CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

73
LES MARCHES NOIRS DE LA CYBERCRIMINALITE Etude rédigée sous la direction de Guillaume Tissier par Marie Garbez, Barbara Louis-Sidney, Félix Aimé, Louis Vatier et Nicolas Caproni de l’équipe Secu-Insight de CEIS. Préface du Général d’armée Watin-Augouard Technologies de l’information Juin 2011 Juin 2011 Juin 2011 Juin 2011 Collection Notes tratégiques

Transcript of CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

Page 1: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE Etude rédigée sous la direction de Guillaume Tissier par Marie Garbez,

Barbara Louis-Sidney, Félix Aimé, Louis Vatier et Nicolas Caproni de l’équipe Secu-Insight de CEIS.

Préface du Général d’armée Watin-Augouard

Technologies de l’information Juin 2011Juin 2011Juin 2011Juin 2011

Collection Notes ∑tratégiques

Page 2: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 1 sur 73

SOMMAIRE Sommaire ................................................................................................................................................................ 1

Préface .................................................................................................................................................................... 2

Introduction ............................................................................................................................................................ 7

La face visible de la cybercriminalité ................................................................................................................... 7

La face cachée de la cybercriminalité ................................................................................................................. 7

Méthodologie ...................................................................................................................................................... 8

Scénarios ................................................................................................................................................................. 9

Scénario 1 : chantage au déni de service distribué ............................................................................................. 9

Scénario 2 : campagne d'infection massive de sites Internet .......................................................................... 10

Scénario 3 : vol de base de données clients ...................................................................................................... 11

Scénario 4 : campagne de phishing ................................................................................................................... 11

Scénario 5 : indisponibilité de superviseur ....................................................................................................... 12

Synthèse ............................................................................................................................................................ 13

Les sites de black market ...................................................................................................................................... 14

Du site « amateur » au site « professionnel »… ................................................................................................ 14

Deux grandes catégories ................................................................................................................................... 14

Les produits ....................................................................................................................................................... 20

Les outils des cybercriminels ............................................................................................................................. 23

Les infrastructures : les serveurs bulletproof .................................................................................................... 28

Les acteurs des black markets ............................................................................................................................... 33

Entre goût du secret et besoin de publicité : une criminalité schizophrène .................................................... 33

Des « associations internationales de malfaiteurs » ......................................................................................... 34

Des profils très variés ........................................................................................................................................ 37

L’ennemi numéro un des cybercriminels : le ripper ......................................................................................... 38

L’économie des black markets .............................................................................................................................. 40

Les profits des cybercriminels ........................................................................................................................... 40

Un outil clé : la monnaie virtuelle ..................................................................................................................... 43

Un recours aux moyens classiques du blanchiment d’argent .......................................................................... 51

Synthèse ............................................................................................................................................................ 55

Quelles réponses ? ................................................................................................................................................ 56

Au plan français ................................................................................................................................................. 56

Au plan international ........................................................................................................................................ 60

Quelques pistes ................................................................................................................................................. 63

Glossaire ................................................................................................................................................................ 67

Présentation de CEIS ............................................................................................................................................. 70

Contacts ................................................................................................................................................................ 71

Page 3: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 2 sur 73

RESEARCH PAPER LES MARCHES NOIRS DE LA CYBERCRIMINALITE

Réalisé sous la direction de Guillaume Tissier par Marie Garbez, Barbara Louis-Sidney, Félix Aimé, Louis Vatier et Nicolas Caproni de l’équipe Secu-Insight de CEIS.

Technologies de l’information

Tous droits réservés Publié en 2011 par CEIS

Compagnie Européenne d’Intelligence Stratégique (CEIS)

Société Anonyme au capital de 150 510 € - SIRET : 414 881 821 – APE : 741 G

280 boulevard Saint Germain – 75007 Paris - Tél. : 01 45 55 00 20 – Fax : 01 45 55 00 60

Page 4: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 3 sur 73

PREFACE L'homme a toujours eu l'ambition de se rendre maître de nouveaux espaces. Il a investi la terre, son premier univers, a conquis la mer, avant de s’élancer dans les airs et,

depuis peu, dans l’espace extra-atmosphérique. Chacune de ces aventures lui a permis de goûter à une nouvelle liberté dont il a parfois usé, voire abusé, avant de comprendre la nécessité d’établir des limites par une régulation protégeant le plus faible contre la

domination du plus fort.

L’ordre public a d’abord organisé la vie en société sur la terre. Il s’est tourné vers la mer. Celle-ci a cessé d’être une res nullius pour devenir une res communis qu’il con-vient de protéger, car c’est un espace fragile sur lequel le trafic maritime et l’exploitation

des richesses doivent être encadrés. Avec le développement de la navigation aérienne est né un ordre public qui se manifeste chaque jour davantage sous la pression de la

menace terroriste. L’accès à l’espace extra-atmosphérique est encore le privilège de quelques grandes puissances, mais il ne manquera pas de justifier l’édification de règles internationales au fur et à mesure que des activités humaines s’y déploieront. Quelque

soit l’espace considéré, l’ordre public ne peut être garanti sans un consensus internatio-nal, condition d’une coopération sans frontière.

Le cyberespace est depuis trois décennies, une nouvelle terra incognita. Il est certes un espace immatériel, mais on ne peut nier les conséquences matérielles et hu-

maines de son exploration. Les technologies numériques sont désormais omniprésentes (information, culture, éducation, commerce, industrie, services, santé, sécurité, défense, etc.).

Elles sont source de progrès, de croissance si elles sont maîtrisées, mais elles portent aussi en germe des risques de fragilités. Les pionniers ont considéré que la liberté devait

y être absolue, mais après une période d’euphorie, voire d’insouciance, chacun est dé-sormais convaincu de l’urgence d’une intervention concertée des acteurs publics et

privés afin que le cyberespace ne soit pas livré aux nouveaux prédateurs, que sont no-tamment les cybercriminels et les cyberdélinquants.

C’est justement tout l’intérêt de l’étude menée par CEIS que de décrire précisément, grâce à une observation quotidienne du cyberespace, le fonctionnement des marchés noirs utilisés par les cybercriminels et de l’économie souterraine qu’ils entretiennent.

Alors que la cybercriminalité suscite nombre de fantasmes et d’idées reçues, cette étude contribuera sans aucun doute à la prise de conscience des pouvoirs publics mais aussi

des acteurs économiques qui sont en première ligne dans la lutte contre ce fléau.

Le terme « cybercriminalité » apparut à la fin des années quatre-vingt-dix, alors

qu’Internet se répandait en Amérique du Nord. Un sous-groupe des pays du G8 fut for-mé afin d’étudier les nouveaux types de criminalité encouragés par, ou migrant vers,

Internet. La « cybercriminalité » définissait, de manière relativement vague, tous les types de délits perpétrés sur internet ou les nouveaux réseaux de télécommunications dont le coût chutait rapidement.

La cybercriminalité et/ou la cyberdélinquance, qui par ailleurs est celle qui touche le plus les individus, englobe(nt) toutes les infractions pénales susceptibles de se

commettre sur ou au moyen d’un système informatique généralement connecté à un réseau», à savoir :

Page 5: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 4 sur 73

• les infractions spécifiques aux technologies de l’information et de la communi-

cation : parmi ces infractions, on recense les atteintes aux systèmes de traite-

ment automatisé de données, les traitements automatisés de données person-nelles (comme la cession des informations personnelles), les infractions aux actes bancaires, les chiffrements non autorisés ou non déclarés ou encore les in-

terceptions ;

• les infractions liées aux technologies de l’information et de la communication :

cette catégorie regroupe la pédopornographie, l’incitation au terrorisme et à la

haine raciale sur internet, les atteintes aux personnes, les atteintes aux biens ;

• les infractions facilitées par les technologies de l’information et de la communi-

cation, que sont les escroqueries en ligne, la contrefaçon ou toute autre viola-tion de propriété intellectuelle.

Pour contrer la commission de ces actes criminels et délictueux, sur cette struc-

ture planétaire que constitue le cyberespace, outre les législations nationales, une coo-pération internationale s'est édifiée autour de règles de droit qui protègent les individus, les entreprises, les organisations internationales, les États. La plus emblématique de ces

règles demeure la convention sur la cybercriminalité du 23 novembre 2001, ainsi que son protocole additionnel de janvier 2003, adoptée par les pays membres du Conseil de l'Europe ainsi que les Etats-Unis, le Canada, le Japon et l’Afrique du Sud et qui vise à :

• harmoniser les législations des Etats signataires en matière de cybercriminalité :

à cette fin, la Convention établit des définitions communes de certaines infrac-tions pénales commises par le biais des réseaux informatiques.

• compléter ces législations, notamment en matière procédurale : afin d’améliorer

la capacité des services de police à mener en temps réel leurs investigations et à collecter des preuves sur le territoire national avant qu’elles ne disparaissent.

• améliorer la coopération internationale, notamment en matière d’extradition et

d’entraide répressive.

Néanmoins, si 42 États ont signé la convention, seuls 14 ont procédé à sa ratification fin

2007.

Pour appliquer et faire respecter ces règles juridiques, des organes de lutte ont été mis en place. Dès 1998, a été créé, au sein de la Gendarmerie, le département de lutte contre la cybercriminalité au sein du service technique de recherches judiciaires et

de documentation (STRJD). Le 15 mai 2000 a été créé l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLTIC), re-groupant policiers et gendarmes, notamment au sein de la plate forme de signalement

des contenus illicites sur internet. Chaque force de sécurité intérieure a formé sur l'en-semble du territoire des personnels, enquêteurs N'Tech pour la Gendarmerie Nationale

et Investigateurs en Cybercriminalité pour la Police Nationale.

Au niveau européen, a été créée en 2004 l’Agence européenne chargée de la sécurité

des réseaux et de l'information (ENISA). Située en Crète, elle fonctionne comme un centre d'expertise pour les États membres, les institutions de l'UE et les entreprises.

L’agence a pour mission de :

• prêter assistance et fournir des conseils à la Commission et aux États membres

sur les questions liées à la sécurité des réseaux et de l'information ;

Page 6: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 5 sur 73

• recueillir et analyser les données relatives aux incidents liés à la sécurité en Eu-

rope et aux risques émergents ;

• promouvoir des activités d'évaluation et de gestion des risques afin d'améliorer

la capacité de faire face aux menaces pesant sur la sécurité de l'information ;

• renforcer la coopération entre les différents acteurs du secteur de la sécurité de

l’information ;

• suivre l'élaboration des normes pour les produits et services en matière de sécu-

rité des réseaux et de l'information.

Malheureusement la lutte contre la cybercriminalité n’est pas aisée. Il existe

plusieurs obstacles juridiques et non juridiques à cette lutte. En premier lieu, le caractère vaste des réseaux informatiques, mais aussi la rapidité de commission des infractions, la difficulté de rassembler des preuves, et enfin des méthodes d’investigation et de con-

trôle qui peuvent se révéler attentatoires aux droits fondamentaux, en particulier au droit à l’anonymat et à la liberté d’expression.

Au niveau juridique, ce qui pose aujourd’hui beaucoup de difficultés c’est le fait qu’un même comportement en France et à l’étranger n’est pas pareillement considéré. Il peut

constituer une infraction dans un pays et pas dans l’autre. On peut citer pour exemple, la « promotion du cannabis », ou encore la « provocation pour surprendre les pédophiles ».

Cela renvoie à un autre problème celui de la loi applicable. En effet, la cybercriminalité « bouleverse le principe classique de la territorialité de la loi pénale ». La loi française sera applicable dès lors qu’un élément constitutif de l’infraction a eu lieu en France (TGI de

Paris 17ème chambre, 26 février 2002). Ainsi, par exemple, la simple réception par l’utilisateur est un élément constitutif de l’infraction. Mais s’il n’y a pas d’élément consti-tutif de l’infraction en France, la loi française ne sera pas applicable.

Il faut alors lutter chaque jour contre les paradis juridiques « cyber paradis », pour une

meilleure efficacité du droit relatif à la cybercriminalité.

De même, toutes les législations, et les outils en charge de leur mise en œuvre

et de leur respect, ne sont que le cadre d'une action individuelle, ou l'homme se doit d'être informé et responsable de ses actes. Ceci passe par une éducation aux possibilités et dangers des systèmes d'information car la cible principale des cybercriminels et dé-

linquants sera les réseaux sociaux et les téléphones portables. C'est ce que met en avant Symantec dans son rapport annuel d’analyse des menaces de la cybercriminalité. Les

utilisateurs de Facebook, Twitter et du système d’exploitation de Google Android, sont particulièrement vulnérables, selon l’étude. Les failles exploitables par la cybercriminali-té ont augmenté de 115% en 2009 à 163% en 2010. Le nombre d’attaques, notamment

par la diffusion de virus, demeure néanmoins réduit sur ces programmes, comparé à ceux commis par e-mail.

Les attaques ciblées vont aussi se développer. Il s’agit de ces pièges qui semblent venir d’expéditeurs que vous connaissez, sur Facebook, ou par mails. Plus difficiles à mettre en

place par les cybercriminels, ils sont aussi plus efficaces : vous cliquez plus facilement sur le lien envoyé par un ami sur Facebook que par un expéditeur dont le mot «viagra» compose l’adresse e-mail.

Au total, le nombre d’attaques menées sur Internet a augmenté de 93% entre 2009 et

2010, boosté par la prolifération des mini-url, selon Symantec: Elles ne comprennent que rarement un élément permettant d’identifier la provenance, plus compliqué donc de distinguer un lien virus d’un lien valable. Ces attaques ciblées sont les plus susceptibles

Page 7: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 6 sur 73

de compromettre les données personnelles des internautes. Selon le rapport, la trans-

mission de données privées causées par les attaques a débouché sur le dévoilement d’environ 260.000 personnes, soit un nombre beaucoup plus élevé que ceux dû à des

pertes accidentelles ou de mauvais systèmes de protection.

Ainsi, toute démarche doit placer l’Homme au coeur de toute réflexion, de toute

action : « à quoi lui servirait de gagner l’univers du cyberespace s’il venait à perdre son âme ? ». La maîtrise du cyberespace s’inscrit dans une stratégie de développement du-rable(1) qui préserve l’avenir des générations futures. Elle doit garantir la paix publique

mais aussi la paix, car les hommes ont toujours porté leurs conflits sur les espaces qu’ils se sont appropriés, telle que l'actualité récente l'a démontré dans les pays arabes et que

rappelait le Président de la République Nicolas SARKOZY lors de son discours du 24 mai 2011, lors de l'e.G8 Forum, "cette révolution qui a modifié jusqu'à notre perception du temps et de l'espace a joué un rôle déterminant dans le déroulement d'autres révolu-

tions".

Outre la nécessité de promouvoir une prise de conscience collective par une formation à l'information, chaque Etat doit se doter de compétences humaines et d'outils qui puis-sent veiller à détecter en permanence les menaces, définir les mesures de protection,

détenir et mettre en œuvre des capacités de riposte qui s’imposent afin de préserver l’extraordinaire potentiel de développement dont le cyberespace est porteur et qui doit être considéré comme une chance pour l’humanité qu’il faut saisir avec l’optimisme de

la liberté et le réalisme de la sécurité.

Général d’armée WatinGénéral d’armée WatinGénéral d’armée WatinGénéral d’armée Watin----AugouardAugouardAugouardAugouard Inspecteur Général des Armées Gendarmerie

Page 8: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 7 sur 73

INTRODUCTION Si la cybercriminalité est au cœur de l’actualité en raison du développement sans précé-dent des technologies numériques et du « tout Internet », elle n’en reste pas moins une

forme de criminalité dont le mode opératoire est extrêmement opaque.

Les cybercriminels utilisent en effet à leur avantage les caractéristiques propres à Inter-net : l’absence de frontières, l’anonymat, la volatilité etc. Si bien que la traque se révèle

particulièrement complexe. Il est en outre plus ardu de lutter contre un individu subtili-sant un euro à un million de personnes que contre un individu subtilisant un million d’euros à une seule personne… Le délit est indolore ou presque et, bien souvent, au-

cune plainte n’est déposée par les victimes.

La face visible de la cybercriminalité

La cybercriminalité consiste à utiliser des systèmes et des réseaux informatiques, soit

pour commettre des infractions spécifiques à ces réseaux, soit pour réaliser ou faciliter des infractions plus classiques, lesquelles étaient déjà incriminées avant l’arrivée

d’Internet.

Elle s’illustre, plus concrètement, par toute une série de comportements frauduleux au

nombre desquels se retrouvent, par exemple, le vol de données à caractère personnel (adresse, nom, identifiant et mots de passe…), la fraude et le vol d’identifiants ban-caires, le vol et la falsification de papiers d’identité, mais aussi l’atteinte au fonction-

nement d’un système informatique. Ces comportements sont facilités par la réalisation d’actes en amont tels que la fabrication et l’utilisation de malwares capables de subtili-

ser les données d’un réseau ou d’un système d’information.

Cette vision de la cybercriminalité n’est cependant que parcellaire et de nombreuses

questions restent en suspens : Comment les cybercriminels s’organisent-ils ? Quelle est l’étendue de leurs profits ? Où se situe la jonction entre cybercriminalité et criminalité

physique traditionnelle ?

C’est pour apporter des éléments de réponse à ces interrogations que CEIS a mené

cette étude sur la face cachée de la cybercriminalité.

La face cachée de la cybercriminalité

L’envers du décor, c’est un véritable marché noir – ou black market – de la cybercrimi-nalité, permettant aux cybercriminels :

• De s’organiser. Ils y nouent des contacts et opèrent une division des tâches à

travers un mode opératoire plus ou moins bien ficelé ;

• De vendre, de louer et d’acheter. Sur les black markets, forums ou shops, sont mis en vente toutes sortes de produits et de services, qu’il s’agisse d’outils de piratage (malwares…) ou de résultats de ces malversations (numéros de

Page 9: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 8 sur 73

cartes bancaires, de comptes de jeux en ligne, faux papiers, données à carac-

tère personnel en tous genres…).

Méthodologie

Quelques scénarios, issus pour la plupart de cas réels, permettront tout d’abord au

lecteur d’appréhender l’étendue de la cybercriminalité et le rôle central des black mar-kets.

Dans un deuxième temps seront présentés les différents types de black market, les outils utilisés et les acteurs impliqués. Le rôle des monnaies virtuelles et l’analyse des

liens entre cybercriminalité et criminalité physique traditionnelle feront également l’objet d’une attention particulière.

Une dernière partie détaillera enfin les cadres juridiques français et internationaux avant de proposer quelques pistes pour lutter contre le fléau cybercriminel : renforce-

ment de la coopération internationale, surveillance renforcée des black markets et développement d’un modèle de sécurité actif.

Page 10: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 9 sur 73

SCENARIOS

La mise en réseau des dispositifs informatiques a vu l’émergence du cybercrime, une

forme de criminalité principalement axée sur l’escroquerie, ciblant toutes les sphères de la société, des simples internautes aux groupes industriels en passant par les institutions gouvernementales.

Les scénarios présentés ci-dessous décrivent les principales tendances actuelles du cy-bercrime financier, qu’il s’agisse de détournements de fonds, de chantage ou de revente

d’informations personnelles sur des espaces d’échanges cybercriminels. Ils ne sont pas exhaustifs et ne sont en aucun cas représentatifs de tout le spectre des menaces cyber-

criminelles. Ces dernières ne sont d’ailleurs limitées que par l'imagination - débordante - de leurs auteurs.

Scénario 1 : chantage au déni de service distribué

Mots clés : DDoS1, Rançon, Botnet2

Contexte Contexte Contexte Contexte ---- Brice, ancien employé de la société Zcorp, licencié pour faute grave, lance

une attaque en déni de service distribué (DDoS) contre son ancien employeur. Consé-quence : la saturation du serveur mail et du PABX de la société. En parallèle de cette

attaque, une rançon est demandée afin de faire cesser la saturation des moyens de communication de Zcorp.

Mode opératoire Mode opératoire Mode opératoire Mode opératoire ---- Pour monter l’attaque, Brice se connecte à un forum et contacte une personne offrant un service de DDoS à la demande. La mise à disposition du botnet (2 500 machines « zombies ») est facturée 5$/heure. La discussion avec le pirate russe sur

les modalités de la transaction se fait en anglais via le système de messagerie ICQ. Avant de lancer l’attaque, Brice contacte son ancien employeur par le biais d’un mail anonyme

enregistré chez un service étranger pour demander une rançon.

Une fois l’attaque lancée, les serveurs mail et Asterisk de Zcorp deviennent rapidement

inaccessibles et la société est coupée du reste du monde. Faute d’équipe technique capable de mettre en œuvre des contre-mesures efficaces, seules deux options s’offrent

à Zcorp : payer la rançon demandée (une dizaine de milliers d’euros, versés sur un compte Liberty Reserve) ou attendre la fin de l’attaque.

Impacts Impacts Impacts Impacts ---- Face à une coupure de tous ses moyens de communication, la société Zcorp ne prend pas le temps d’analyser la situation et décide de transférer la rançon demandée sur le compte du cybercriminel pour faire cesser l’attaque DDoS contre ses infrastruc-tures. La société ne porte pas plainte, considérant que cela ne servirait à rien et que sa mésaventure pourrait bien être médiatisée et ternir son image.

1 : Attaque DDoS (Distributed Denial of Service) - Attaque informatique ayant pour finalité de rendre indisponible l’accès à un service en le saturant de requêtes.

2 : Botnet - Réseau d’ordinateurs corrompus con-trôlés par un ou plusieurs cybercriminel(s) pouvant être utilisé pour différentes finalités : émission de spam, diffusion de phishing ou de malware, fraude au clic, puissance de calcul, attaque DDoS, opération de

commerce illicite, etc.

Page 11: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 10 sur 73

Scénario 2 : campagne d'infection massive de sites Internet

Mots clés : Défiguration de site, exploit kit, failles.

Contexte Contexte Contexte Contexte ---- Katia, développeur web dans une société de services informatiques, s’est convertie au cybercrime pour faire face à ses nombreuses dettes. Son activité consiste à développer et à revendre des « exploits » visant principalement des squelettes prépro-grammés de sites Internet (Content Management System ou CMS). Suivant le type de vulnérabilité trouvé et le nombre potentiel de sites Internet vulnérables, elle peut re-vendre ses exploits plusieurs centaines d’euros.

Mode opératoire Mode opératoire Mode opératoire Mode opératoire ---- Récemment, lors d’un audit du code source d’un CMS, elle a trouvé

le moyen de faire exécuter un code arbitraire aux serveurs des sites Internet disposant de ce CMS, dont Google évalue le nombre à 115 000. Ce type de vulnérabilité pourra permettre la mise en place de scripts malveillants sur les sites Internet attaqués ou le

piratage des serveurs afin de constituer à moindre coût des serveurs de commandes de botnets répartis dans le monde.

Elle vendra quelques jours plus tard le code d’exploitation personnalisé 1000 $ sur un sous-forum privé dédié aux exploits, espace de discussion réservé aux cybercriminels

(black market). Plusieurs acheteurs ont répondu à cette offre par leur numéro de messa-gerie ICQ. Après quelques échanges avec un escrow1, son code d’exploitation est vendu à un acheteur crédible, sans que Katia ne connaisse l’usage qui en sera fait.

Impacts Impacts Impacts Impacts ---- Quelques jours plus tard, une campagne de piratage d’envergure visant plu-

sieurs dizaines de milliers de sites Internet utilisant le CMS aura lieu. L’attaque se traduira par l’insertion dans les sites visés d’un composant (une iframe) qui tentera d’infecter les ordinateurs des visiteurs à l’aide du kit d’exploit Black Hole.

Face à ce type d’attaque

Il est conseillé d’utiliser des CMS soutenus par une large communauté d’utilisateurs afin de prévenir d’éventuelles failles de sécurité dans leurs codes sources. Une veille doit être réalisée sur les failles et les mises à jour du CMS utilisé. Enfin, un contrôle d’intégrité des fichiers présents sur les sites Internet est primordial afin de s’assurer qu’aucun fichier n’a été modifié.

Face à ce type d’attaque

L’entreprise aurait pu mettre à jour ses zones DNS et les faire pointer vers de nouveaux serveurs avec des adresses IP différentes. Même si les chances de retrouver les cybercriminels à l’origine de ce type d’attaque sont faibles, il est fortement conseillé de porter plainte.

1 : Escrow - tiers de confiance qui va permettre de finaliser une transaction entre deux per-sonnes n’ayant jamais traité

ensemble auparavant.

Page 12: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 11 sur 73

Scénario 3 : vol de base de données clients

Mots clés : Base de données, SQL injection, vol, CVV.

Contexte Contexte Contexte Contexte ---- Rand3k est un pirate informatique. Son activité : dérober des bases de don-

nées clients pour revendre les informations qu’elles contiennent. Suivant le nombre d’enregistrements, le pays d’origine, mais également les informations qu’elle contient, le

prix d’une base de données peut aller jusqu’à plusieurs milliers de dollars US sur certains marchés.

Mode opératoire Mode opératoire Mode opératoire Mode opératoire ---- Pour commettre son méfait, Rand3K réalise à la main des recherches sur des sites potentiellement vulnérables. Afin de compromettre les bases de données, il utilise plusieurs méthodes de hacking (principalement l'exploitation de simples injec-tions SQL). Pour lui, une « bonne » base de données contient plusieurs centaines de mil-liers d’enregistrements clients, dont leurs données bancaires.

Sa dernière victime en date, MyGardenShop, lui a permis de récupérer 80 000 données clients comprenant les noms et prénoms, les adresses email, les mots de passe en clair,

mais également l’ensemble des données bancaires des membres. Après avoir posté une offre de vente sur plusieurs forums, Rand3K a vendu sa base de données à un cybercri-

minel pour 1 500 $US. Celui-ci pensait alors faire fructifier son achat en vendant les in-formations bancaires séparément sur des shops automatisés.

Impacts Impacts Impacts Impacts ---- MyGardenShop apprendra l'attaque dont il a été victime dans la presse infor-matique sur Internet, tout comme ses clients. L'entreprise est obligée de mettre en place une communication de crise, invitant ses clients à changer leur mot de passe sur le site

Internet et à prévenir leur banque que leurs données de cartes bancaires ont pu être compromises. Suite à la médiatisation de l’affaire, le chiffre d’affaires réalisé sur le site

Internet chutera de 40 %.

Scénario 4 : campagne de phishing

Mots clés : phishing, vol de données bancaires.

Contexte Contexte Contexte Contexte ---- Depuis des années, le phishing est la menace cybercriminelle la plus visible. Même si les navigateurs possèdent aujourd’hui des parades anti-phishing et qu’une coopération internationale s’est organisée dans la lutte contre ce fléau, beaucoup

d’internautes sont encore victimes de ce type d’escroquerie. C’est en parlant avec des contacts sur Internet qu’Eric a eu l’idée de se lancer dans l’aventure du phishing. Quelques mois après ses débuts, sa technique est aujourd’hui bien rodée : son dispositif

lui rapporte plusieurs dizaines d’identifiants bancaires par jour.

Face à ce type d’attaque

Ce type d’attaque est malheureusement courant sur Internet. Plusieurs mesures et normes telles que PCI-DSS doivent être appliquées afin de minimiser la sur-face d’attaque mais aussi de s’assurer de la sécurité de l’infrastructure. De plus, des tests d’intrusions devront être réalisés afin d’évaluer, de manière dyna-mique, la sécurité du système.

Page 13: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 12 sur 73

Mode opératoire Mode opératoire Mode opératoire Mode opératoire ---- Eric achète sur des espaces illégaux (black markets) des kits de phis-hing usurpant l’identité de grandes banques. Le kit, dont le prix varie de 10 à 30 dollars US, imite parfaitement l’interface graphique de l’entité visée. Il installe ensuite ces kits

sur des espaces d’hébergement gratuits à l’étranger, principalement sur des serveurs basés aux Etats-Unis.

Parallèlement à cette opération, Eric met à jour une base d’adresses électroniques, créée par ses soins grâce à des forums et dont l’activité lui permet de récupérer une centaine de nouveaux mails par jour. Après avoir constitué sa base, il envoie - par l’intermédiaire

d’un serveur SMTP autorisant l’envoi d’email sans authentification - plusieurs vagues de phishing en usurpant les identités des banques visées.

Impacts Impacts Impacts Impacts ---- Pour Eric, le phishing est la solution idéale pour gagner de l’argent. Il arrive à revendre sans difficulté les données à des shops car la demande est en hausse depuis quelques mois. Il considère même que sa démarche est « éthique » puisque, selon lui, "ce ne sont pas les clients mais les banques qui sont volées".

Scénario 5 : indisponibilité de superviseur

Mots clés : Malware, Ransomware

Contexte Contexte Contexte Contexte ---- Igor et Kevin, tous deux étudiants, ont décidé de consacrer leur temps libre

au développement d’un ransomware. Ce projet, qui devait être à visée scolaire, est vite devenu une activité permettant aux deux amis de dégager quelques profits.

Mode opératoire Mode opératoire Mode opératoire Mode opératoire ---- Le fonctionnement du système est simple : un petit logiciel, appelé builder, permet à n’importe quel internaute de créer son propre malware « rançonneur » en inscrivant, durant le processus de création du malware, le numéro de téléphone sur-taxé à appeler ou l’adresse du site Internet à visiter pour payer la rançon. Le malware ainsi fabriqué se charge ensuite de modifier la séquence de démarrage originale de

l’ordinateur (MBR ou Master Boot Record1) pour empêcher son démarrage en prétextant, par exemple, le chiffrement complet de son disque dur et demander une rançon pour sa

restauration.

Autour de leur projet s’est organisée une petite entreprise : Igor se charge de la vente et

du service client sur certains espaces d’échanges cybercriminels. Pour chaque builder vendu 250 $, un service après-vente de six mois est offert, principalement pour créer de nouvelles parades contre les anti-virus. Leur publicité est assurée depuis qu’un blogueur

réputé en sécurité informatique a fait mention de leur malware dans un article sur l’évolution de la menace en 2011. À ce jour, les deux comparses dégagent un profit

d’environ 1500 $ par semaine en vendant leur création sur plusieurs forums réputés.

Face à ce type d’attaque

Le phishing ne touche pas que de simples particuliers mais également les entre-prises. Ce type d’attaque, bien que facile à mettre en œuvre, est très dangereux. Il est préconisé de vérifier les émetteurs des messages, principalement à l’aide des headers. Plusieurs solutions existent pour vérifier automatiquement l’appartenance de l’émetteur d’un mail à un domaine. De plus, il ne faut pas se fier aux demandes par email, une banque ne demandant jamais des identifiants par courrier électronique ou par téléphone.

1 : MBR (Master Boot Record) - Egalement appelé “zone amorce”, le MBR est le premier secteur adressable d’un disque dur. Il intègre une routine d’amorçage dont la finalité est de charger le système

d’exploitation.

Page 14: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 13 sur 73

Impacts Impacts Impacts Impacts ---- Le malware s’est propagé sur de nombreux ordinateurs. Plus grave, lors d’une opération de maintenance sur un système SCADA1 d’un centre de supervision d’un ré-seau autoroutier, un technicien à malencontreusement branché une clé USB contenant

le ransomware au superviseur principal afin de réaliser une mise à jour de routine. Suite à l’installation de cette mise à jour, le redémarrage du superviseur a provoqué une réé-criture du MBR, rendant inopérant pendant plusieurs heures le système de supervision.

Synthèse

La cybercriminalité est une chaîne complexe. Dans cette chaîne, les black markets (en bleu) jouent un rôle essentiel, tant en amont pour la préparation des attaques qu’en aval, pour la monétisation des bénéfices réalisés par les cybercriminels.

Face à ce type d’attaque

Une hausse de la production des ransomwares est à prévoir ces prochains mois du fait de leur facilité de développement et de leur furtivité potentielle sur le système ciblé. Face à ce type de menace, il est impératif de maintenir à jour le système et de disposer d’un antivirus. De plus, une politique de sauvegarde doit être mise en œuvre afin de limiter l’impact d’un éventuel incident.

1 : SCADA (Supervisory Control and Data Acquisition) – Sys-tème informatique permettant la surveillance et le contrôle de systèmes industriels (énergie, transports, usines etc.)

Page 15: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 14 sur 73

LES SITES DE BLACK MARKET

Du site « amateur » au site « professionnel »…

Les black markets sont à l’image de la criminalité traditionnelle : il y a autant de diffé-rences entre un cybercriminel amateur et un cybercriminel chevronné qu’entre un vo-

leur d’occasion et un braqueur expérimenté.

Certains black markets, qu’il est possible d’assimiler à de la petite délinquance, sont donc accessibles à tous et leur découverte est aisée sur la Toile. Les renseignements ou données qui s’y trouvent ne seront pas toujours excellents mais ils permettront à un

novice de « débuter » en criminalité informatique.

Généralement, lorsqu’un black market se développe et acquiert une certaine notoriété, son accès devient payant. Ce prix reflète la qualité de l’information : une bonne informa-tion ne peut être gratuite et tout cybercriminel est prêt à investir pour s’inscrire dans un

site web reconnu par ses pairs (pour certains, les prix peuvent aller jusqu’à 500 $).

Enfin, l’accès à certains sites est impossible pour la majeure partie des criminels : à

l’instar d’une mafia, il n’est possible d’y entrer qu’avec l’assentiment donné à l’administrateur par des « parrains » déjà inscrits. Le droit d’entrée ne repose plus alors sur un effort financier mais une réelle reconnaissance du milieu, ce qui nécessite d’avoir

fait ses preuves et de connaître les bonnes personnes.

Deux grandes catégories

Les forums

Un lieu d’échange «Un lieu d’échange «Un lieu d’échange «Un lieu d’échange « undergroundundergroundundergroundunderground » » » » ---- Les forums sont le lieu de rencontre des cyber-criminels débutants ou aguerris qui peuvent lire les dernières nouvelles et innovations du milieu, demander conseil sur tout type de sujet, proposer leur service ou collabora-

tion pour des opérations illicites.

Eu égard au caractère international de la cybercriminalité, les discussions se font en plusieurs langues. Les plus usitées sont l’anglais et le russe mais il arrive de rencontrer des forums dédiés aux germanophones, francophones et hispanophones.

Figure 1 : quatre garants sont demandés pour entrer dans ce black market.

Page 16: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 15 sur 73

Un forum se divise en plusieurs rubriques, chacune concernant un sujet particulier. Il est ainsi aisé pour un cybercriminel de trouver rapidement toutes les annonces susceptibles de l’intéresser. On y retrouve notamment des offres concernant des fraudes aux jeux

d’argent en ligne, du hacking, de l’hébergement de sites illégaux ou de serveurs de spam mais également la vente d'exploits, de malwares, la location de botnets…

Les annonces sont visibles par tous les membres qui peuvent se contacter entre eux par message privé puis, une fois le contact pris, converser par ICQ ou Jabber (voir page 24). Les administrateurs déconseillent d’ailleurs généralement à leurs inscrits d’indiquer

directement dans leurs annonces les numéros ICQ mais nombre d’entre eux passent outre cette règle de sécurité.

Les participants n’ont en effet pas tous le même statut. Par ordre d’importance décrois-sant, il est possible de distinguer les administrateurs, les modérateurs, les vendeurs véri-

fiés, les membres reconnus et les invités. Ces derniers n’étant recommandés ni par l’administrateur ni par d’autres membres, ils suscitent inévitablement la méfiance : il pourrait s’agir de policiers ou de rippers1.

Les inscrits peuvent parfois se noter entre eux ce qui permet de passer du statut d’invité à celui de membre reconnu. La réputation d’un cybercriminel se fait également au

moyen de feedbacks (commentaires) des autres utilisateurs.

Figure 2 : un forum multilingue

Figure 3 : les rubriques d'un black market

1 : Rippers - Le ripper est un cybercriminel qui se fait passer pour un vendeur légitime sur un site de Black Market ou qui crée de faux sites de Black Market, afin de récupérer le montant de ces transactions illégales, sans offrir de réelles

contreparties.

Page 17: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 16 sur 73

A la fin de l’annonce ci-dessus, cette personne (qui possède elle-même une note +5)

indique attendre les feedbacks des utilisateurs qui seront amenés à traiter avec elle.

Le forum peut ainsi être à l’origine de la création d’une organisation criminelle car

chaque membre peut trouver le ou les partenaires qui lui conviennent pour des activités déterminées.

Le lieu de convergence entre criminalité virtuelle et physique Le lieu de convergence entre criminalité virtuelle et physique Le lieu de convergence entre criminalité virtuelle et physique Le lieu de convergence entre criminalité virtuelle et physique ---- Un cybercriminel procède à des infractions en chaîne. Le recours à un ou plusieurs complices est d’autant

plus nécessaire que la moindre erreur à l’un des stades de l’opération peut causer un échec.

La criminalité traditionnelle fait partie intégrante de ce processus et c’est en grande partie au sein des forums que les échanges ont lieu entre ces deux formes de criminalité.

En amont, cette criminalité peut prendre l’apparence d’employés malhonnêtes qui vont se servir de leur situation pour récupérer des données illicites comme des cartes ban-

caires.

Deux exemples :

• Un employé d’hôtel en Afrique du Sud a pu copier frauduleusement les don-

nées des cartes bancaires de ses clients durant la Coupe du monde de football. Dans cette annonce, il les revend avec les informations issues des passeports de

ses victimes. « […] Je travaille pour un hôtel haut de gamme dans la ville du Cap, Afrique du Sud et nous avons eu récemment beaucoup d’invités pour la Coupe du monde de football. J’ai pu cloner certaines cartes de crédit et j’ai aussi

toutes les informations apparaissant sur les passeports. Au total, j’ai environ 37 cartes et la plupart viennent des Etats-Unis, de Suisse, de France, d’Allemagne et de Corée du Sud […]. »

• Dans un autre cas, les membres francophones du forum s’entraident : une per-

sonne indique gagner 4 000 $ par mois en fournissant le matériel approprié (« skimmer ») à une serveuse qui va lui permettre de récupérer les données ban-caires de la clientèle.

Figure 4 : Message d’un employé d’hôtel proposant ses services

Page 18: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 17 sur 73

Phase d’exécutionPhase d’exécutionPhase d’exécutionPhase d’exécution ---- Avoir recours à des complices implantés dans le pays cible est pri-mordial pour un cybercriminel lors de l’exécution de son délit et pour la phase finale de monétisation. Pendant la phase d’exécution, cette aide se traduit par de petites actions

simples, comme par exemple donner un coup de téléphone pour valider une com-mande ou recevoir un SMS.

Exemple de discussion tirée d’un forum : une personne voulant frauder Western Union recrute des « collaborateurs » afin de valider les transferts au téléphone1. Une personne

résidant en France propose de passer ces appels et de fournir occasionnellement une voix de femme pour les fraudes réalisées avec des titulaires de cartes bancaires fémi-nines.

Phase de monétisationPhase de monétisationPhase de monétisationPhase de monétisation ---- La phase de monétisation est la plus délicate et suscite

d’ailleurs de très nombreuses demandes dans les forums. Elle est principalement basée sur le système de « mule ».

Le rôle des mules ou « money mule » est de : recevoir des colis, des virements bancaires, des mandats Western Union, retirer l’argent à un distributeur automatique avec une

carte bancaire contrefaite… La « mule » va servir d'intermédiaire et de facilitateur afin de permettre aux cybercriminels de transformer l'argent virtuel en argent réel : il s’agit donc de blanchiment d'argent.

Exemples : Exemples : Exemples : Exemples :

Lorsqu’un cybercriminel pirate le compte bancaire d’un ressortissant français, il a systé-matiquement besoin d’une mule possédant un compte bancaire en France pour recevoir

le virement frauduleux.

Les transferts bancaires sont en effet instantanés en France métropolitaine alors que des

virements à l’étranger nécessitent un délai de plusieurs jours, ce qui laisse le temps à la banque de repérer la fraude. Une fois le virement effectué, la mule retire la somme de

Figure 5 : un cybercriminel décrit son mode-opératoire de skimming

Figure 6 : recherche de service de fraudes

Figure 7 : proposition d'aide à la fraude

1 : L’envoi d’argent par Western Union sur Internet nécessite deux phases : une première sur le site de la société et une seconde qui suppose d’appeler Western Union par téléphone afin de valider le transfert

effectué sur Internet.

Page 19: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 18 sur 73

son compte et en envoie une partie par Western Union à l’instigateur du virement frau-

duleux.

L’annonce ci-dessous propose de retirer le maximum d’argent possible à des distribu-teurs automatiques en France au moyen de cartes bancaires dupliquées.

On retrouve enfin sur Internet de nombreuses offres d'emploi suspectes sur de véri-tables sites de recrutement tout à fait légitimes. Elles promettent aux candidats de ga-

gner des sommes d'argent confortables pour du travail à domicile. Le travail demandé est simple et financièrement intéressant : il consiste à effectuer des transferts d'argent (électronique, chèque...) en gardant une commission (entre 5 et 10%) sur chaque tran-

saction réalisée.

Arrestations suite aux démantèlements de réseaux de "money mules" En octobre 2009, l'Office Central de Lutte Contre la Criminalité liée aux Techno-logies de l'Information et de Communication (OCLCTIC) (voir section 7.1.1) a démantelé deux réseaux internationaux de fraudes bancaires opérant depuis la Russie et l'Ukraine. Plus de 70 personnes ont ainsi été mises en examen. Les pirates, par l'intermédiaire de techniques de phishing, vidaient les comptes bancaires de leurs victimes et transféraient les fonds vers des "mules" qui ren-voyaient ensuite l'argent par mandat Western Union vers la Russie et l'Ukraine. En octobre 2010, après l’arrestation en Grande Bretagne de 11 individus exploi-tant le Cheval de Troie bancaire Zeus pour voler les comptes de particuliers, le FBI a inculpé 60 personnes pour les mêmes motifs. Ces derniers sont accusés de faire partie d’un réseau de cybercriminels situé en Europe de l’Est et de "money mules" suspectés d’avoir ouvert des comptes aux États-Unis pour y transférer les fonds volés.

Figure 8 : proposition de retrait sur des DAB français.

Page 20: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 19 sur 73

Les shops

Les « shops » sont l’autre visage des black markets. Ici, pas d’annonces en vrac, pas de contacts entre utilisateurs. Comme leur nom l’indique, les shops sont des sites purement commerciaux.

Le fonctionnement d’un shop est le même qu’un site marchand ordinaire : chaque utili-sateur possède son propre compte sécurisé par un nom d’utilisateur et un mot de passe

et gère ses achats selon ses besoins.

Prenons l’exemple du carding, c'est-à-dire de la vente illégale de numéros de cartes bancaires, dont le produit-type comprend les éléments suivants : les 16 chiffres du nu-méro de la carte, la date d’expiration, le code de sécurité (les 3 chiffres au dos de la carte

désignés aussi par les acronymes CVV / CVC / CVV2), les nom et prénom du propriétaire, son adresse et son téléphone.

Une activité très lucrative Une activité très lucrative Une activité très lucrative Une activité très lucrative ---- Ces sites « commerciaux », véritable vitrine du carding, se sont multipliés sur la Toile, leur objectif étant de viser le plus large public possible. La présentation des sites est simple, la recherche d’une carte facile : acheter un numéro ne

prend que quelques minutes.

Les administrateurs de ces sites ne sont, en général, que de simples revendeurs. Comme tout commerçant, ils ont acheté auprès de cybercriminels des lots de cartes en gros et les revendent au détail sur leur site à un prix supérieur.

Cette activité étant très lucrative, le nombre de ces sites a tout naturellement explosé. Il suffit de comparer le prix d’achat en gros d’un numéro de carte à celui proposé dans un

shop pour comprendre.

Les prix de base pour une carte américaine varient de 0,50 $ à 1 $ lorsque la vente dé-passe 1 000 numéros. Dans l’offre suivante, le prix à l’unité oscille lui entre 2 et 3 $.

Figure 9 : un "shop" vendant des cartes bancaires américaines

Figure 10 : Cartes américaines présentes dans un shop.

Page 21: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 20 sur 73

Pour les cartes européennes, le prix est d’environ 2 $ si la quantité achetée est supé-

rieure à 1 000. A l’unité, il oscille entre 10 et 15 $. Le prix dépend en fait du pays, une carte anglaise étant souvent moins chère que les autres.

Les produits

Il existe différents types de produits vendus sur les sites de black market. De la vente de numéros de cartes de crédit aux malware, en passant par la vente de faux papiers ou de comptes de jeux en ligne, tous les secteurs de l’économie sont touchés.

Carding

Les produits les plus courants sont issus du carding. Ce terme anglophone désigne l’ensemble des techniques de vols de numéros de cartes bleues, en particulier par skim-ming – technique consistant à placer un dispositif sur un distributeur automatique de billets (DAB) pour voler toutes les informations saisies par l’utilisateur – et le phishing – opération destinée à usurper l’identité d’une banque pour créer une fausse interface d’identification bancaire en ligne.

Bien que l’on puisse trouver quelques cartes vendues sur des forums, la majorité des espaces de vente sont des shops (voir la section précédente).

Le prix de vente de ces cartes varie fortement en fonction des informations vendues avec le numéro proprement dit. Ainsi, peuvent-être vendus en plus : le nom et le pré-

nom du porteur de la carte, sa date de naissance, la date d’expiration ou encore le CVV.

Sur un panel de cinq sites, le prix minimum constaté était de 2,5 $ pour un prix maxi-

mum de 15 $ et un prix moyen de 13,21 $.

Au delà des cartes sont également vendus des identifiants de banque en ligne, dont le

prix dépend du solde du compte concerné. Les prix se situent en général entre 150 € et 400 €.

Figure 11 : un "shop" vendant des cartes bancaires européennes

Figure 12 : shop proposant des cartes bancaires françaises

Page 22: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 21 sur 73

Les malwares

La vente de malware sur les black markets est de plus en plus courante. Pour accroître leur marché, les développeurs de logiciels malveillants créent des applications qui ne

requièrent aucune compétence technique. Grâce à ce concept, baptisé CaaS pour Cri-meware as a Service, le cybercriminel n’est plus nécessairement un technicien et achète le service offert par le produit et non le produit lui-même.

On retrouve ainsi sur les black markets des ransomware, des kits de phishing ou encore des chevaux de Troie.

Comptes de jeux

Sont également vendus sur les sites de black market des comptes de jeux en ligne. Le prix de ces derniers varie naturellement, comme pour les comptes bancaires, en fonction du solde du compte. Les prix moyens de ces produits oscillent entre 30 $ et 100 $.

Figure 13 : proposition de service d’installation pour le Banker SpyEye

Figure 14 : vente d’identifiants de jeux en ligne

Page 23: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 22 sur 73

Faux papiers

Les sites de black market proposent aussi des faux papiers. Première catégorie : les scans de papiers d’identité légitimes. Ils peuvent notamment être utilisés pour l’ouverture de

comptes de jeux en ligne. Leur qualité varie fortement, ce qui a un impact sur leur prix. Deuxième catégorie : les pièces d’identité contrefaites et envoyées sous une forme phy-sique. Les prix sont évidemment nettement supérieurs : ils varient de quelques centaines

d’euros à plus d’un millier d'euros alors que les scans sont vendus pour quelques di-zaines d’euros.

Figure 15 : vente de faux papiers sur un site internet

Page 24: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 23 sur 73

Accès à des sites gouvernementaux

Des produits moins communs peuvent également être vendus sur ces marchés, à

l’image d’identifiants de sites gouvernementaux.

Le Spam

Souvent hébergés sur des serveurs bulletproof, ces sites proposent des services d’envoi de spam clés en mains. Cela permet au cybercriminel d’inonder de nombreuses boîtes mail en vue d’inviter les destinataires à se connecter sur un site commercial vendant des

produits souvent prohibés.

Le prix payé par le client dépend naturellement de la qualité du service de spam auquel il souscrit. Certains de ces services sont même capables de contourner les captchas1.

Les outils des cybercriminels

Des messageries instantanées aux fonctions multiples

Pour communiquer entre eux, les cybercriminels ont essentiellement recours à ICQ, même si, depuis peu, l’utilisation de Jabber a nettement progressé. Le rôle d’ICQ et de

Jabber ne saurait cependant être cantonné à celui de simple messagerie, tant ces deux services prennent une importance grandissante dans l’univers des black markets

ICQ ICQ ICQ ICQ ---- ICQ a fait partie des précurseurs en matière de messagerie instantanée. Le système se distingue de ses concurrents (MSN ou Yahoo) par le fait que les utilisateurs

s’identifient entre eux par un numéro et non par un pseudo. Les numéros ICQ pouvant

Figure 16 : vente d'identifiants à des sites gouvernementaux

1 : Captchas – Systèmes de contrôle visuel ou audio per-mettant de différencier un humain d’un programme automatique lors de la valida-tion de formulaires sur internet.

Page 25: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 24 sur 73

aller jusqu’à 9 chiffres, certains cybercriminels cherchent d’ailleurs pour des raisons mar-

keting à obtenir des numéros plus courts, au point qu’un marché des numéros ICQ s’est développé.

Que ce soit dans les forums ou dans les shops, tous les cybercriminels indiquent leur numéro ICQ. Figurant sur la page d’accueil du site, il permet de contacter

l’administrateur pour s’inscrire. Au sein des forums, il donne également la possibilité à tout membre de contacter l’auteur d’une annonce intéressante. Enfin, au sein des shops, il fait plutôt office de contact pour le service après-vente.

ICQ ne permet pas uniquement à ses membres de discuter : il est possible d'y trouver

des shops totalement automatisés. Cette annonce propose à la vente des numéros de cartes bancaires. Pas besoin de site Internet, tout se passe par ICQ et ce n’est pas une personne, mais un programme automatique qui répond.

Il suffit pour cela de suivre les commandes proposées par le robot et, comme pour un répondeur automatique, de taper le chiffre correspondant à sa requête : taper 1 pour acheter une carte, 2 pour remplacer une carte invalide, 3 pour créer son compte utilisa-

teur, 4 pour lire les informations inhérentes à ce service, 5 pour contacter le support, 0 pour sortir du programme…

Le service est en tout point identique à celui d’un shop car il est même possible de re-chercher un numéro de carte par pays ou par banque. Cette multiplication des black markets sur ICQ pourrait poser de graves problèmes aux autorités car ils sont beaucoup moins repérables qu’un site Internet.

Jabber Jabber Jabber Jabber ---- Après ICQ, Jabber est devenu le deuxième outil indispensable aux cybercrimi-nels. Bien que proposant aussi une messagerie instantanée, il ne peut être considéré comme un concurrent direct d’ICQ car son emploi n’est pas le même.

Construit sur le protocole ouvert XMPP (Extensible Messaging and Presence Protocol), Jabber permet de chiffrer ses conversations, de créer son propre serveur ou de naviguer sur les milliers de serveurs Jabber disponibles à travers le monde.

Figure 17 : Service de ventes de cartes par ICQ

Figure 18 : Service de ventes de cartes par ICQ (2)

Page 26: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 25 sur 73

De plus, il est possible de se connecter directement à ICQ depuis Jabber par un système

de passerelle, ce qui pourrait décider certains cybercriminels à continuer à utiliser ICQ tout en bénéficiant de la sécurité et de la performance de Jabber.

Jabber a notamment fait parler de lui avec le cheval de Troie bancaire Zeus. L’une de ses versions nommée « JabberZeus » permettait d’envoyer au cybercriminel en temps réel

via un serveur Jabber les informations recueillies dans les ordinateurs compromis.

Communiquer via des forums présente des risques : ces supports peuvent à tout mo-ment être fermés par les autorités. Ils sont également régulièrement infiltrés par les ser-

vices de police. Les administrateurs de forums mettent donc en place des réseaux paral-lèles sur Jabber pour organiser des conférences de façon permanente ou occasionnelle.

Le forum ci-dessous a par exemple créé son propre serveur sur Jabber et les membres peuvent s’y rendre à tout moment.

Ces serveurs peuvent être privés ou ouverts à tous les membres d’un forum comme l’illustrent ces deux exemples :

• Créé sur Jabber, le réseau ci-dessous n’est ouvert qu’aux modérateurs du forum

et aux vendeurs « vérifiés ». « La conférence a été créée. […] Le mot de passe […] n’est que pour les modérateurs et les vendeurs. Pour les autres, ce ne sera qu’après vérification. »

• La conférence ci-dessous est à l’inverse ouverte à tous les membres du forum.

« On a discuté avec Corpse (super modérateur du forum) de la possibilité de créer une conférence sur Jabber et nous avons décidé qu’il était temps de se

réunir et de discuter de tout ce qui est intéressant. La conférence aura lieu au-jourd’hui, le 24/10/2010 à 21h, heure de Moscou. Le thème de la conférence : discussions sur le matériel de carding, la programmation, les problèmes à venir, les informations récentes, l’échange d’expérience, etc. Toutes les informations

Figure 19 : Possibilité de notification par jabber du banker ZeuS

Figure 20 : Serveur Jabber privé d'un black market

Page 27: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 26 sur 73

au sujet de la réunion et le mot de passe seront publiée une heure avant le dé-

but […]. »

Un serveur est particulièrement apprécié des cybercriminels : thesecure.biz. Sécurité et

anonymat en sont les mots d’ordre. L’inscription est gratuite mais le site accepte volon-tiers les dons par Webmoney. Aucune information n’est disponible sur le ou les créateurs

de ce serveur mais des investigations permettent de relever deux éléments majeurs :

• Le site Internet, localisé en Allemagne, est hébergé par « Hetzner Online AG ».

Cette société, bien connue des autorités, a déjà pu être reliée à plusieurs affaires cybercriminelles : en 2009, lors d’une tentative d’hameçonnage des clients SFR

et Neuf Télécom et en 2010 lors de l’envoi d’un cheval de Troie à Reporters Sans Frontières par le biais d’un courriel ;

• Le nom de domaine a été enregistré par un certain « Sergey Ryabov », résidant

en Russie. Plusieurs dizaines de sites web hébergeant des codes malveillants ont pu être directement associés à cette même personne.

Un outil indispensable : les checkers Tous les shops sont équipés de « checker » qui leur permet de vérifier la validité d’une carte. Les clients ne payant que pour des cartes utilisables, toutes les cartes déclarées

invalides par le checker seront automatiquement remboursées sur le compte du client. Cette opération ne prend que quelques secondes sur le site et le client n’a pas la possibi-

lité de savoir de quel checker se sert l’administrateur.

Figure 21 : une conférence Jabber ouverte à tous

Figure 22 : un checker

Page 28: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 27 sur 73

Les checkers peuvent être des programmes informatiques ou des sites Internet privés ayant des options d’utilisation plus ou moins étendues.

Il suffit de rentrer les 16 chiffres du numéro de la carte, la date d’expiration et parfois le code secret (CVV) pour que la carte soit déclarée valide ou non. Une somme générale-

ment comprise entre 0,01 et 3 $ peut être prélevée mais certains checkers s’en dispen-sent de peur de d'invalider la carte.

Certains checkers proposent en option de savoir quel est le montant maximal autorisé par la carte. Si le cybercriminel désire par exemple procéder à un achat de 2 000 euros

sur Internet, il pourra ainsi demander une pré-autorisation de paiement afin de savoir si le montant peut être supporté ou non. Tout à fait légal à l’origine, ce système est utilisé

dans de nombreuses professions (bijoutiers, magasins de luxe, location de véhicules…).

Autre option : le checker permet de savoir si une carte est vérifiée par Visa Verified ou par Mastercard Secure Code. Selon le site Internet visé, le cybercriminel pourra en effet choisir d’utiliser une carte non reliée au système de vérification utilisé. A noter que les

cartes sont parfois directement vendues avec ces détails.

Ces deux dernières options (pré-autorisation de prélèvement et système de vérification

de la carte) intéressent au premier plan les cybercriminels qui achètent leurs propres checkers.

Figure 23 : conditions d'utilisation d'un checker

Figure 24 : Checker logiciel

Page 29: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 28 sur 73

Les infrastructures : les serveurs bulletproof

Le premier souci des cybercriminels est l’anonymat. C’est la raison pour laquelle ils ont notamment détourné le protocole DNS et utilisent l’architecture même d’Internet, un réseau de réseaux, pour mettre en place un dispositif leur garantissant anonymat et

haute disponibilité. Ce sont les serveurs dits « bulletproof », ou littéralement « à l’épreuve des balles ».

L’une des caractéristiques de ces serveurs est de proposer des hébergements sans se soucier de l’utilisation qui sera faite de l’espace loué. Certains hébergeurs affichent

même fièrement leurs convictions sur leur page d’accueil : « We will never shut down, no matter how many complaints we receive ». Autrement dit : « nous ne serons jamais dé-connectés, peu importe le nombre de plaintes que nous recevons ». Une garantie dont la valeur est évidemment difficile à évaluer…

Un shop « vandalisé » par ses clients… Un site de vente de numéros de cartes a récemment connu des problèmes ré-currents avec son checker. Les difficultés ont duré des semaines comme l’illustrent les messages ci-dessous.

Le shop fut fermé à de nombreuses reprises et dut même faire face à une clien-tèle protestant contre les non-remboursements de certaines cartes non valides. Le 12 février 2011, une défaillance technique avec le checker amène au con-traire ce dernier à rembourser automatiquement les clients, y compris ceux ayant acheté des cartes valides. Certains utilisateurs perçoivent la faille et vident littéralement le shop d’une partie de ses cartes sans rien payer. L’administrateur est furieux : les clients concernés sont bannis du site et, à moins de rembourser, ne pourront plus y accéder. Les adresses IP sont relevées afin de ne pas leur permettre d’ouvrir un nouveau compte sans s’acquitter de leur dette.

Figure 25 : Promotion d’un serveur bulletproof

Page 30: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 29 sur 73

Le protocole DNS a initialement été conçu pour faciliter la mémorisation d’adresses Internet. Pour se connecter à un site, il faut connaître son adresse IP. Or, le format de ces

adresses est loin d’être simple à mémoriser. Ainsi, le protocole DNS permet d’associer à une adresse IP une URL qui est plus littérale et plus facile à mémoriser qu’une suite de chiffres. Par exemple, l’adresse IP de Google 66.249.92.104 est associée à l’URL

www.google.fr.

Pour assurer la haute disponibilité de leurs ressources, les pirates ont utilisé les failles du

protocole pour associer plusieurs adresses IP à une URL. Derrière une seule et même URL se cachent ainsi de nombreux serveurs répartis dans le monde entier. C’est la technique

du fast flux. Il est donc très difficile d’identifier ces serveurs et dès lors de les faire fermer.

Cette technique est notamment utilisée pour les campagnes de phishing. En hébergeant le site d’hameçonnage sur plusieurs serveurs accessibles via une même URL grâce au fast flux, les fraudeurs accroissent fortement le temps de présence sur Internet du site mal-veillant. Cette continuité de service augmente ainsi proportionnellement leurs revenus. Ils en profitent d’ailleurs parfois pour héberger d’autres types de contenus illicites comme des images pédopornographiques ou des codes malveillants.

Une autre utilisation classique des serveurs bulletproof est la mise en place de serveurs de C&C (control and command1) pour contrôler les ordinateurs contaminés par un che-val de Troie. Grâce à ces serveurs, le pirate peut réaliser toutes les actions qu’il désire sur les machines « zombies » tout en restant anonyme. Il va en particulier pouvoir voler sans

crainte les identifiants bancaires et les comptes mails de ses victimes.

Pour renforcer l’accessibilité et l’anonymisation des serveurs C&C, les pirates ont égale-

ment mis en place un maillage « upstream » qui camoufle au maximum les serveurs malveillants et leur assure une très bonne connectivité Internet. Avec cette architecture, les serveurs bulletproof ne sont en fait pas directement connectés aux fournisseurs d’accès à Internet mais à une série de serveurs, dit « upstream providers », qui sont con-nectés à Internet et interconnectés entre eux. Ces serveurs upstream sont tout à fait légaux, si ce n’est qu’ils sont volontairement connectés aux serveurs bulletproof. Aucune action malveillante n’est directement diligentée depuis ces serveurs. Avec ce maillage, si l’un des serveurs « upstream providers » est déconnecté d’Internet, le serveur bulletproof sera toujours relié à la Toile via un autre serveur et sera de fait toujours en mesure de contrôler les serveurs C&C et les ordinateurs zombies. Cette technique rend encore plus

difficile la localisation des serveurs malveillants.

Figure 26 : Enregistrements DNS utilisant le Fast-Flux.

1 : Serveur C&C - Serveur utilisé par un pirate pour contrôler à distance des ordinateurs qu’il aura infecté. Ces serveurs lui permettent de renforcer son

anonymat.

Page 31: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 30 sur 73

Les ordinateurs contrôlés depuis les serveurs C&C du serveur bulletproof forment un botnet. Profitant alors de plusieurs milliers, voire de plusieurs dizaines de milliers d’ordinateurs, les pirates peuvent lancer des attaques DDoS massives. Ces attaques con-naissent aujourd’hui un large succès. Au-delà des attaques DDoS à but économique, déjà bien connues, la force de frappe qu’apportent les serveurs bulletproof fait de cette technique une réelle arme de guerre. Des pirates d’origine russe n’ont pas hésité à la mettre en œuvre lors du conflit russo-géorgien de 2008.

Les serveurs bulletproof permettent donc d’industrialiser des techniques d’attaques déjà anciennes mais toujours efficaces. La tendance du marché est d’ailleurs la vente de solu-

tions clefs en main. Des utilisateurs n’ayant pas de compétences particulières en infor-matique peuvent ainsi, sans grandes difficultés, se lancer dans la cybercriminalité et en tirer une source de revenus illégaux non négligeables, par exemple en louant un serveur

dédié pour 250 $/mois chez spamhost.com, un célèbre serveur bulletproof, afin d’héberger un site de phishing et de lancer des campagnes de spam via le service xru-mer. Les serveurs bulletproof contribuent donc clairement à l’émergence du CaaS ou Crimeware As A Service.

Figure 28: Service d’hébergement bulletproof.

Figure 27 : l’architecture proposée par un « upstream provider »

Page 32: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 31 sur 73

Lutter contre les serveurs Lutter contre les serveurs Lutter contre les serveurs Lutter contre les serveurs bulletproofbulletproofbulletproofbulletproof ---- Le cœur d’Internet est constitué de réseaux indépendants interconnectés les uns aux autres. Ces réseaux sont appelés Autonomous System ou AS et sont répartis en trois catégories :

• Les Tier-1 : AS de niveau international. Ils s'interconnectent entre eux ou se con-

nectent avec les Tier-2 les plus vastes soit directement soit via des Network Ac-cess Point (NAPs).

• Les Tier-2 : AS de niveau national ou régional. Ils sont interconnectés entre eux

et sont connectés aux AS Tiers-1 et 3.

• Les Tier-3 : AS de niveau local.

Les pirates ont déjà réussi à compromettre certains AS Tier-3 en prenant le contrôle des serveurs qui en dépendent. Ces « AS malveillants », qui sont par définition connectés à

des AS sains et légaux, contribuent ainsi au bon fonctionnement d’Internet en partici-pant au routage de l’ensemble des flux, qu’ils soient légitimes ou criminels.

Pour détecter ces AS corrompus, les mieux armés sont les FAI qui les gèrent. Ceux-ci peuvent par exemple surveiller les flux et détecter toute augmentation anormale du

trafic vers des plages d’IP qui appartiendraient à l’un d’eux.

Figure 29 : illustration d'un réseau avec des AS. Si seul l'ASXXX2 est malveillant, il fait transi-

ter de nombreux flux légitimes, en particulier tout ceux émis par, et à destination de l'ASXXX5

Figure 30 : localisation des serveurs malveillants identifiés par Malware Domain List

durant le mois d’avril 2011

Page 33: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 32 sur 73

Mais après la détection et l’identification, toute la difficulté est de pouvoir déconnecter

l’AS malveillant. Couper simplement les connexions des AS bulletproof identifiés aurait en effet une double conséquence. D'une part, cela bloquerait tous les flux entrants et

sortants de cet AS, y compris les flux légitimes. D’autre part, pour permettre aux flux légitimes d’atteindre la bonne destination, il faudrait revoir les tables de routage de chaque routeur afin de contourner l’AS qui aurait été banni d’Internet.

Une telle opération génèrerait donc des coûts très importants et risquerait de provoquer un ralentissement du trafic Internet mondial avec d’inévitables pertes de paquets, faute

de table de routage à jour. De surcroît, les AS bulletproof hébergeant aussi bien des contenus malveillants que légaux, la mesure aurait également pour conséquence de

rendre définitivement inaccessibles certains contenus licites.

Page 34: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 33 sur 73

LES ACTEURS DES BLACK MARKETS

Entre goût du secret et besoin de publicité : une criminalité schizophrène

Le comportement des cybercriminels peut dérouter tant il semble parfois inconstant et variable. D’un côté, ils s’exposent à outrance sur la Toile et expliquent en détail les ru-

diments de la fraude en ligne. Le ton est jovial et les questions des novices sont traitées avec considération, la cybercriminalité étant perçue comme permettant à chacun d’obtenir « sa part du gâteau »… Des « universités » apparaissent même sur le web avec

des programmes aux matières peu orthodoxes : introduction à la cybercriminalité (50 $), cours de scam (200 $), l’art de frauder les jeux en ligne (300 $), création de botnet (500 $).

D'un autre côté, la cybercriminalité cherche aussi la discrétion et le secret. La moindre question fera redouter la présence d’un policier infiltré et les sites seront fermés, rom-

pant toute possibilité de prise de contact.

Voici par exemple quelques unes des recommandations d’un administrateur de black market à ses membres : « ne communiquer à personne l’adresse du site et ne pas parler de son existence, indiquer à l’administrateur tout site Internet où un commentaire serait

fait sur son black market ainsi que le nom de l’auteur du message ».

Figure 31 : « université » du cybercrime

Figure 32 : Message d’avertissement sur un forum

Page 35: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 34 sur 73

Ce comportement paradoxal ne s’explique pas simplement par la division existant entre

les pirates novices, traditionnellement plus bavards, et la criminalité organisée, par es-sence plus discrète. Les cybercriminels aguerris aiment aussi s’exposer aussi bien pour

vendre leurs trouvailles au grand public que pour recruter des débutants pour certaines opérations.

Vaste réseau, la cybercriminalité fait appel à de multiples protagonistes mais le rôle et l’importance de certains d’entre eux sont méconnus. En matière de carding, on oublie ainsi souvent le rôle clé joué par certains individus dans le vol « physique » de données

bancaires. Les liens entre cybercriminels et organisations mafieuses n’ont également jamais pu être établis avec certitude. De même qu’il est difficile de prouver le lien entre

certaines attaques informatiques et les services étatiques de tel ou tel pays régulière-ment montré du doigt.

Des « associations internationales de malfaiteurs »

Les cybercriminels opèrent rarement isolés. C’est pourquoi de multiples forums leur

permettent d’échanger et de trouver des partenaires pour des opérations précises. Par-tenaire d’un jour ne signifie d’ailleurs pas partenaire de toujours car le choix d’un com-plice n’est pas fondé sur des critères personnels mais techniques (son lieu de résidence

par exemple).

À l’instar d’un panneau affichant en temps réel les cours de bourse, les annonces défilent

en continu sur certains forums afin d’identifier la ou les compétences manquantes à l’opération. La rapidité, voire l’instantanéité, sont fondamentales.

Les facteurs motivant les choix des cybercriminels dans leurs « partenariats » sont mul-

tiples et complémentaires.

Le facteur de compétences

Même des actions simples requièrent de multiples compétences. Or un cybercriminel ne peut pas maîtriser tous les savoir-faire : piratage informatique, hébergement de serveurs, création de faux documents et de sites web, blanchiment d’argent, etc.

Les cybercriminels se spécialisent donc dans l’une ou l’autre de ces activités et préfèrent partager leurs gains dans une opération réussie plutôt que de courir un risque d’échec

en tentant de maîtriser toute la chaîne.

Dans une affaire récemment jugée aux Etats-Unis, un cybercriminel nommé Gonzalez faisait ainsi appel au dénommé Maksik pour vendre les numéros de cartes qu’il avait piratées. Il avait également acquis un sniffer auprès de Stephen Watt (programmeur à

Figure 33 : Interface d'affichage d'annonces cybercriminelles en temps réel

Page 36: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 35 sur 73

Morgan Stanley) et avait collaboré durant deux ans avec des pirates d’Europe de l’Est

afin de déchiffrer des codes PIN. Quant à la partie blanchiment d’argent, elle était gérée par un Américain du nom de Zaman.

Le facteur temps

Le fait que chaque cybercriminel soit affecté à un rôle précis diminue fortement la durée de réalisation de l’infraction.

Cette rapidité d’exécution est indispensable pour ne pas laisser le temps aux sociétés ou particuliers visés de prendre conscience qu’ils ont été victimes d’une attaque informa-

tique. Elle permet de plus de déplacer des liquidités en un temps minimal, ce qui réduit le risque de voir les autorités bloquer ces circuits financiers illégaux.

Le facteur risque

La réponse pénale peut être très variable selon l’activité à laquelle s’adonne un cyber-criminel, comme en témoignent les peines très hétérogènes prononcées aux États-Unis à l’encontre de Gonzalez et de ses complices.

• Stephen Watt, le créateur du sniffer ayant permis à Gonzalez de pirater des mil-lions de numéros de cartes de crédit, n’a été condamné qu’à deux ans de prison. Cet ingénieur informatique travaillait pourtant pour la banque d’investissement

Morgan Stanley, ce qui aurait pu être considéré comme une circonstance ag-gravante. Il ne pouvait en outre ignorer l’utilisation qui serait faite de son sniffer.

• Gonzalez a été condamné à 20 ans de prison. Le hacker était déjà bien connu des autorités et cette lourde peine ne fait que traduire la tolérance zéro des États-Unis envers le piratage de données bancaires.

• Zaman, chargé de blanchir l’argent de Gonzalez, a été condamné à 46 mois de prison. Celui-ci bénéficiait d’une commission de 10% sur tous les bénéfices de

Gonzalez et travaillait lui aussi dans le secteur bancaire (Barclays Bank).

Les risques encourus expliquent que certains cybercriminels se refusent à réaliser eux-

mêmes des opérations simples comme des retraits d’espèces avec des cartes bancaires falsifiées. Le risque d’être identifié par les caméras de vidéosurveillance des distributeurs

automatiques est élevé. D’où le recours à des « mules » chargées de recevoir des vire-ments bancaires ou des mandats Western Union. Ces dernières sont d’ailleurs souvent présentées comme des victimes malgré les larges commissions qu’elles perçoivent.

Le facteur temps dans l’affaire Gonzalez

Le facteur temps apparaît clairement dans l’affaire Gonzalez. Dans l’extrait de conversation ci-dessous, ce dernier presse Maksik de vendre au plus vite les données piratées car il sait que la société Visa peut à tout moment identifier les victimes et bloquer les cartes. Or des cartes invalidées n’ont plus aucune valeur et représenteraient pour les deux comparses une importante perte financière. [Gonzalez] visa knows [major retailer] is hacked [Gonzalez] but they don’t know exactly which stores are affected

Page 37: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 36 sur 73

Il n’existe donc pas forcément de corrélation entre l’importance du risque pénal et le

montant des bénéfices reçus. Chacun évalue le risque qu’il est prêt à courir et le montant de cette prise de risque même si des pourcentages-type peuvent être définis. Pour rece-

voir un virement bancaire sur son compte, le partage est ainsi généralement fixé à 50 %.

Pour les transferts provenant de Western Union ou Money Gram, les mules employées perçoivent une commission de 8 à 10 % du montant total de la transaction. Pour le re-

trait d’espèces à un distributeur automatique, la commission est, elle, comprise entre 50 et 75 %.

Ces pourcentages peuvent cependant être très variables selon la fréquence des transac-tions entre les deux parties et le montant des opérations.

Le facteur géographique

Les cybercriminels ne sont limités par aucune frontière et peuvent viser le pays de leur choix. La distance géographique ne constitue pas un frein mais un avantage car elle

permet de se protéger d’éventuelles poursuites, la coopération internationale étant encore restreinte en matière de lutte anti-cybercriminalité.

Il est cependant souvent nécessaire de faire appel à un complice dans le pays visé pour certaines actions impliquant une présence physique (réception de marchandises, retrait

en liquide de virements bancaires,etc.). Dans chaque forum, des rubriques sont ainsi consacrées aux « offres et recherches d’emplois ».

Les forums Internet jouent donc clairement un rôle de facilitateur dans ces « associations

internationales de malfaiteurs ». Gonzalez a ainsi lié connaissance avec tous ses com-plices dans les forums, à l’exception de Stephen Watt qu’il connaissait dans le « monde réel ».

Figure 34 : Exemple de commission proposée à une « mule »

Figure 35 : Exemple de commissions en faveur d’une « mule » (Retrait d'espèces)

Figure 36 : la rubrique "offres d'emplois" d'un

black market

Page 38: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 37 sur 73

Des profils très variés

Qui se cache derrière ce nouveau business ? Les administrateurs des forums et shops ont-ils un profil type ? Trois exemples permettent d’illustrer la variété des acteurs impli-qués.

Exemple n°1 : le shop « professionnel »

En décembre 2009, un nouveau forum dédié au carding et au hacking voit le jour sur Internet. L’objectif annoncé par ses créateurs est de se poser en nouveaux leaders car, selon eux, la qualité du marché cybercriminel sur Internet a chuté. Un an plus tard, les administrateurs du forum créent leur propre shop de carding.

Avantage clé : dans le shop, les numéros de cartes mis en vente ne seront que ceux né-gociés entre les administrateurs et les vendeurs déjà connus du forum. Le risque de « ripping » est nul et il n’est pas nécessaire de partir à la recherche de vendeurs de cartes à bas prix. Le forum compte plus de 3 800 membres qui sont autant de clients potentiels pour le nouveau shop. Un tel développement témoigne d’un véritable savoir-faire mar-keting.

Exemple n°2 : le shop « amateur »

A l’inverse, certains shops sont beaucoup plus amateurs dans leur manière de s’organiser. Le site de carding ci-dessous achète des lots de cartes à n’importe qui et quelle que soit la quantité avec un partage des gains à 50/50.

Il est aussi possible de s’adresser directement à l’administrateur pour acheter des quanti-tés importantes de numéros sans passer par le site. L’appât du gain a même amené les dirigeants à se « franchiser » en proposant à la vente le script de leur site pour des per-

sonnes désirant ouvrir leur propre shop.

Figure 37 : annonce de création d'un nouveau shop dédié du carding

Figure 38 : Un shop "amateur"

Page 39: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 38 sur 73

Cette organisation artisanale ne signifie pas pour autant moins de bénéfices. Ce dernier shop est très populaire et les utilisateurs lui ont donné bonne réputation.

Exemple n°3 : les « historiques »

Derrière certains black markets se cachent aussi des cybercriminels très connus. En no-vembre 2010, un nouveau site de vente de numéros de cartes bancaires arrive sur la Toile. Le nom de son créateur, « Smooch », ne passe pas inaperçu car ce dernier est un cybercriminel actif depuis 2002 et recherché au niveau international. Il s’est fait con-

naître dans des forums tels que Carderplanet ou Shadowcrew pour des services de mules et de blanchiment d’argent. Neuf ans plus tard, Smooch est toujours bien présent à travers cette nouvelle activité.

Certains anciens de Shadowcrew ne sont pas aussi "chanceux" que Smooch. Un britan-

nique de 33 ans d’origine sri lankaise s’est vu condamné à 56 mois de prison en mars 2010 pour avoir animé un forum privé usité par plus de 2 500 cybercriminels. Pizzaiolo le jour et administrateur la nuit, Renukanth Subramaniam alias JiLsi, s’est fait repérer dans

le cybercafé où il opérait pour mettre à jour son site. Trois ans d’enquête auront été né-cessaires au FBI pour le localiser. Cette conclusion de l’un des enquêteurs est révélatrice :

« c’était l’un des dix meilleurs sites dans le monde mais il y en a plus d’une centaine que nous connaissons et une autre centaine que nous n’avons pas encore découvert. »

L’ennemi numéro un des cybercriminels : le ripper

Les cybercriminels les ont en horreur et pour cause : il est difficile d’y échapper. Les rip-pers sont les cybercriminels doublement malhonnêtes : ils se font passer pour des ven-deurs légitimes ou montent de faux sites de black markets et disparaissent une fois l’argent encaissé.

Ils ne font en fait que profiter des failles inhérentes au commerce électronique : toutes les transactions s’effectuent entre des personnes qui ne se connaissent pas dans le

« monde réel ».

Figure 39 : Créer sa franchise de shop de carding

Figure 40 : Message d'alerte contre les rippers

Page 40: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 39 sur 73

Ce black market proposant à la vente des données bancaires est ainsi un faux. Après avoir payé 100 $ d’inscription, le client s’aperçoit qu’il est impossible d’accéder au site. Ce cas est loin d’être isolé et de nombreux sites sévissent ainsi sur la Toile.

Les rippers sont présents à tous les stades de la cybercriminalité. Mais une solution a été mise en œuvre1 pour sécuriser les transactions : le recours aux « escrow services ». Un « escrow » peut être défini comme un tiers de confiance qui va permettre de finaliser une transaction entre deux personnes n’ayant jamais traité ensemble auparavant.

Exemple : un hacker propose de vendre des numéros de cartes de crédits à un individu. Le hacker ne veut pas envoyer les numéros de cartes le premier car il a peur de ne pas être payé. Quant au client, il ne veut pas payer d’abord car il redoute que le hacker ne lui envoie pas les numéros de cartes attendus. Afin d’éviter des discussions sans fin et mi-nimiser les risques de part et d’autre, l’escrow va prendre part aux termes de l’échange : le hacker va lui envoyer les numéros de cartes, le client l’argent. L’escrow s’assure alors que les conditions de la transaction sont respectées. Une fois les vérifications terminées,

il procède aux échanges. Dans la majorité des forums, des services d’escrow sont re-commandés directement par les administrateurs.

Dans l’exemple ci-dessous, le tiers de confiance se rémunère par un prélèvement de 5 % sur le montant total de l’échange.

1 : Les membres d’un forum ont généralement différents sta-tuts, ce qui permet théori-quement de reconnaître les personnes « dignes de con-fiance ». La majorité des membres des forums possé-dant le statut d’invités, cela ne permet cependant pas de résoudre le problème des rippers.

Figure 41: Un cas de black market « ripper »

Figure 42 : Exemple d’un escrow service recommandé dans un forum.

Page 41: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 40 sur 73

L’ECONOMIE DES BLACK MARKETS

La cybercriminalité est une activité économique en pleine expansion. Au-delà de ce

constat global, est-il possible d’évaluer les revenus d’un cybercriminel ? Une estimation est-elle réalisable à partir d’une observation des black markets ? Autre question clé : comment s’effectuent les transactions financières propres à cette économie souterraine?

Si la cybercriminalité n’aurait pas pu se développer aussi rapidement sans les systèmes de monnaie virtuelle, les circuits classiques de blanchiment d’argent jouent également

un rôle important.

L’affaire Gonzalez servira de fil conducteur à ces développements. Elle démontre en effet parfaitement le rôle spécifique de chacun des intervenants : hacking, vente de données illicites et blanchiment d’argent.

Les profits des cybercriminels

Les profits générés par la cybercriminalité sont difficilement quantifiables car l’activité d’un certain nombre de black markets est tout simplement impossible à évaluer, tant en termes de bénéfices réalisés que de volume de clientèle.

Certaines arrestations permettent a posteriori de découvrir les fortunes détenues par certains cybercriminels. Mais l’analyse est biaisée et partielle puisque les profils étudiés correspondent aux acteurs ciblés par les autorités (hackers, administrateurs de forums ou de sites de vente de données bancaires) et ne sont donc pas représentatifs de l’ensemble des protagonistes.

Analyse à partir des affaires judiciaires connues

La presse relate régulièrement l’arrestation de cybercriminels et la manière dont ils se sont enrichis. Prenons par exemple la célèbre affaire Gonzalez et effectuons une compa-

raison avec la vente de numéros de cartes bancaires qui est l’un des rares marchés dont les bénéfices peuvent être calculés en amont.

En 2007, Maksim Yastremskiy, plus connu sous le pseudonyme de Maksik, est arrêté en Turquie. Cet Ukrainien se fournissait régulièrement en numéros de cartes bancaires au-près d’un hacker américain, Gonzalez, qui à l’aide d’injections SQL et de sniffers a pu en obtenir des quantités très importantes. Maksik revendait ensuite ces données en gros ou au détail sur son site. Maksik et Gonzalez opéraient selon une clé de répartition 50/50 :

environ chaque semaine, suivant la progression des ventes, la moitié des bénéfices était envoyée à Gonzalez.

En quatre ans, Maksik a pu générer un revenu de onze millions de dollars à lui seul, ré-parti de la manière suivante :

Page 42: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 41 sur 73

Maksik est-il une exception ? De nombreux administrateurs de shops peuvent-ils faire des bénéfices aussi considérables ? Les éléments ci-dessous résultent de l’observation d’un shop de taille moyenne durant un mois.

La méthode a consisté à relever le nombre de cartes proposées au début du mois de janvier 2011 et à la fin du mois, à calculer combien de cartes avaient été vendues et à

relever leur prix, celui-ci dépendant à la fois du pays et du type de carte (Visa, Master-card, AMEX…).

En un mois, 30 180 numéros de cartes ont été vendus pour un chiffre d’affaires total de 193 752 $, soit 1 006 numéros achetés quotidiennement. L’existence de ce site remon-tant au minimum au 15 novembre 2009, il est possible d’évaluer les profits déjà réalisés

par le ou les propriétaires. Sur une durée de quatre ans, le site aurait donc pu générer 9 300 096 dollars, soit un revenu proche de celui de Maksik.

Historique de conversation ICQ de Gonzalez et Maksik

Cet enregistrement des conversations ICQ récupéré par les autorités améri-caines démontre que Gonzalez s’informait régulièrement auprès de son reven-deur Maksik de l’état de leurs finances : [Gonzalez] ok good – do you have approximate amount total $ needed to be sent to me ? [Maksik] well, because of some orders are pending, I can tell

you approximately [Maksik] I have so far around 100k for you [Gonzalez] :))) [Maksik] and from what I have left, it should be around 15-20k

more [Gonzalez] I think selling this information is better for me

instead of dealing with cashers

Figure 44 : Estimation des revenus de cybercriminels

Figure 43 : Répartition des revenus de Maksik

Page 43: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 42 sur 73

Tous les sites n’ont cependant pas le même niveau d’activité, certains proposant à la

vente un nombre bien inférieur de numéros de cartes. Un nouveau shop peut toutefois croître très vite. L’historique du site ci-dessous permet par exemple d’observer sa pro-

gression. Ouvert depuis le 10 décembre 2010, le site ne proposait à ses débuts « que » 1 745 numéros de cartes. Le 27 janvier 2011, 4 570 numéros sont ajoutés, l’activité du site commençant à se développer. Le succès a ensuite été rapide car deux semaines plus

tard, 27 872 numéros supplémentaires étaient mis en ligne.

Evaluation à partir des prix observés sur les shops

Certaines activités cybercriminelles sont beaucoup moins connues. Leur rôle est pour-

tant clé dans la chaîne cybercriminelle. Il s’agit par exemple de la fabrication de scans de faux documents officiels, de la recherche de dates de naissance, de numéros de sécurité sociale, de la réception de SMS ou d’appels téléphoniques, du piratage de boîtes mails,

etc. Certains sites Internet sont exclusivement dédiés à ces services. Leurs prix sont gé-néralement assez élevés, comparativement à d’autres activités courantes des black mar-kets.

Pour des scans de documents officiels, les prix varient par exemple de 25 à 100$, les plus

demandés étant ceux de cartes bancaires, de passeports, de factures attestant le domi-cile et de relevés bancaires pour une moyenne de 30 $ chacun. Le site enregistre les informations désirées par le pirate (nom, prénom, adresse, etc.) et les administrateurs

piochent ensuite dans leur base de données des exemplaires de ces documents prove-nant de nombreux pays.

Autre exemple de « niche » cybercriminelle : la fraude aux compagnies aériennes. Cer-

tains individus proposent de réserver en ligne des billets d’avion avec des numéros de cartes obtenus frauduleusement. Les voyageurs rémunèrent le cybercriminel selon un

pourcentage du prix total du billet (dans l’exemple ci-dessous pour 20 à 30 % du prix).

Figure 45 : Historique de l'approvisionnement d'un black market

Figure 46 : Listing de prix

Page 44: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 43 sur 73

Quels sont les revenus générés par ces activités ? Sont-ils plus élevés que ceux prove-nant de la vente de données bancaires ? La difficulté de l’exercice réside dans le fait qu’une part importante de ces transactions se fait généralement par ICQ, Jabber ou

courrier électronique et qu’aucune trace de cette activité n’apparaît ainsi sur le site web proprement dit.

Le faible nombre d’enquête complique encore singulièrement les choses. La relative impunité dont jouissent certains de ces sites est d’ailleurs inquiétante. Mais elle traduit

une réalité : nombre de ces délits ne font l’objet d’aucune poursuite. Plusieurs raisons peuvent être avancées : les victimes ne portent pas plainte ; le coût des enquêtes est parfois supérieur à celui de la fraude ; la coopération internationale est insuffisante ;

faute de disposer des moyens adéquats, les pouvoirs publics ont d’autres priorités, etc.

Un outil clé : la monnaie virtuelle

L’économie de la cybercriminalité doit prendre en compte deux contraintes majeures :

toutes les transactions s’effectuent au travers des frontières entre des personnes devant rester anonymes et tout paiement doit être instantané car le moindre délai pourrait

faciliter la détection du délit.

La monnaie virtuelle a su répondre à ces deux contraintes. À l’instar d’une zone ou d’une

communauté économique, les cybercriminels du monde entier se sont accordés sur l’utilisation d’une, voire de deux monnaies exclusives afin de faciliter leurs échanges.

Définition

Qu’estQu’estQu’estQu’est----ce que la monnaie virtuellece que la monnaie virtuellece que la monnaie virtuellece que la monnaie virtuelle ? ? ? ? ---- La monnaie virtuelle utilisée dans les marchés

noirs de la cybercriminalité – à ne pas confondre avec la monnaie virtuelle servant dans les jeux multi-joueurs en ligne sur Internet ou des simulations comme Second Life (qui

utilise le Linden Dollar) – est une solution qui permet, grâce au porte-monnaie virtuel qui s’y rattache, de réaliser des achats en ligne sans communiquer ses coordonnées ban-caires.

Le succès de la monnaie virtuelleLe succès de la monnaie virtuelleLe succès de la monnaie virtuelleLe succès de la monnaie virtuelle sur les sur les sur les sur les black marketsblack marketsblack marketsblack markets - Initialement prévue pour simplifier les transactions - légales - sur Internet (pour les internautes ne disposant pas

de carte bancaire ou ne voulant pas l’utiliser), son utilisation présente des avantages non-négligeables pour le cybercriminel : simplicité, anonymat et opacité, fiabilité et

sécurité.

La monnaie virtuelle la plus rencontrée actuellement dans les Black Markets est Liberty Reserve. Son importance est telle que lorsque le site de la société ne fonctionne plus, c’est toute l’économie cybercriminelle qui s’en retrouve perturbée.

Dans le commentaire ci-dessous, un carder évoque ainsi la récente panne de Liberty Reserve du 31 mars au 5 avril 2011 et le manque à gagner que cela représente pour lui.

« Je ne suis pas inquiet du tout de ne pas retrouver mon compte (Liberty Reserve) comme je l’ai laissé mais perdre du temps dans notre profession c’est perdre de l’argent.

Figure 47 : Fraude aux compagnies aériennes

Page 45: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 44 sur 73

C’est une leçon pour moi que de ne compter que sur une seule monnaie virtuelle. Je vais

retirer mon argent dès que possible et garder uniquement dans mon compte le montant nécessaire pour des opérations quotidiennes. Pour moi, carder, si je ne peux pas me servir de Liberty Reserve pour acheter des dumps, cela va représenter d’ici le weekend une perte de 3000 à 4000$. »

Trois systèmes principaux

Le choix d’une monnaie est motivé par des critères précis : anonymat, instantanéité des transactions, possibilité de stocker ou de faire circuler de fortes sommes d’argent sans restriction et sans plafonnement, absence de mesures de prévention contre le finance-

ment d’activités criminelles ou le blanchiment de capitaux.

L’histoire de la cybercriminalité à été marquée par trois monnaies virtuelles : E-gold,

Webmoney et Liberty Reserve.

EEEE----GoldGoldGoldGold ---- Très active entre 1996 et 2006, E-gold aurait pu rester la monnaie de référence des cybercriminels si des ennuis avec la justice américaine n’avaient fortement perturbé son activité et fait fuir tous ses utilisateurs. Dès que les difficultés d’E-gold ont commen-

cé, deux monnaies ont dès lors régulé le marché : Webmoney et Liberty Reserve.

WebmoneyWebmoneyWebmoneyWebmoney ---- Le succès de Webmoney, société implantée en Russie, a pendant long-

temps reflété l’importance de la cybercriminalité dans cette région du monde. Mais la tendance s’est récemment inversée. Avec la notoriété et un fort développement interna-

tional, Webmoney s’est vu contraindre de réviser ses pratiques pour pouvoir conclure de nouveaux contrats comme celui signé en décembre 2010 avec la société américaine « Steam » spécialisée dans la vente de jeux vidéo en ligne. La monnaie est donc en train

de disparaître de l’univers des cybercriminels. Un abandon douloureux à accepter par les cybercriminels, notamment russes et ukrainiens, qui manifestent leur ressentiment au

sein des forums ou dans les shops comme le reflètent les deux copies d’écran ci-dessous.

Liberty ReserveLiberty ReserveLiberty ReserveLiberty Reserve ---- Avec le changement d’orientation stratégique de Webmoney, Liberty Reserve est désormais l’unique monnaie de référence. La société est localisée au Costa-

Rica, pays très peu coopératif et faisant partie de la liste noire des paradis fiscaux de

Figure 48 : Un carder évoque la panne Liberty Reserve

Figure 49 : Conséquences du changement de stratégie de Webmoney

Page 46: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 45 sur 73

l’OCDE. L’adresse du siège de la société indiquée sur le site Internet serait d’ailleurs

fausse et peu d’informations sont disponibles sur son fonctionnement.

Les deux propriétaires de la société opèrent en outre sous de faux noms. Le propriétaire officiel, Amed Mekovar, se nommerait en réalité Ahmed Yassin, citoyen marocain pour-suivi dans son pays pour des délits relatifs au scam. Le véritable propriétaire serait en fait Ragnar Danneskojold, de son vrai nom Vladimir Kats. Ce dernier est bien connu dans le monde des monnaies virtuelles et de la justice américaine car il a été arrêté en 2006 pour blanchiment d’argent et exercice de la profession d’intermédiaire financier sans licence.

Alors qu’il était à la tête de Goldage, site Internet d’échange de monnaies virtuelles, il aurait transféré globalement au moins trente millions de dollars sans effectuer aucune

vérification d’identité1.

Sauf difficultés imprévues, Liberty Reserve va très certainement s’imposer comme mon-

naie de référence pour les cybercriminels pour une longue période. Ses dirigeants ont en effet pour stratégie de refuser d’imposer une quelconque contrainte à leurs clients, que

ce soit en termes de vérification d’identité ou d’informations sur l’origine des fonds.

Liberty Reserve a d’ailleurs toutes les faveurs de son pays d’accueil qui bénéficie en re-

tour de ses largesses. En témoignent un don de plus de 80 000 dollars versé à l’Etat en 2009 pour aider à la reconstruction du pays après un tremblement de terre, le sponso-ring d’une équipe locale pour un marathon et le soutien apporté aux orphelins et en-

fants défavorisés en 2010. Un parallèle peut être effectué avec les mafias classiques qui se préoccupent souvent des problématiques sanitaires et sociales afin d’avoir une meil-

leure implantation.

Un procédé d’utilisation simple et rapide

Grâce à Liberty Reserve, les cybercriminels peuvent effectuer des transferts d’argent instantanés et anonymes. Chaque utilisateur n’est identifié que par un numéro (se pré-sentant sous la forme U1234567). Indiquer le numéro du bénéficiaire est l’unique forma-

lité exigée par Liberty Reserve lors d’un transfert et il est impossible pour les deux par-ties, comme pour les tiers, d’obtenir des renseignements complémentaires sur le titu-

laire d’un compte.

Cette monnaie peut être utilisée soit dans le cadre de paiements automatisés (dans les

shops), soit dans le cadre de paiements manuels (dans les forums).

Paiements automatisés

Sur le site de Liberty Reserve (cf. copie d’écran ci-dessous), une application gratuite per-

met de doter son site web d’un système de paiement automatique.

Les achats de données frauduleuses ainsi que leur remboursement lorsque celles-ci sont

défectueuses se font automatiquement. Il n’est en aucun cas nécessaire de faire appel à l’administrateur du shop.

Figure 50 : Système de paiement automatique LR

1 : Source : http://bit.ly/iQCgX4

Page 47: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 46 sur 73

Ce système a donc permis à la cybercriminalité de se développer rapidement puisqu’il

rend possible des ventes massives à un nombre important d’utilisateurs.

Webmoney propose d’ailleurs exactement la même application pour son service mais la société a fini par bloquer les comptes reliés directement à des shops. Il est en effet très aisé pour ces sociétés de contrôler le caractère frauduleux ou non des sites sur lesquels

leur application est installée.

Seuls quelques sites continuent de proposer Webmoney comme monnaie d’achat

comme ce shop qui propose d’accepter uniquement les paiements par Webmoney pour les clients importants.

Paiements manuels

Lorsque des cybercriminels se rencontrent dans des forums, ils prennent par la suite

contact sans intermédiaire par ICQ ou Jabber. Si une transaction doit se concrétiser, le cybercriminel qui désire vendre une donnée ou fournir un service indiquera à l’acheteur son numéro de compte Liberty Reserve et ce dernier pourra, en se connectant de son

propre compte, lui transférer l’argent manuellement.

Ces transactions sont plus ponctuelles et concernent des opérations précises. En cas

d’association de cybercriminels pour une fraude précise, chaque intervenant sera par exemple rémunéré sur son compte Liberty Reserve s’il le souhaite.

Analyse du processus

La création de compte OpacitéOpacitéOpacitéOpacité ---- Créer un compte sur Liberty Reserve est rapide, simple et n’exige aucune véri-

fication d’identité. L’anonymat et l’opacité sont de rigueur. Liberty Reserve est très prisé des cybercriminels parce que ces critères se retrouvent à toutes les étapes d’utilisation

du service, de la création de compte à son approvisionnement, jusqu’à la réalisation d’un achat en ligne.

L’utilisation d’un VPN ou autre moyen d’anonymisation de la connexion permet de ne laisser aucune trace de son point de connexion. Les informations requises pour l’inscription ne sont pas vérifiées par les administrateurs du site. Les champs « First Name » et « Last Name » peuvent être remplis avec des alias. L’adresse mail exigée pour-ra être créée pour l’occasion. Cette adresse servira de point de contact avec Liberty Re-

serve qui y enverra des courriels de vérification, des codes, etc.

Figure 51 : Le paiement Webmoney est réservé aux gros clients

Page 48: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 47 sur 73

Une fois le compte validé, l’utilisateur obtient un numéro de compte (par exemple : U3346079) qui lui permettra d’effectuer des transactions avec d’autres individus dispo-sant eux-mêmes d’un compte Liberty Reserve.

Sécurité Sécurité Sécurité Sécurité ---- Liberty Reserve enregistre les adresses IP des terminaux accédant au compte. Ainsi l’utilisateur peut surveiller l’historique de ses connexions et réagir à toute tentative

d’intrusion. Une option permet de bloquer automatiquement le compte lorsqu’une IP inhabituelle est détectée. En cas de piratage, il est aussi possible de faire appel à un ser-

vice d’urgence qui va « geler » le compte et éviter à l’utilisateur de perdre ses gains par un transfert frauduleux. En effet, tous les virements effectués par Liberty Reserve sont instantanés, définitifs et non remboursables.

Par conséquent, toutes les opérations se feront avec demande régulière d’authentification, combinant mot de passe, code PIN et « master key » (cf. copie d’écran ci-dessous). Ces mesures visent à rassurer l’utilisateur sur la sécurité de son compte car, étant enregistré de façon anonyme, toute usurpation du compte ne pourra pas être

prouvée et donner lieu à un dédommagement.

Figure 52 : Créer un compte Liberty Reserve

Figure 53 : Le numéro de compte Liberty Reserve

Page 49: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 48 sur 73

L’approvisionnementL’approvisionnementL’approvisionnementL’approvisionnement ---- Pour effectuer des achats, le compte Liberty Reserve devra être

approvisionné mais le site de Liberty Reserve ne permet pas d’alimenter son compte directement. Pour ce faire, il faudra passer par un site Internet appelé « société

d’échange » qui alimentera le compte Liberty Reserve du client directement par un vi-rement de son propre compte Liberty Reserve.

Le moyen le plus usité est de payer directement la société d’échange par un voucher ou une carte prépayée. Il existe pour ce faire des services comme Ukash qui permettent,

après paiement sur un site d’échange, d’obtenir un virement équivalent sur le compte Liberty Reserve.

D’autres options sont également disponibles mais intéressent moins les cybercriminels en raison de leur lenteur.

Ukash et les sociétés d’échanges

Ukash est accessible dans plus de 15 000 points de vente situés principalement dans les bureaux de tabac et les kiosques à journaux sur tout le territoire français. A l’échelle

mondiale, Ukash est disponible dans plus de 300 000 points de vente physiques et couvre 29 pays.

L’achat d’un bon Ukash ne nécessite pas la présentation d’une pièce d’identité et s’effectue en argent liquide. Les utilisateurs peuvent acheter des codes pour des valeurs

allant de 20, 50, 100 à 200 euros. Pour utiliser l’argent ainsi converti, il suffit de saisir le code du reçu papier sur le site où l’on souhaite effectuer la transaction.

Figure 54 : Les identifiants LR

Figure 55 : Bon Ukash

Page 50: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 49 sur 73

Très rapide, la conversion d’un bon Ukash en Liberty Reserve est dans la majorité des cas

instantanée. Le site effectuant l’opération récupère une commission sur le montant changé.

Exemple d’un site d’échange automatique : le client saisit le numéro du bon Ukash qu’il a acheté (voucher code) ainsi que sa valeur (voucher value). Il indique ensuite son numé-ro de compte Liberty Reserve et la société procède à un virement instantané.

La réalisation d’achats en ligne

Une fois le compte approvisionné, , , , les transactions se réaliseront par échange de numé-ro de compte Liberty Reserve entre acheteur et vendeur. Il n’y a aucune possibilité de connaître l’identité de la personne possédant le compte Liberty Reserve. Seuls les numé-ros de compte seront échangés.

De l’économie virtuelle à l’économie réelle :

le rôle des sociétés d’échanges

Les sociétés de monnaies virtuelles n’offrent pas à leur clientèle des services permettant de retirer directement les fonds contenus dans leur compte virtuel. Cette prestation est

prise en charge par des « sociétés d’échanges » qui se sont spécialisées dans cette activi-té très lucrative.

Une société d’échange achète, vend ou convertit des monnaies virtuelles entre elles. Pour acheter ou vendre une monnaie virtuelle, les procédés utilisés, tant par la clientèle

que par ces sociétés, sont les transferts bancaires, les dépôts ou retraits en liquide et les envois par Western Union ou MoneyGram. En matière d’échanges, ces sociétés peuvent

proposer sur leur site plus d’une dizaine de monnaies virtuelles et ainsi échanger selon la demande du client un montant de monnaie en Liberty Reserve contre le montant équi-valent en PayPal par exemple. Sur chaque opération réalisée, la société prélève une

commission pouvant parfois dépasser les 15 %.

Figure 56 : Conversion en Liberty Reserve

Page 51: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 50 sur 73

L’affaire Gonzalez a mis en évidence le rôle de ces sociétés d’échange : Maksik revendait

directement les données volées par Gonzalez dans son shop. Ce dernier proposait de payer automatiquement par Webmoney ou E-gold. Ces deux comptes de monnaies

virtuelles étaient donc la propriété de Maksik. Afin de reverser une partie des bénéfices à Gonzalez, Maksik transférait une partie des sommes contenues dans ses comptes E-gold et Webmoney à une société d’échange. Cette société reversait ensuite à des mules em-

ployées par Gonzalez aux États-Unis la somme échangée sous forme de virement ban-caire, mandat Western Union ou chèque postal.

Un marché florissant

Le marché des monnaies virtuelles s’est développé très rapidement sans que la règle-mentation ne suive. Les internautes sont d’ailleurs de plus en plus nombreux à utiliser

ces monnaies sur le web pour des achats tout à fait légaux, certains estimant le procédé plus sûr que la carte bancaire. C’est tout naturellement que ces nouveaux paiements anonymes ont attiré les criminels. Certaines sociétés d’échange sont parfois poursuivies

par la justice pour blanchiment d’argent.

Dans la pratique, cette incrimination est cependant fragile, une société d’échange pou-vant difficilement contrôler l’origine des fonds qui lui sont transférés. Entre 2002 et 2005, la société d’échange Western Express International créée à New York avait par exemple

séduit une clientèle d’origine russe qui s’est révélée être composée pour sa majeure partie de cybercriminels. En quatre ans, 35 millions de dollars ont ainsi circulé à travers

les comptes de la société. Provenant de multiples fraudes, cet argent était renvoyé par la société en Russie par E-gold ou Webmoney. Les dirigeants de Western Express ont refusé d’être considérés comme les responsables de ces fraudes, arguant du fait qu’ils ne con-

naissaient personnellement aucun des clients ayant eu recours à leur site1.

Conclusion

La monnaie virtuelle joue donc un rôle central dans le fonctionnement des black mar-kets. Elle est insaisissable, difficile à tracer et permet aux cybercriminels, en leur garantis-sant l’anonymat, d’effectuer leurs transactions sans risque.

Mais les bénéfices des ventes sur les marchés noirs de la cybercriminalité ne restent pas

longtemps virtuels. Le vendeur devra, pour récupérer le résultat de ses ventes, faire ap-pel à différents acteurs (mules, etc.). Ces derniers lui permettront, après plusieurs opéra-

Historique de conversation ICQ évoquant les taux de commissions

Dans cet extrait de conversation ICQ, les deux complices comparent les taux de commissions de plusieurs sociétés : [Maksik] about egold – u want me to use an exachanger ? [sic] [Gonzalez] how much will cost to do egold => wmz? [Maksik] sec [Maksik] 1.00 E-gold (USD) 0.9223 WeMoney (WMZ) [Gonzalez] that’s cheap, is this reboxchange ? [Maksik] www.exchange.net.ua [Gonzalez] exchange.net.ua doesn’t have much wmz at times unless

you’re like premium customer [Maksik] robox have 10% for exchange

1 : Source : http://bit.ly/iXFSf7

Page 52: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 51 sur 73

tions financières, de passer de la monnaie virtuelle à la monnaie réelle et de renouer

avec la criminalité classique.

Si elles sont fondamentales pour l’économie de la cybercriminalité, les monnaies vir-tuelles ne suffisent donc pas. Lorsqu’il faut convertir cet argent virtuel en monnaie réelle, les cybercriminels ont recours à Western Union et aux virements bancaires. La cybercri-

minalité rejoint dès lors la criminalité classique qui utilise aussi majoritairement ces deux procédés afin de blanchir l’argent issu d’activités frauduleuses.

Un recours aux moyens classiques du blanchiment d’argent

Une grande partie de l’argent contenu dans les comptes de monnaies virtuelles des cybercriminels sera perçue sous forme de mandats Western Union ou de virements ban-caires. Cette phase devrait, en théorie, permettre aux autorités d’identifier les criminels

car ces opérations ne sont pas anonymes. Les opérations suspectes devraient aussi être détectées car les institutions bancaires et les agences Western Union sont tenues à des

mesures de vigilance. Dans les faits, de nombreux manquements et un certain laxisme empêchent tout contrôle.

Il devient dès lors très complexe de remonter la succession d’opérations financières effectuées par un cybercriminel. À partir d’un compte Liberty Reserve totalement ano-

nyme, un cybercriminel va par exemple faire appel à une société d’échange qui va lui acheter le contenu de son compte. Cette première phase de blanchiment permet de dissocier l’argent sale du délit. La société d’échange, en renvoyant l’équivalent du mon-

tant par virement bancaire ou mandat Western Union, permet au cybercriminel de don-ner une origine économique vraisemblable à cet argent. Son identité réelle reste égale-ment totalement dissimulée dans cette deuxième étape de blanchiment grâce à de

multiples possibilités de fraudes. Il ne reste plus au cybercriminel qu’à réinjecter ces sommes d’argent dans l’économie réelle et légale.

Western Union

Western Union est une société financière basée aux Etats-Unis. Disposant d’environ

270 000 points de présence dans plus de 200 pays, elle permet l’envoi instantané d’argent liquide à travers le monde.

Le fonctionnement de la société est simple : une personne résidant dans un pays A se rend dans un point Western Union et indique le nom, prénom et pays du bénéficiaire.

Elle remet à l’agent Western Union le montant en liquide qu’elle désire faire parvenir au bénéficiaire résidant dans un pays B. Le bénéficiaire peut immédiatement se rendre dans une agence de son pays pour y retirer ce montant en liquide.

Chaque agent doit normalement vérifier l’identité de ses clients et il existe des restric-tions à l’envoi et à la réception (pour un envoi ou une réception, la limite en France est

d’environ 7 600 euros par jour et par personne).

Dans la pratique, ces règles ne sont pas toujours respectées car Western Union permet à n’importe quel commerçant de devenir un agent agréé, les seules conditions imposées par la société étant de disposer d’un ordinateur et d’une connexion Internet.

Page 53: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 52 sur 73

Western Union a cependant pris soin de se dégager de toute responsabilité quant aux

activités de ses agents. En matière de lutte contre le blanchiment d’argent, chaque point de vente est ainsi personnellement responsable, Western Union n’imposant aucune

contrainte ni surveillance. La société l’explique clairement sur son site Internet :

Avec une politique si permissive, certains agents Western Union ne respecteraient donc pas toutes les règles et deviendraient donc complices volontaires ou involontaires des

cybercriminels.

Dans ce shop, il est par exemple possible d’acheter des numéros de cartes bancaires par Liberty Reserve ou Western Union. Il suffit d’indiquer sur la page ci-dessous le montant que l’on désire envoyer par Western Union.

Le site redirige alors automatiquement le visiteur vers les coordonnées d’un bénéficiaire au Vietnam.

Depuis de nombreux mois, cette personne est l’unique destinataire de tous les envois par Western Union des clients du shop. Les transferts sont tous encaissés en moins d’une heure, ce qui laisse supposer la complicité directe d’un agent sur place.

Les vérifications d’identités, en théorie obligatoires, ne sont pas non plus respectées.

Dans le forum ci-dessous, un Ukrainien propose ainsi d’encaisser des mandats Western

Figure 57: Politique de Western Union en matière de lutte contre le blan-

chiment d'argent

Figure 58 : Choix de Liberty Reserve ou Western Union

Figure 59: Le bénéficiaire du paiement est au Vietnam

Page 54: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 53 sur 73

Union sous n’importe quel nom, réel ou fictif. Cette personne a donc potentiellement

corrompu un agent Western Union, sauf à imaginer qu’il en soit lui-même un.

À noter qu’il n’est pas indispensable de bénéficier de la complicité directe d’un agent

Western Union. Un cybercriminel indique par exemple sur le forum ci-dessous avoir été interdit dans une agence car il avait dépassé la limite légale autorisée pour des trans-ferts. Il lui a suffit de se rendre dans une autre agence et de continuer ses transferts mais

avec un faux passeport. Les agences Western Union n’étant pas astreintes aux mêmes règles, il suffirait donc de se rendre dans les plus permissives.

Sur les onze millions de bénéfices de Maksik, plus de 4 800 000 dollars étaient issus de mandats Western Union…

Les circuits bancaires traditionnels

Les opérations de blanchiment d’argent sont traditionnellement associées aux paradis

fiscaux.

Le pays le plus recherché par les cybercriminels, tant pour effectuer des attaques infor-

matiques que pour faire transiter des flux financiers illicites, n’apparaît cependant sur aucune liste noire de l’OCDE. Aussi étonnant que cela puisse paraître, il s’agit des États-

Unis car sur les 50 États qui les composent, une dizaine bénéficie de législations très permissives, les plus libéraux étant le Delaware, la Californie, la Floride et l’État de New York. Le rôle de ces Etats a régulièrement été dénoncé, notamment par un office du

Ministère américain du Trésor (FinCEN) en raison de leurs législations sur la création de sociétés à responsabilité limitée. Il est en effet possible à n’importe quelle personne,

résidant hors ou aux États-Unis, de créer sa propre société en 24h sur Internet.

Dans l’exemple ci-dessous, il est possible de créer une société en ligne en quelques clics.

Il suffit de choisir un État américain et de remplir un formulaire. La création d’une société au Delaware coûte ainsi 129,25 $.

Figure 60 : Proposition d’encaissement de mandats WU sans n’importe

quel nom, réel ou fictif

Figure 61 : Problème rapidement résolu avec une agence Western Union

Page 55: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 54 sur 73

Ces sociétés écrans sont légalement enregistrées par un agent sur place qui n’est as-treint à aucune responsabilité, que ce soit en termes de surveillance d’éventuelles activi-tés illicites ou de signalement aux autorités en cas de soupçons. Quatorze États, du fait

de leurs législations, permettent à ces sociétés fictives de garder secret le nom de leurs membres ou propriétaires.

Une fois la société enregistrée, l’agent ouvre un compte bancaire aux Etats-Unis pour son client. Ce compte bancaire ne sert généralement que de relais : beaucoup des vire-

ments effectués transitent par la suite vers des succursales de banques internationales à New York puis sont rapatriés vers l’étranger (la Russie et la Lettonie sont les principaux

pays bénéficiaires).

Une fois arrivé à destination finale, l’argent est totalement blanchi : la société écran per-

met de faire passer ces numéraires pour des revenus issus d’une activité économique réelle et la succession de virements bancaires internationaux ne permet pas de remonter à la source.

Maksik, le vendeur de numéros de cartes bancaires ukrainien, possédait ainsi des

comptes bancaires en Lettonie dont l’un contenait une partie des bénéfices revenant à Gonzalez. Il permettait en effet à ses clients de confiance de le payer directement par virements bancaires, les autres étant astreints à payer par monnaie virtuelle.

Gonzalez, pour rapatrier ses fonds aux États-Unis, faisait appel à Humza Zaman. Cet homme était chargé d’ouvrir plusieurs comptes en banques aux États-Unis sous des

identités fictives puis, une fois les ordres de virements effectués par Maksik de son compte letton, Zaman allait retirer cet argent en liquide à des distributeurs automa-

tiques.

Tous les retraits effectués par Zaman n’ont pas pu être décelés. Il s’est rendu plusieurs

fois à San Francisco et New York pour y récupérer de l’argent liquide appartenant à Gon-zalez (50 000 et 370 000 $) mais les autorités n’ont pas pu déterminer la traçabilité de ces fonds.

La situation en Europe apparaît beaucoup moins chaotique. Un projet du Conseil euro-

péen des paiements risque pourtant de déstabiliser l’équilibre existant. Baptisé « Single Euro Payments Area » ou SEPA, ce texte vise à harmoniser les moyens de paiements dans une Europe élargie à 32 États.

Deux mesures apparaissent particulièrement préoccupantes :

• La nouvelle façon dont les prélèvements automatiques seront autorisés fait

craindre un important risque de fraude internationale, équivalent à celui inhé-rent aux cartes bancaires. Le débiteur perdra en effet l’initiative d’autoriser une demande de prélèvement : c’est le créancier qui, sur simple requête, demande-

ra à sa banque d’effectuer le prélèvement en débit immédiat. La seule informa-tion nécessaire pour réaliser cette opération sera de connaître le numéro IBAN (International Bank Account Number) et BIC (Bank Identifier Code) du compte

Figure 62 : Création d’une société en ligne dans l’Etat du Delaware

Page 56: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 55 sur 73

du débiteur. De nombreuses associations de consommateurs jugent cette in-

formation insuffisante en termes de sécurité. Cette mesure sera définitivement mise en place en 2014 mais les responsables européens devraient se préoccu-

per fortement de cette question car les cybercriminels s’intéressent déjà de près au SEPA. La future activité nouvelle des black markets pourrait bien être la vente de numéros IBAN et BIC.

• Le virement SEPA est une autre mesure permettant de faciliter les transferts

bancaires en Europe. Déjà opérationnel, ce virement peut être effectué en ligne sur plusieurs sites Internet de banques françaises (LCL, Monabanq, Boursorama).

En 2012, chaque virement devra être traité en 24h. Or le SEPA regroupe plu-sieurs États considérés comme des paradis fiscaux ou des centres financiers offshores : le Luxembourg, Malte, la Suisse, Monaco et Chypre. Le fait qu’il soit

très aisé de créer une société ou d’ouvrir un compte bancaire sur Internet dans ces pays européens risque de multiplier les fraudes concernant le secteur ban-

caire mais aussi de faciliter le blanchiment d’argent. À noter que le virement SE-PA est déjà utilisé par les cybercriminels qui se tiennent très informés des nou-velles règlementations.

Ces nouvelles mesures pourraient donc contribuer à un essor rapide de la cy-bercriminalité en Europe. La dématérialisation du contact entre client et banque

et l’accélération des flux financiers génèrent un phénomène « boule de neige » qui est en contradiction totale avec les règles de bon sens préconisées par les

experts économiques depuis des années.

Synthèse

La cybercriminalité est entretenue et facilitée par un ensemble d’outils. Au plan tech-

nique, les hébergeurs bulletproof fournissent les moyens logistiques. Au plan financier, les systèmes de monnaie virtuelle et les sociétés d’échange font le lien entre économie virtuelle et économie réelle.

Hackers

Développeurs de malwares

Phishing

Money Mule

Carders

Cybercriminels

Hébergeurs bulletproof

Infrastructure support

Économie virtuelle

Approvisionnement

black marketsShops et forums :véritables plaques tournantes de la cybercriminalité

Economie réelle

Les flux financiers de la cybercriminalité

Page 57: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 56 sur 73

QUELLES REPONSES ?

Au plan français

Panorama des acteurs

L’Agence nationale de la sécurité des systèmes d’informationL’Agence nationale de la sécurité des systèmes d’informationL’Agence nationale de la sécurité des systèmes d’informationL’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été créée par le décret n° 2009-834 du 7 juillet 2009, succédant ainsi au Service central de la sécurité

des systèmes d’information (SCSSI) puis à la Direction centrale de la sécurité des sys-tèmes d’information (DCSSI) instituée en 2001. Elle est, depuis le décret n° 2011-170 du 11 février 2011, l’autorité nationale en matière de défense des systèmes d’information

français et « elle décide les mesures que l'Etat met en œuvre pour répondre aux crises affectant ou menaçant la sécurité des systèmes d'information des autorités publiques et

des opérateurs d'importance vitale »1.

La Commission nationale de l'informatique et des libertésLa Commission nationale de l'informatique et des libertésLa Commission nationale de l'informatique et des libertésLa Commission nationale de l'informatique et des libertés (CNIL) est une autorité

administrative indépendante garante du respect de la vie privée et des libertés sur In-ternet. Créée par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, cette autorité dispose d’un pouvoir de contrôle, de sanction, d’alerte et de

conseil des particuliers, des entreprises et des administrations.

L’OCLCTICL’OCLCTICL’OCLCTICL’OCLCTIC (l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication), créé par décret interministériel du 15 mai 2000 au sein de la DCPJ, remplit deux missions opérationnelles : mener des enquêtes en ma-

tière de crime numérique (surtout en matière de piratage, de fraudes aux cartes ban-caires et d’escroqueries) et assurer une assistance technique des autres services de po-lice et de gendarmerie. À coté de ces missions opérationnelles, l’Office assure des mis-

sions qualifiées de « stratégiques » telles que la veille documentaire continue en matière de nouvelles menaces, la formation d’enquêteurs spécialisés, les Investigateurs en Cy-

bercriminalité (ICC), et la coopération internationale. L’Office gère également les signa-lements de contenus illicites grâce à la plateforme PHAROS (qui sera bientôt coordon-née à l’échelle européenne par Europol et ses homologues du Royaume-Uni, des Pays-

Bas, de l’Italie et de la Roumanie) et réalise les interceptions judiciaires.

L’OCRVPL’OCRVPL’OCRVPL’OCRVP (Office Central de Répression des Violences aux Personnes) joue un rôle essen-tiel dans la lutte contre la diffusion d’images pédopornographiques sur Internet.

La BEFTILa BEFTILa BEFTILa BEFTI (Brigade d’Enquête sur les Fraudes aux Technologies de l’Information), unité dépendant de la Direction régionale de la police judiciaire de Paris, assure deux missions principales : l’assistance technique des autres services d’enquête et la réalisation

d’enquêtes grâce à la présence de nombreux ICC. Si sa compétence se limite en théorie à Paris et sa petite couronne, certaines affaires lui sont attribuées par défaut, lorsque la

compétence territoriale est incertaine.

La DCRILa DCRILa DCRILa DCRI (Direction Centrale du Renseignement Intérieur) dispose d’un pôle consacré à la

cybercriminalité. Ses policiers, habilités secret défense, peuvent traiter d’affaires exi-geant l’habilitation secret défense ou confidentiel défense (ministères, administrations, etc.). Ce pôle est régulièrement amené à travailler tant avec l’OCLCTIC qu’avec l’IRCGN.

1 : Décret n° 2011-170 du 11 février 2011 modifiant le décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dé-nommé « Agence nationale de la sécurité des systèmes d'in-formation »

Page 58: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 57 sur 73

L’IRCGNL’IRCGNL’IRCGNL’IRCGN (Institut de Recherche Criminelle de la Gendarmerie Nationale), laboratoire de police scientifique de la gendarmerie, et le STRJD (Service Technique de Recherches Judiciaires et de Documentation), mènent l’action de la gendarmerie en matière de lutte

contre la cybercriminalité. L’IRCGN réalise trois missions principales :

• Examens et expertises dans le cadre d’investigations judiciaires, à la demande

de la gendarmerie ou de magistrats,

• Formation des techniciens et des enquêteurs,

• Veille technologique et recherche en matière de développement et

d’amélioration des techniques d’investigation.

Le STRJD possède pour sa part une division spécialisée dans la lutte contre la cybercri-

minalité, la DLC, et centralise les données qui lui sont transmises par les unités de gen-darmerie nationale. Il est, depuis 1994, chargé de la police du réseau Internet et de la

lutte contre la cybercriminalité.

La cyberdouane La cyberdouane La cyberdouane La cyberdouane ---- Depuis 2009, la Douane dispose d’un service, la cellule « cyber-

douane » agissant pour la lutte contre la fraude sur Internet

Les JIRS Les JIRS Les JIRS Les JIRS ---- Les magistrats se spécialisent eux aussi dans la lutte contre la cybercriminalité.

Certaines affaires (concernant les atteintes aux STAD, mais aussi quelques atteintes au Code monétaire et financier) sont confiées à des Juridictions Interrégionales Spéciali-sées, les JIRS. Leur activité est importante : dans leur premier bilan1, plus du tiers des

affaires économiques et financières concernent des escroqueries complexes liées à la falsification de cartes bancaires. Et 82% des affaires traitées disposent d’un élément

d’extranéité.

L'ObservatL'ObservatL'ObservatL'Observatoire de la sécurité des cartes de paiementoire de la sécurité des cartes de paiementoire de la sécurité des cartes de paiementoire de la sécurité des cartes de paiement a été créé par la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne. Cet observatoire assure non seulement une veille technologique mais est également chargé de mettre en œuvre des

mesures de renforcement de la sécurité des cartes bancaires et d’établir des statistiques en matière de fraude2.

Le Club de la Sécurité de l'Information FrançaisLe Club de la Sécurité de l'Information FrançaisLe Club de la Sécurité de l'Information FrançaisLe Club de la Sécurité de l'Information Français (CLUSIF) est une association indépen-dante d’entreprises et de collectivités agissant pour la promotion de la sécurité de l’information. Cette association s’organise en groupes de réflexions portant sur la ges-

tion des incidents, la cybercriminalité ou encore, plus généralement, les politiques de sécurité.

Cadre juridique

Le Droit pénalLe Droit pénalLe Droit pénalLe Droit pénal ---- Le droit pénal français bénéficie d’un large panel de textes incriminant les comportements des cybercriminels.

La loi GodfrainLa loi GodfrainLa loi GodfrainLa loi Godfrain ---- Pour permettre au droit pénal d'appréhender les phénomènes de pira-tage informatique, la France s'est dotée le 5 janvier 1988 de la loi relative à la fraude informatique dite « loi Godfrain ». Cette loi, codifiée aux articles 323-1 et suivants du

nouveau code pénal, permet de sanctionner plusieurs comportements placés en amont ou en aval de l'iter criminis de l'acte de piratage.

1 : AJP Dalloz, mai 2010, Pre-mier Bilan des JIRS.

2 : Son rapport annuel est disponible à l’adresse sui-vante : http://bit.ly/jFZV5W

Page 59: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 58 sur 73

• L'article 323-1 sanctionne le simple accès frauduleux à un Système de Traite-

ment Automatisé de Données.

• Ce même article sanctionne ensuite de façon autonome le maintien frauduleux

dans un STAD (de cette façon, même si l'accès est régulier, le maintien peut re-vêtir un caractère irrégulier en lui-même).

• Sont sanctionnés les actes préparatoires, à travers l'article 323-3-1 du Code pé-

nal, visant la détention d’un virus ou la fourniture de moyens permettant la commission de l'une des infractions prévues par le dispositif Godfrain.

• Est ensuite sanctionnée la simple participation à un groupe criminel « en vue de la préparation » d'une de ces infractions.

• Le commencement d'exécution interrompu involontairement est expressément

visé par l'article 323-7 du même code qui sanctionne la tentative des délits d'at-teinte à un système de traitement automatisé de données (STAD).

• Enfin, sont sanctionnées l'introduction et la suppression de données dans un

STAD, que l'accès qui les a précédé ait été frauduleux ou pas.

La La La La fraude à la carte bfraude à la carte bfraude à la carte bfraude à la carte bancaireancaireancaireancaire est une source majeure d’approvisionnement des black markets. Cet acte est sanctionné par l’article L163-4 du code monétaire et financier qui prévoit sept ans d’emprisonnement et 750 000 euros d’amende pour le fait de contre-

faire ou de falsifier une carte de paiement ou de retrait, de faire ou de tenter de faire usage, en connaissance de cause, d’une carte bancaire contrefaisante ou falsifiée, et enfin le fait d’accepter délibérément de recevoir un paiement au moyen d’une de ces

cartes.

La collecteLa collecteLa collecteLa collecte frauduleuse de données à caractère personnelfrauduleuse de données à caractère personnelfrauduleuse de données à caractère personnelfrauduleuse de données à caractère personnel ---- L’article 226-18 du code

pénal vise « le fait de collecter des données à caractère personnel par un moyen fraudu-leux, déloyal ou illicite » et sanctionne cet acte par cinq années d’emprisonnement et 300 000 euros d’amende. Cet article pourra concerner la collecte de données bancaires (cartes bancaires, comptes bancaires en ligne), de pièces d’identité, d’identifiants de messagerie électronique, et de toute autre donnée dès lors qu’elle peut être considérée

comme une donnée à caractère personnel.

Nécessité de réciprocité d’incriminationNécessité de réciprocité d’incriminationNécessité de réciprocité d’incriminationNécessité de réciprocité d’incrimination ---- Mais pour que ces textes soient applicables, il faut que la juridiction française soit clairement compétente. La cybercriminalité, en raison de son caractère transfrontalier et mondial bouleverse le principe de la territoriali-

té de la loi pénale. Selon l’article 113-2 du code pénal, la loi française est applicable dès lors que l’un des faits constitutifs de l’infraction a lieu sur le territoire français. Et la locali-sation des serveurs à partir desquels sont diffusés les éléments susceptibles de consti-

tuer une infraction a un impact moindre sur la compétence juridictionnelle française. En effet, dans un arrêt du 29 mars 2011, la chambre commerciale de la Cour de cassation a

pu affirmer que le juge français n’est compétent que lorsque le contenu du site concerné est « orienté vers un public français ». Cette décision s’inscrit dans le droit fil de l’arrêt dit « Hugo Boss »1 qui prévoit quatre critères permettant de retenir la compétence du juge

français : le site doit être en langue française, accessible depuis la France, doit explicite-ment viser les internautes français et doit proposer la livraison de ses produits sur le

territoire français. L’article 113-6 du code pénal prévoit une autre condition à l’applicabilité de la loi française : que le crime ou délit commis à l’étranger soit puni à la fois par la loi française et par la loi du pays où il a été commis.

1 : Cass. comm. 11.01.2005, Bulletin 2005 IV N° 8 p. 8

Page 60: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 59 sur 73

Les textes de procédure pénale. Les preuves de la commission d’une infraction sur ou par Internet sont souvent numé-

riques. Or la preuve numérique est souvent périssable, volatile, voire insaisissable. Il s’agit d’historiques de navigation sur le Web, d’historiques de conversation via message-

rie instantanée, de logs de connexion, d’images, de fichiers textes, d’adresses IP, de don-nées Whois, etc. Des éléments qui, bien que dématérialisés, sont indispensables au bon déroulement de l’enquête. Pour obtenir toutes ces données, l’enquêteur devra disposer,

en plus des techniques traditionnelles d’investigation, d’outils adaptés au cyberespace.

L’infiltration numériqueL’infiltration numériqueL’infiltration numériqueL’infiltration numérique ---- L’infiltration numérique permet, selon l’article 706-81 du code de procédure pénale, à des enquêteurs spécialement habilités de « surveiller des personnes suspectées de commettre un crime ou un délit en se faisant passer, auprès de ces personnes, comme un de leurs coauteurs, complices ou receleurs ». Ce procédé ne peut être utilisé que pour les enquêtes concernant les infractions listées par l’article 706-73 du même code. Utilisée dans la lutte contre les black markets, elle autoriserait l’enquêteur à recourir à une fausse identité et, par exemple, à acquérir ou vendre des produits tels que ceux que l’on retrouve sur les marchés noirs de la cybercriminalité.

Les «Les «Les «Les « hhhhoneypotsoneypotsoneypotsoneypots » » » » ---- Dans le cadre de la lutte contre les cybercriminels, il est possible de s’interroger sur la pertinence de l’utilisation de honeypots ou « pots de miel ». Ces ho-neypots sont des leurres : ordinateurs, serveurs, ou programme laissés volontairement vulnérables afin d’attirer et de piéger les hackers. Ce leurre permet d’observer le mode

opératoire du hacker et, par la même, de récupérer ses coordonnées. La légalité de l’utilisation de ce procédé par l’enquêteur est toutefois discutable. En effet, en vertu du principe de loyauté de la preuve pénale, le policier ne peut provoquer la commission

d’une infraction. Tout élément de preuve obtenu de cette façon sera irrecevable. Ce principe a été rappelé par la Chambre criminelle de Cour de cassation dans un arrêt du 4 juin 2008 (Bulletin criminel 2008, n°141). En l’espèce, un ressortissant français avait été

identifié suite à sa connexion à un site contenant des images pédopornographiques. Or ce site avait été monté de toutes pièces par l’unité de criminalité informatique de la

police de New York dans le but d’attirer les pédophiles. Dans cette affaire, la Cour a dé-claré irrégulières et donc irrecevables ces preuves, considérant qu’elles avaient été ob-tenues par provocation policière. Ce raisonnement peut trouver à s’appliquer dans le cas

du honeypot.

Il faut rappeler que seul l’officier de police judiciaire est soumis au principe de légalité de la preuve. La partie privée bénéficie quant à elle d’une jurisprudence clémente. Dans un récent arrêt du 27 janvier 2010 (pourvoi n°09-83.395), la Cour de cassation a rappelé

qu’ « aucune disposition légale ne permet aux juges répressifs d’écarter des moyens de preuve remis par un particulier aux services d’enquête, au seul motif qu’ils auraient été obtenus de façon illicite ou déloyale ».

Les interceptions de communicationLes interceptions de communicationLes interceptions de communicationLes interceptions de communication - Il est possible pour l’officier de police judiciaire

de procéder à l’interception de communications sur Internet. Ce procédé, visant les cor-respondances privées, est décrit aux articles 100 et suivants du code de procédure pé-nale. Au moyen d’une dérivation sur la ligne de l’internaute suspecté ou avec le con-

cours de l’opérateur Internet ou de téléphonie mobile, l’enquêteur « interposera » un procédé d’enregistrement des conversations. Ce procédé pourra par exemple être un

sniffer.

La capture de données informatiques à distanceLa capture de données informatiques à distanceLa capture de données informatiques à distanceLa capture de données informatiques à distance ---- La Loppsi a inséré dans le code de

procédure pénale un nouvel article 706-102-1 permettant la capture de données infor-matiques à distance. Ainsi, l’officier de police judiciaire pourra « sans le consentement des intéressés », accéder aux données informatiques « telles qu'elles s'affichent sur un

Page 61: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 60 sur 73

écran pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'il

les y introduit par saisie de caractères ».

La perquisition et la saisie informatiquesLa perquisition et la saisie informatiquesLa perquisition et la saisie informatiquesLa perquisition et la saisie informatiques ---- Dans la plupart des enquêtes, qu’elles soient classiques ou qu’elles relèvent de la cybercriminalité pure, les policiers et gen-darmes seront régulièrement amenés à perquisitionner et à saisir des ordinateurs ou des

périphériques de stockage. Ce sera d’autant plus nécessaire pour les enquêtes impli-quant des black markets. Leurs utilisateurs, s’ils ne se sont pas « anonymisés » via des techniques spécifiques, laissent en effet des traces de leur passage sur ces sites. Des

traces qui ne sont souvent accessibles que suite à la perquisition et saisie de terminaux informatiques (ordinateurs, tablettes, smartphones…).

C’est l’article 56 al. 5 du code de procédure pénale qui permet la perquisition de don-nées informatiques. L’enquêteur procédera « à la saisie des données informatiques né-cessaires à la manifestation de la vérité en plaçant sous main de la justice soit le support physique de ces données, soit une copie réalisée en présence des personnes qui assis-tent à la perquisition ». Ainsi, la saisie informatique pourra être complétée par la saisie du support physique des données (disque dur, etc.).

Le droit de perquisitionner a dû s’adapter aux évolutions de l’informatique, et le déve-loppement constant du cloud computing, ou « informatique dans le nuage », oppose à ce droit sa seule limite légale. Le cloud computing consiste pour l’utilisateur à externali-ser le stockage de ses données. Elles ne sont plus sur le disque dur de son ordinateur personnel, mais sur des serveurs distants dont la localisation est souvent secrète voire

vague. Face à ce cas précis, l’enquêteur peut procéder à une perquisition en ligne (article 57-1 CPP pour l’enquête de flagrance, 76-3 pour l’enquête préliminaire, 97-1 sous com-mission rogatoire). Et ce droit de perquisitionner connaît une limite importante : l’accès à

des données stockées sur des serveurs situés hors du territoire national.

Si les données accessibles en ligne sont stockées en France, aucun problème ne se pose-

ra. La perquisition s’effectuera selon la procédure ordinaire définie à l’article 56 al. 2 du code de procédure pénale. Si les données sont localisées à l’étranger, l’article 57-1 du

code indique qu’ « elles sont recueillies par l’officier de police judiciaire, sous réserve des conditions d’accès prévues par les engagements internationaux en vigueur ». Ainsi, l’une des solutions est l’ouverture d’une information judiciaire afin d’obtenir une commission

rogatoire internationale. La coopération internationale est donc au cœur de l’enquête en matière cybercriminelle.

Au plan international

Panorama des acteurs

La cybercriminalité étant par nature transnationale, les autorités nationales sont réguliè-

rement amenées à collaborer avec les entités internationales suivantes :

InterpoInterpoInterpoInterpollll a pour mission première d’assurer la réception, conservation et transmission

des informations sur la cybercriminalité à tous ses pays membres. Le canal principal de communication est I-24/7, système mondial de communication policière assurant son service 24 heures sur 24 et sept jours sur sept. Assurant la fluidité de la circulation de

l’information, Interpol améliore la coopération internationale.

Europol Europol Europol Europol centralise les informations et a un rôle similaire à celui d’Interpol, mais à l’échelle européenne. Afin de mieux lutter contre la cybercriminalité, Europol :

Page 62: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 61 sur 73

• Participe au développement de l’European Cybercrime Task Force, groupe

d’experts composé de représentants d’Europol, d’Eurojust et de la Commission

Européenne ;

• Enrichit régulièrement sa base de données consacrée à la cybercriminalité ;

• Procède à des analyses stratégiques sur les tendances de la cybercriminalité ;

• Développe deux projets : ICROS (Internet Crime Reporting Online System) et

IFOREX (Internet & Forensic Expert Forum). Ces deux projets permettront une

meilleure centralisation des données, des formations ainsi que des réflexions sur l’amélioration des textes de loi.

EurojustEurojustEurojustEurojust, l’unité de coopération judiciaire de l’Union Européenne, coordonne les actions des autorités judiciaires chargées d’investigations concernant au moins trois pays et renforce ainsi leur coopération.

L’ENISAL’ENISAL’ENISAL’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) a

pour mission, en partenariat avec les entités nationales et européennes, de promouvoir et assurer la sécurité des réseaux d’information dans l’Union européenne.

Un Cadre juridique international : la convention « cybercrime »

La Convention sur la cybercriminalité de Budapest du 21 novembre 2001 constitue au-jourd’hui le texte de référence en matière de coopération internationale dans la lutte

contre la cybercriminalité. À noter que dès 1981, le Conseil de l’Europe avait été à l’origine de la Convention 108 relative à la protection des personnes à l’égard du traite-ment automatisé des données à caractère personnel, un texte ratifié uniquement par 17

Etats membres.

Des intentions louables Les textes nationaux ne suffisent pas : tôt ou tard, l’enquête en matière cybercriminelle franchira les frontières du pays où se déroule initialement l’enquête. La cybercriminalité

ne connait pas les frontières juridiques et opère sur de nombreux territoires nationaux différents : acteurs localisés dans différents pays, serveurs bulletproof hébergés dans un « paradis numérique », etc. C’est pourquoi la Convention de Budapest a souhaité renfor-

cer la coopération internationale, cette amélioration passant par une harmonisation des législations nationales mais aussi par l’amélioration des canaux de coopération.

• Le «Le «Le «Le « gelgelgelgel » de données » de données » de données » de données ---- la Convention sur la cybercriminalité de Budapest de

2001 contient quelques dispositions essentielles. Son article 29 prévoit ainsi la possibilité de « geler » les données informatiques situées hors du territoire na-tional. Cet article dispose en effet qu’ « une Partie peut demander à une autre Partie d’ordonner ou d’imposer d’une autre façon la conservation rapide de données stockées au moyen d’un système informatique se trouvant sur le terri-toire de cette autre Partie, et au sujet desquelles la Partie requérante a l’intention de soumettre une demande d’entraide en vue de la perquisition […], de la saisie […], ou de la divulgation desdites données ».

• Les canaux de coopération Les canaux de coopération Les canaux de coopération Les canaux de coopération ---- la demande de gel des données pourra être effec-

tuée par commission rogatoire internationale ou par demande d’entraide. Elle pourra aussi être réalisée à travers le canal d’information Interpol. En France,

c’est l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC) qui est le point de contact In-

Page 63: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 62 sur 73

terpol en matière de cybercriminalité (voir décret n°75-431 du 26 mai 1975).

L’officier de police judiciaire enverra sa demande via le canal BCN (Bureau Cen-tral National) situé à l’Office. Les points de contact peuvent être joints 24 heures

sur 24 et sept jours sur sept pour recevoir et fournir toute information, ou exé-cuter les demandes d’assistance.

Cette mesure qui exige la conservation et la communication des données est sans con-teste la plus importante de la Convention. Mais elle est aussi celle qui suscite le plus de réticence de la part des États. La Russie a notamment considéré qu’elle constituait une

atteinte à la souveraineté nationale1.

Un texte à portée limitée. Très peu de signataires Très peu de signataires Très peu de signataires Très peu de signataires ---- Malgré ses objectifs louables, la Convention sur la cybercrimi-nalité de Budapest a une portée limitée et les moyens de coopération policière et judi-

ciaire sont encore insuffisants. Au 17 mars 2011, seuls 29 pays l’ont ratifiée. Parmi ceux qui l’ont signée, mais pas ratifiée, figurent notamment la Chine, le Royaume-Uni, la Bel-

gique, la Suède ou encore la Géorgie. La Russie estime quant à elle que ce traité est une menace pour sa souveraineté nationale. Or, la Chine et la Russie sont des acteurs essen-tiels dans le domaine de la cybercriminalité. Au deuxième trimestre 2009, 9,3% des bot-nets venaient de Chine, et 5,6% de Russie.

Le manque de volonté des États Le manque de volonté des États Le manque de volonté des États Le manque de volonté des États ---- Il est aussi possible de constater un manque de vo-lonté de la part de certains Etats. Une large partie des affaires traitées par les services de police et de gendarmerie renvoient en effet vers l'étranger, souvent vers des pays qui

n'ont ni les moyens ni la volonté de coopérer efficacement. La coopération s’avère ainsi particulièrement difficile avec des pays tels que les États-Unis, la Russie ou l’Ukraine qui se montrent parfois réticents à communiquer des données stockées chez leurs fournis-

seurs d’accès à Internet. Le peu d’intérêt manifesté par certains États pour la lutte contre la cybercriminalité s’explique à la fois par la difficulté des enquêtes et le fait qu’elles

concernent parfois des préjudices de faible montant à l’échelle d’une seule victime.

Le développement des cyberparadis Le développement des cyberparadis Le développement des cyberparadis Le développement des cyberparadis ---- Il faut enfin noter que certains pays trouvent un intérêt particulier à la cybercriminalité. Par exemple, le scam « 419 » (se référant au nu-méro de l’article sanctionnant cet acte) représente aujourd’hui l’une des sources les plus importantes de revenus étrangers pour le Nigéria. Certains États deviennent ainsi de

véritables « cyberparadis ». Les Pays-Bas refusent par exemple d’établir un lien entre une personne et une adresse IP. En Russie, où la cybercriminalité est en plein essor, les cyber-

criminels bénéficient même d’une certaine tolérance tant qu'ils ne s'attaquent pas à des intérêts nationaux. C’est cette impunité de fait qui a favorisé l’émergence d'un véritable marché noir de logiciels malveillants.

Le manque de volonté des acteurs privés :Le manque de volonté des acteurs privés :Le manque de volonté des acteurs privés :Le manque de volonté des acteurs privés : On dénote également un manque de vo-lonté de la part des acteurs privés qui, pour certains, y trouvent leur compte en termes

de chiffre d’affaires. Certains serveurs bulletproof font ainsi de leurs garanties d’anonymat et de non conservation des données un argument commercial. Même cons-

tat pour certains services de monnaie virtuelle qui font de l’anonymat et de l’opacité leur fond de commerce.

1 : Pedro Verdelho, “The Effec-tiveness of International Co-operation against Cybercrime: Examples of Good Practice,” Discussion Paper (Draft), Project on Cybercrime, Council of Europe, March 12, 2008,

http://bit.ly/jL0kG6

Page 64: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 63 sur 73

Quelques pistes

Vers un renforcement de la coopération internationale ?

L’élargissement de la Convention de Budapest L’une des solutions, notamment encouragée par les récentes conclusions du Conseil de l’Union Européenne « relatives à un plan d'action visant à mettre en œuvre la stratégie concertée de lutte contre la cybercriminalité », serait la ratification générale de la Con-vention de Budapest par une majorité d’États, permettant ainsi l’harmonisation des légi-

slations et une coopération optimale. Mais ce scénario semble peu probable aujourd’hui, bien que les pays réfléchissant à l’amélioration de la coopération soient nombreux. 17 pays de l’Amérique du Sud, 14 pays de la zone Caraïbe et 10 pays asiatiques ont ainsi été

invités par le Conseil de l’Europe afin de contribuer à l’évolution de la législation. La Convention sur la cybercriminalité de Budapest reste le texte de référence : elle a une

vocation internationale et plus de 100 pays s’en inspirent afin de faire évoluer leur légi-slation en la matière.

La conclusion d’accord bilatéraux Si la Convention de Budapest rassemble encore peu de pays, elle les influence énormé-

ment, notamment dans la conclusion d’accords bilatéraux de lutte contre la cybercrimi-nalité. C’est le cas de la Colombie qui a mis en place des outils de coopération bilatérale

en la matière avec des pays qui n’ont pas ratifié la Convention : Chili, Mexique, etc. Ac-tuellement, l’Australie améliore sa législation et les pratiques de ses fournisseurs d’accès à Internet dans le but d’intégrer la Convention de Budapest. Le jeudi 10 mars 2011, le

Maroc a également adopté deux conventions relatives à la lutte contre la cybercriminali-té, visant à soutenir la coopération entre les pays arabes. Les États-Unis et la Russie (qui plaide pour un traité de désarmement du cyberespace) sont actuellement en discussion

afin de concilier leurs approches différentes de la cybersécurité et d’améliorer la coopé-ration.

Début 2010, la Russie a durci les conditions d’attribution des adresses en .ru. Les an-ciennes conditions d’attribution des noms de domaine en .ru, trop laxistes, en avaient

fait l’extension la plus prisée par les spammeurs, à l’origine du phishing recueillant les données personnelles telles que des identifiants ou numéros de cartes bancaires à re-

vendre sur les black markets. Peu de temps avant, la Chine avait elle aussi restreint l’attribution de ses noms de domaines afin de lutter contre la contrefaçon.

Un Schengen du numérique ? Une solution consisterait à permettre, à l’échelle européenne, un système similaire au

droit de poursuite et au droit d’observation prévu par la Convention de Schengen1. Le droit d’observation (article 40) permet sous certaines conditions de poursuivre une fila-

ture sur le territoire d’un autre État membre sur la base d’une entraide judiciaire. Le droit de poursuite (article 41) permet sous certaines conditions « de continuer la poursuite sans autorisation préalable » sur le territoire d’un État voisin. Étendre ces possibilités à la lutte contre la cybercriminalité reviendrait à permettre à l’officier de police judiciaire de réaliser, sans autorisation préalable, des actes d’enquête sur des serveurs et espaces de stockage situés dans l’un des pays ayant intégré les acquis Schengen. On parlerait alors

de « Schengen du numérique ».

Une telle solution présenterait cependant les mêmes lacunes que le système actuel. En effet, comment savoir si les données sont dans ou hors de l’espace Schengen ? De plus, il y a toujours restriction de la marge de manœuvre de l’officier de police judiciaire. Ce

dernier est toujours contraint de s’adapter aux frontières de l’espace Schengen, alors

1 : Les Accords de Schengen (l'Accord signé le 14 juin 1985, ses protocoles ainsi que les accords d'adhésion des Etats) ont donné lieu à l'adoption d'une Convention d'ap-plication (Convention Schen-gen du 19 juin 1990) puis à différentes mesures de mise en œuvre. L'ensemble de ces textes constitue l'Acquis de

Schengen.

Page 65: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 64 sur 73

que ces frontières n’ont souvent qu’une réalité concrète très relative, dans le cyberes-

pace.

En février dernier, a été évoquée, au cours d’une réunion du LEWP (Law Enforcement Working Party, groupe de travail au sein du Conseil Justice et affaires intérieures de l'Union européenne), la création d'une « frontière virtuelle Schengen » . Dans ce projet,

les FAI joueraient le rôle de « douaniers » en bloquant tout contenu jugé illicite prove-nant de l’extérieur. Ce projet n’a cependant pas été accueilli favorablement par la cri-tique qui l’a rapidement comparé aux procédés employés par la Chine. Mais surtout,

c’est l’impossibilité de mise en œuvre du projet qui a été soulignée.

Les Nations Unies C’est pourquoi une autre solution est préconisée, cette fois-ci dans le cadre d’une ap-proche mondiale et globale. Il s’agirait de mettre en place une sorte de « Cyber-ONU »

afin de mieux lutter contre la cybercriminalité1. Cette ONU de l’Internet aurait pour fonc-tion première de définir les règles de l’espace Internet. Elle « aura à arbitrer la réponse informatique offensive qu’un État se verra contraint d’adopter face à des attaques ». En effet, de la même façon qu’il existe un droit maritime dédié à l’espace maritime, et un droit aérien pour l’espace aérien, il doit être créé un droit de l’Internet pour le cyberes-

pace.

Les Nations Unies jouent déjà un rôle essentiel dans l'amélioration de la coopération

internationale en matière de lutte contre la cybercriminalité. La Commission sur la pré-vention du crime et la justice pénale a en effet tenu, en 2009, un débat portant sur la

fraude économique et la criminalité liée à l’identité. De plus, le Congrès des Nations Unies d’avril 2010 au Brésil qui portait sur la prévention du crime et la justice pénale a été l’occasion de discuter de la pertinence d’un nouveau texte international pour amé-

liorer cette lutte. Mais, comme l’a souligné le représentant de l’Espagne au cours de ce Congrès, la rédaction d’une nouvelle Convention n’est pas nécessaire, l’utilisation des

outils existant déjà – la Convention de Budapest – dépendant surtout de la volonté poli-tique des États.

L’engagement de la responsabilité des États En vertu du projet d’articles sur la responsabilité de l’État pour « fait internationalement

illicite » adopté en 2001 par la Commission des Nations Unies, il est possible d’envisager la mise en œuvre de la responsabilité des États signataires à la Convention de Budapest

ne respectant pas les obligations en découlant. En effet, dès lors qu’un Etat exprime son approbation à un texte international (signature ou ratification), la coutume internatio-nale veut que sa responsabilité puisse être engagée pour tout fait internationalement

illicite. Selon l’article 12 du projet d’article, la violation d’une obligation internationale consiste dans le manque de conformité entre le comportement requis de l’État par cette obligation et celui qu’il a effectivement adopté. La violation peut n’être que partielle-

ment contraire à l’obligation incombant à l’État. Elle peut aussi consister dans une omis-sion, ou une succession d’omissions. Le manquement peut être un manquement à une

obligation de comportement ou de résultat.

Ainsi, dans la convention sur la cybercriminalité de Budapest, lorsqu’un article indique

que « chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour ériger en infraction pénale » certains comportements décrits dans cette même Convention, l’État signataire est contraint de suivre cette disposition. Dans le cas con-traire, et comme le précise l’article 45 de la Convention sur la cybercriminalité, en cas de différend sur l’application de cette Convention, les Parties « s’efforceront de parvenir à un règlement du différend par la négociation ou par tout autre moyen pacifique de leur

1 : « Vers une cyber-ONU – Entretien avec Christian AGHROUM, commissaire divi-sionnaire, ancien chef de l’OCLCTIC ». Bulletin de l'ILEC,

n°404., Octobre 2009, p. 13.

Page 66: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 65 sur 73

choix » ; mais ils pourront aussi opter pour l’arbitrage, ou encore pour la Cour internatio-nale de Justice.

De ce fait, et plus concrètement, un État signataire ne respectant pas l’obligation de l’article 31 de la convention de Budapest imposant la coopération entre États signataires par la conservation et l’autorisation d’accès à des données numériques localisées sur son

territoire commettrait un acte qui pourrait être qualifié d’internationalement illicite. Sa responsabilité pourrait être ainsi engagée, notamment s'il tolère l’activité d’entreprises qui proposent des serveurs bulletproof se vantant explicitement de la non-conservation des logs de connexion et contribuant ainsi au développement de la cybercriminalité.

Ce principe d’engagement de la responsabilité internationale d’un État pour tout fait illicite a notamment été affirmé par la Cour permanente de Justice internationale dans un arrêt du 26 juillet 1927 relatif à l’affaire de l’usine de Chorzow (CPJI, Série A, n°9, p21),

mais aussi par le tribunal arbitral dans l’affaire du Rainbow Warrior. Le Tribunal avait considéré en effet que « toute violation par un État d’une obligation, quelle qu’en soit l’origine, engage la responsabilité de cet État et entraîne, par conséquent, le devoir de réparer » (Nouvelle Zélande/France, Recueil des sentences arbitrales, vol XX (1990), p. 251, §75).

Pour un modèle de sécurité actif

La lutte contre la cybercriminalité passera aussi nécessairement par l’émergence d’un modèle de sécurité active. Les caractéristiques intrinsèques du cyberespace (l’anonymat,

l’instantanéité, l’imprévisibilité des effets d’une attaque…) font en effet que celui-ci privilégie souvent systématiquement l’attaquant sur le défenseur alors que la stratégie

contemporaine est fondée sur une posture défensive, sur la dissuasion et sur la légitime défense. La dissymétrie est importante : le pirate informatique a le choix des armes, tan-dis que le défenseur doit imaginer tous les scénarios ; le hacker ne respecte aucune règle

tandis que la victime agit dans un cadre très contraint. Or dans le cyberespace la dissua-sion est impossible ou presque : comment dissuader un adversaire qui est quasiment

certain de ne pas être identifié ? Même constat pour la légitime défense : comment réa-gir lorsque l’on ne peut pas attribuer l’attaque ? Comment respecter les sacro-saints principes de simultanéité et de proportionnalité de la riposte pour des attaques qui

durent quelques millisecondes dans un environnement non prédictif ?

Dans ces conditions, un modèle de sécurité active doit notamment se traduire par :

• Une meilleure gestion des événements sécurité. Les logs constituent des élé-

ments précieux, fréquemment sous-exploités. Triés, analysés, corrélés avec des profils de risque, ils permettent souvent de détecter des signaux faibles.

• Une surveillance permanente des black markets afin de détecter le plus en amont possible des attaques les menaçant. Les banques ne sont pas les seules concernées par la cybercriminalité. Les compagnies aériennes et de nombreux

industriels sont eux aussi victimes de fraudes ou de divulgation d’éléments sus-ceptibles d’affecter la sécurité de leurs produits et leur image ;

• Une lutte renforcée contre les outils financiers et logistiques utilisés par les cy-bercriminels. La chaîne cybercriminelle implique l’utilisation de systèmes de

monnaie virtuelle et de sociétés d’échange. Moins mobiles que les black mar-kets eux-mêmes, ces opérateurs qui constituent le lien entre la criminalité tradi-tionnelle et la cybercriminalité doivent être des cibles prioritaires pour les ac-tions judiciaires ;

Page 67: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 66 sur 73

• Le renforcement des capacités d’enquête des services spécialisés tant à travers

des moyens supplémentaires que grâce à l’aménagement d’un cadre juridique

approprié ;

• Le développement, nécessairement discret, de capacités militaires, tant en ma-

tière de lutte informatique défensive qu’offensive.

Certaines de ses actions relèvent logiquement des missions régaliennes de l’État. D’autres, en revanche incombent aux entreprises qui sont en première ligne dans cette

lutte.

Pour une véritable stratégie de puissance dans le cyberespace

Ce modèle de sécurité active doit être soutenu par une stratégie de puissance globale

destinée à faire valoir et à défendre les intérêts français et européens dans le cyberespace à travers des objectifs et des moyens politiques, diplomatiques, écono-miques, technologiques et militaires.

La lutte contre la cybercriminalité s’inscrit en effet dans le contexte plus large d’un

cybrespace devenu un terrain d’affrontement, où les relations entre acteurs doivent aussi s’analyser en termes de rapports de force. Les causes de cette instabilité croissante sont multiples :

• Internet a changé de taille mais surtout de centre de gravité. Il y a aujourd’hui

plus d’internautes en Chine qu’aux États-Unis. Par ailleurs, Internet qui était l’apanage des pays les plus industrialisés conquiert petit à petit toutes les ré-

gions du monde, y compris l’Afrique, jusqu’alors totalement isolée au plan nu-mérique ;

• La domination américaine semble s’éroder au plan technologique, industriel, en matière d’infrastructures ou d’innovation. Exemple : le premier supercalculateur

est maintenant chinois ;

• Les technologies et protocoles actuels montrent leurs limites, notamment en termes de sécurité ;

• Les affrontements de tous types sont de plus en plus nombreux ;

• Alors que l’on était dans un espace essentiellement marchand géré par des

techniciens, le « politique » se réapproprie cet espace. Avec les aspects positifs (rôle d’internet dans le développement de la démocratie, régulation d’un cer-

tain nombre de dysfonctionnements) et négatifs (censure et atteintes à la « neu-tralité du net »).

• Internet a encouragé la dilution de la souveraineté étatique entre États, entre

États et entreprises, entre États et « internautes citoyens ».

Après plus d’une décennie de croissance ininterrompue et harmonieuse, la géopolitique

est qu’on le veuille ou non en train de reprendre ses droits sur Internet.

Page 68: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 67 sur 73

GLOSSAIRE

Autonomous System - Ensemble de réseaux appartenant à une plage d’adresses IP parti-

culière sous le contrôle d’une seule entité, souvent un Fournisseur d’Accès à Internet (FAI). Les AS sont interconnectés entre eux, ce qui forme le réseau Internet.

Attaque DDoS (Distributed Denial of Service) - Attaque informatique ayant pour finalité de rendre indisponible l’accès à un service en le saturant de requêtes.

Banker – Logiciel malveillant permettant la récupération d’informations bancaires par un pirate informatique.

Black Market - Plateforme marchande illégale sur laquelle s’échange biens, services et renseignements destinés à la commission d’acte cybercriminel.

Botnet - Réseau d’ordinateurs corrompus contrôlés par un ou plusieurs cybercriminel(s) pouvant être utilisé pour différentes finalités : émission de spam, diffusion de phishing ou de malware, fraude au clic, puissance de calcul, attaque DDoS, opération de com-merce illicite, etc.

Captchas – Systèmes de contrôle visuel ou audio permettant de différencier un humain d’un programme automatique lors de la validation de formulaires sur internet.

Carding - Ce terme anglophone désigne l’ensemble des techniques de piratage et de ventes illégales de cartes bancaires.

Checkers - Programme informatique qui permet de vérifier la validité d’une carte ban-

caire en effectuant une transaction en générale d’un faible montant.

Cheval de Troie - Un cheval de Troie (appelé également Troyen ou Trojan) est un pro-gramme informatique, souvent d’apparence légitime, conçu pour exécuter subreptice-ment des actions à distance à l’insu de l’utilisateur infecté.

CMS (Content Management System) - Un CMS est une famille de programme informa-tique destinée à la conception et l’administration de plateforme Web ou d’application

multimédia.

CVV (Card Verification Value) - Il s’agit du cryptogramme visuel situé en général au dos

d’une carte de paiement qui a pour rôle de renforcer la sécurisation des transactions bancaires.

Escrow - Tiers de confiance qui va permettre de finaliser une transaction entre deux personnes n’ayant jamais traité ensemble auparavant.

Exploit – Programme permettant à un pirate d’automatiser l’exploitation d’une vulnéra-bilité dans un programme existant.

Exploit kit - Un exploit kit est un pack de programme malicieux qui est principalement utilisé pour mener à bien des attaques automatisées afin de propager des programmes

malveillants.

ICQ - ICQ est un système propriétaire de messagerie instantanée, de VoIP et de visiocon-

férence développé par la société Mirabilis. Ce service se distingue notamment par le fait

Page 69: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 68 sur 73

que les utilisateurs sont identifiés par des numéros UIN (Universal Internet Number) délivrés par ordre d’inscription, offrant par la même, une garantie d’anonymat aux utili-sateurs.

Iframe - Contraction de “Inline frame”, l’Iframe est une balise HTML qui permet d'afficher au sein d'une page Web des informations stockées sur un serveur différent.

Iter criminis (Chemin du crime) - Processus, étapes franchies par la personne souhaitant commettre une infraction.

JABBER - Jabber est un système décentralisé, libre et gratuit de messagerie instantanée

fondé sur le protocole XMPP (Extensible Messaging and Presence Protocol) permettant de chiffrer les conversations, de créer des serveurs ou encore de naviguer sur des milliers de serveurs Jabber à travers le monde.

Malware - Contraction de l’expression anglophone malicious et software, un malware est un terme générique désignant un programme malveillant (code, scripts, contenu actif)

qui effectue des actions à l’insu de son utilisateur. Ce terme généraliste peut aussi bien désigner un virus, un vers, un spywares, un keylogger, un cheval de Troie, etc.

MBR (Master Boot Record) - Egalement appelé “zone amorce”, le MBR est le premier secteur adressable d’un disque dur. Il intègre une routine d’amorçage dont la finalité est

de charger le système d’exploitation.

Money Mule - La « Money Mule » est une personne qui transfère ou récupère de l’argent ou des marchandises pour le compte d’autrui, dans le cadre d’escroquerie dont elle n’est souvent pas conscience.

Ordinateur Zombie - Cette appellation désigne un ordinateur contrôlé à distance par un pirate informatique.

PABX - Autocommutateur téléphonique privé qui gère de manière automatique les communications entre plusieurs postes téléphoniques.

Phishing - Egalement appelé « hameçonnage » ou « filoutage », le phishing est une tech-nique de fraude reposant sur l’ingénierie sociale qui vise à obtenir les données à carac-tère personnel ou bancaires de la victime en se faisant passer pour un tiers de confiance. Le phishing peut employer différents canaux de diffusion : sites Web, e-mails, SMS (SMiShing), téléphone, etc.

Ransomware - Un ransomware est un type de malware qui vise à empêcher l’utilisateur d’avoir accès à ses données ou son système d’exploitation notamment par le biais de techniques de chiffrement des données ou par blocage du MBR.

Rippers - Le ripper est un cybercriminel qui se fait passer pour un vendeur légitime sur un site de Black Market ou qui crée de faux sites de Black Market, afin de récupérer le montant de ces transactions illégales, sans offrir de réelles contreparties.

SCADA (Supervisory Control and Data Acquisition) – Système informatique permettant

la surveillance et le contrôle de systèmes industriels (énergie, transports, usines, etc.)

Serveur Bulletproof - Service d’hébergement littéralement « à l’épreuve des balles », où le prestataire ne vérifie pas l’utilisation faite de l’espace alloué et garantit la disponibilité du service en dépit des plaintes et/ou injonctions qu’il pourrait recevoir. Généralement,

le prestataire ne conserve aucunes donnée relative à l’identification du client.

Page 70: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 69 sur 73

Serveur C&C - Serveur utilisé par un pirate pour contrôler à distance des ordinateurs qu’il

aura infecté. Ces serveurs lui permettent de renforcer son anonymat.

Shops - Sites de vente automatisée de produits cybercriminels. Ce type de Black Market est généralement d’accès limité et implique un ou plusieurs parrainages.

Spam - Selon la CNIL, le spam se caractérise par « l’envoi massif et souvent répété de courriers électroniques à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il a récupéré les adresses électroniques de façon irrégulière ».

Injection SQL - Ukne injection SQL exploite une faille de sécurité d’une application web

en introduisant une requête SQL non prévue. Cette injection permet d’interagir avec la base de données de l’application et ainsi de compromettre sa sécurité.

Voucher - Système de paiement électronique pouvant se présenter sous la forme d’un code PIN représentant une valeur monétaire.

VPN (Virtual Private Network) - Interconnexion de réseaux locaux sécurisée via tunnel. Ce dernier assure la sécurisation du réseau par des algorithmes de chiffrement.

Zombie (ordinateur) – Ordinateur préalablement infecté afin d’être sous le contrôle d’un pirate informatique, un Botnet est composé de milliers d’ordinateurs zombies.

Page 71: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 70 sur 73

Compréhension desenjeux techniques

Compréhension desenjeux "métiers"

Compréhension desenjeux stratégiques

Anticipation Analyse Conseil

Tests d'intrusionVeille

technologique

Veille opérationnelle

Veillestratégique

Analyse de risquestechnologiques

Analyse desmenaces

Politique desécurité

Etudesd’architectures

Recommandationstechniques

PRESENTATION DE CEIS

Créée en 1997, CEIS est une société de conseil en stratégie et en management des

risques qui compte aujourd’hui 80 consultants en France. CEIS dispose en outre de plu-sieurs implantations internationales : Bruxelles, Beijing, Abu Dhabi, Kiev, Astana et Mos-cou.

CEIS s'organise autour de 4 grands pôles d'activité :

• Risques opérationnels : intelligence économique et financière, management des

risques et gestion de crise, sécurité des systèmes d’information et business in-telligence ;

• Prospective stratégique : études stratégiques et analyse des menaces ;

• Intelligence publique et territoriale : lobbying, communication, marketing terri-torial ;

• Innovation 128 : gestion de l’innovation et veille technologique.

Pour développer ses activités en matière de sécurité des systèmes d’information et de

lutte anti-cybercriminalité, CEIS a créé l’équipe Secu Insight qui regroupe aujourd’hui une dizaine de personnes : ingénieurs spécialisés en sécurité des systèmes d’information, juristes en droit des nouvelles technologies et analystes multilingues.

Cette équipe réalise des missions de veille, d’analyse et de conseil dans le domaine de la

sécurité des systèmes d'information et de la lutte contre la cybercriminalité. Elle anime également le site Secu-Insight.fr, un portail d'informations dédié à la sécurité des sys-tèmes d’information et aux cyber-risques.

L'offre cyberL'offre cyberL'offre cyberL'offre cyber----sécurité de CEISsécurité de CEISsécurité de CEISsécurité de CEIS

Page 72: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 71 sur 73

CONTACTS

Pour toute réaction à cette étude, pour obtenir plus d'informations sur ce sujet, pour en savoir plus sur nos offres, n'hésitez pas à nous contacter.

Guillaume TISSIER Directeur du pôle Risques Opérationnels

01 45 55 60 29 - [email protected]

Nicolas CAPRONI Consultant spécialisé en cybercriminalité et sécurité des systèmes d'information 01 45 55 58 67 - [email protected]

Barbara Louis-Sidney Consultante spécialisée en cybercriminalité et sécurité des systèmes d'information

01 45 55 58 72 - [email protected]

Page 73: CEIS - Les marchés noirs de la cybercriminalité - Juin 2011

Compagnie Européenne d’Intelligence Stratégique (CEIS) Société Anonyme au capital de 150 510 € - SIRET : 414 881 821 – APE : 741 G

280 boulevard Saint Germain – 75007 Paris - Tél. : 01 45 55 00 20 – Fax : 01 45 55 00 60

Tous droits réservés

Collection Notes ∑tratégiques

Coordination éditoriale : O. ZAJEC

● Stratégies et opérationsStratégies et opérationsStratégies et opérationsStratégies et opérations ●

La France et l’équation Rafale

Le retour de la stratégie indirecte

Les drones : l’exemple américain

Les systèmes de systèmes

● Technologies de l’informationTechnologies de l’informationTechnologies de l’informationTechnologies de l’information ●

Les marchés noirs de la cybercriminalité

● Débats et Politiques puDébats et Politiques puDébats et Politiques puDébats et Politiques publiquesbliquesbliquesbliques ●

A paraitre

Retrouvez toutes les notes stratégiques sur www.ceis.eu