’équipe Secu Insight qui regroupe aujourd’huiune dizaine de personnes : ingénieurs spécialisés en sécurité des systèmesd’information, juristes en droit des nouvelles technologies et analystes multilingues.

Cette équipe réalise des missions de veille, d’analyse et de conseil dans le domaine de la

sécurité des systèmes d'information et de la lutte contre la cybercriminalité. Elle animeégalement le site Secu-Insight.fr, un portail d'informations dédié à la sécurité des sys-tèmes d’information et aux cyber-risques.

L'offre cyberL'offre cyberL'offre cyberL'offre cyber----sécurité de CEISsécurité de CEISsécurité de CEISsécurité de CEIS




CONTACTS

Pour toute réaction à cette étude, pour obtenir plus d'informations sur ce sujet, pour en

savoir plus sur nos offres, n'hésitez pas à nous contacter.

Guillaume TISSIER Directeur du pôle Risques Opérationnels

01 45 55 60 29 - [email protected]

Nicolas CAPRONI Consultant spécialisé en cybercriminalité et sécurité des systèmes d'information01 45 55 58 67 - [email protected]

Barbara Louis-Sidney

Consultante spécialisée en cybercriminalité et sécurité des systèmes d'information01 45 55 58 72 - [email protected]



Compagnie Européenne d’Intelligence Stratégique (CEIS)Société Anonyme au capital de 150 510 € - SIRET : 414 881 821 – APE : 741 G

280 boulevard Saint Germain – 75007 Paris - Tél. : 01 45 55 00 20 – Fax : 01 45 55 00 60Tous droits réservés

Collection Notes ∑ tratégiques

Coordination éditoriale : O. ZAJEC

● Stratégies et opérationsStratégies et opérationsStratégies et opérationsStratégies et opérations ●

La France et l’équation Rafale

Le retour de la stratégie indirecte

Les drones : l’exemple américain

Les systèmes de systèmes

● Technologies de l’informationTechnologies de l’informationTechnologies de l’informationTechnologies de l’information ●

Les marchés noirs de la cybercriminalité

● Débats et Politiques puDébats et Politiques puDébats et Politiques puDébats et Politiques publiquesbliquesbliquesbliques ●

A paraitre

Retrouvez toutes les notes stratégiques sur www.ceis.eu

ceis les marches noirs de la cybercriminalite juin2011

Documents