Ceis Les Marches Noirs de La Cybercriminalite Juin2011

Collection Notes tratgiques
LES MARCHES NOIRS DE LA CYBERCRIMINALITE

Etude rdige sous la direction de Guillaume Tissier par Marie Garbez, Barbara Louis-Sidney, Flix Aim, Louis Vatier et Nicolas Caproni de lquipe Secu-Insight de CEIS.
Prface du Gnral darme Watin-Augouard
Technologies de linformation Juin 2011
SOMMAIRE
Sommaire ................................................................................................................................................................ 1 Prface .................................................................................................................................................................... 2 Introduction ............................................................................................................................................................ 7 La face visible de la cybercriminalit................................................................................................................... 7 La face cache de la cybercriminalit ................................................................................................................. 7 Mthodologie ...................................................................................................................................................... 8 Scnarios ................................................................................................................................................................. 9 Scnario 1 : chantage au dni de service distribu ............................................................................................. 9 Scnario 2 : campagne d'infection massive de sites Internet .......................................................................... 10 Scnario 3 : vol de base de donnes clients ...................................................................................................... 11 Scnario 4 : campagne de phishing ................................................................................................................... 11 Scnario 5 : indisponibilit de superviseur ....................................................................................................... 12 Synthse ............................................................................................................................................................ 13 Les sites de black market ...................................................................................................................................... 14 Du site amateur au site professionnel ................................................................................................ 14 Deux grandes catgories ................................................................................................................................... 14 Les produits ....................................................................................................................................................... 20 Les outils des cybercriminels ............................................................................................................................. 23 Les infrastructures : les serveurs bulletproof.................................................................................................... 28 Les acteurs des black markets............................................................................................................................... 33 Entre got du secret et besoin de publicit : une criminalit schizophrne .................................................... 33 Des associations internationales de malfaiteurs ......................................................................................... 34 Des profils trs varis ........................................................................................................................................ 37 Lennemi numro un des cybercriminels : le ripper ......................................................................................... 38 Lconomie des black markets .............................................................................................................................. 40 Les profits des cybercriminels ........................................................................................................................... 40 Un outil cl : la monnaie virtuelle ..................................................................................................................... 43 Un recours aux moyens classiques du blanchiment dargent .......................................................................... 51 Synthse ............................................................................................................................................................ 55 Quelles rponses ? ................................................................................................................................................ 56 Au plan franais ................................................................................................................................................. 56 Au plan international ........................................................................................................................................ 60 Quelques pistes ................................................................................................................................................. 63 Glossaire ................................................................................................................................................................ 67 Prsentation de CEIS ............................................................................................................................................. 70 Contacts ................................................................................................................................................................ 71
LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 1 sur 73
RESEARCH PAPER
LES MARCHES NOIRS DE LA CYBERCRIMINALITE

Ralis sous la direction de Guillaume Tissier par Marie Garbez, Barbara Louis-Sidney, Flix Aim, Louis Vatier et Nicolas Caproni de lquipe Secu-Insight de CEIS.
Technologies de linformation
Tous droits rservs Publi en 2011 par CEIS
Compagnie Europenne dIntelligence Stratgique (CEIS) Socit Anonyme au capital de 150 510 - SIRET : 414 881 821 APE : 741 G 280 boulevard Saint Germain 75007 Paris - Tl. : 01 45 55 00 20 Fax : 01 45 55 00 60
PREFACE
L'homme a toujours eu l'ambition de se rendre matre de nouveaux espaces. Il a investi la terre, son premier univers, a conquis la mer, avant de slancer dans les airs et, depuis peu, dans lespace extra-atmosphrique. Chacune de ces aventures lui a permis de goter une nouvelle libert dont il a parfois us, voire abus, avant de comprendre la ncessit dtablir des limites par une rgulation protgeant le plus faible contre la domination du plus fort. Lordre public a dabord organis la vie en socit sur la terre. Il sest tourn vers la mer. Celle-ci a cess dtre une res nullius pour devenir une res communis quil convient de protger, car cest un espace fragile sur lequel le trafic maritime et lexploitation des richesses doivent tre encadrs. Avec le dveloppement de la navigation arienne est n un ordre public qui se manifeste chaque jour davantage sous la pression de la menace terroriste. Laccs lespace extra-atmosphrique est encore le privilge de quelques grandes puissances, mais il ne manquera pas de justifier ldification de rgles internationales au fur et mesure que des activits humaines sy dploieront. Quelque soit lespace considr, lordre public ne peut tre garanti sans un consensus international, condition dune coopration sans frontire. Le cyberespace est depuis trois dcennies, une nouvelle terra incognita. Il est certes un espace immatriel, mais on ne peut nier les consquences matrielles et humaines de son exploration. Les technologies numriques sont dsormais omniprsentes (information, culture, ducation, commerce, industrie, services, sant, scurit, dfense, etc.). Elles sont source de progrs, de croissance si elles sont matrises, mais elles portent aussi en germe des risques de fragilits. Les pionniers ont considr que la libert devait y tre absolue, mais aprs une priode deuphorie, voire dinsouciance, chacun est dsormais convaincu de lurgence dune intervention concerte des acteurs publics et privs afin que le cyberespace ne soit pas livr aux nouveaux prdateurs, que sont notamment les cybercriminels et les cyberdlinquants. Cest justement tout lintrt de ltude mene par CEIS que de dcrire prcisment, grce une observation quotidienne du cyberespace, le fonctionnement des marchs noirs utiliss par les cybercriminels et de lconomie souterraine quils entretiennent. Alors que la cybercriminalit suscite nombre de fantasmes et dides reues, cette tude contribuera sans aucun doute la prise de conscience des pouvoirs publics mais aussi des acteurs conomiques qui sont en premire ligne dans la lutte contre ce flau. Le terme cybercriminalit apparut la fin des annes quatre-vingt-dix, alors quInternet se rpandait en Amrique du Nord. Un sous-groupe des pays du G8 fut form afin dtudier les nouveaux types de criminalit encourags par, ou migrant vers, Internet. La cybercriminalit dfinissait, de manire relativement vague, tous les types de dlits perptrs sur internet ou les nouveaux rseaux de tlcommunications dont le cot chutait rapidement. La cybercriminalit et/ou la cyberdlinquance, qui par ailleurs est celle qui touche le plus les individus, englobe(nt) toutes les infractions pnales susceptibles de se commettre sur ou au moyen dun systme informatique gnralement connect un rseau, savoir :
les infractions spcifiques aux technologies de linformation et de la communication : parmi ces infractions, on recense les atteintes aux systmes de traitement automatis de donnes, les traitements automatiss de donnes personnelles (comme la cession des informations personnelles), les infractions aux actes bancaires, les chiffrements non autoriss ou non dclars ou encore les interceptions ; les infractions lies aux technologies de linformation et de la communication : cette catgorie regroupe la pdopornographie, lincitation au terrorisme et la haine raciale sur internet, les atteintes aux personnes, les atteintes aux biens ; les infractions facilites par les technologies de linformation et de la communication, que sont les escroqueries en ligne, la contrefaon ou toute autre violation de proprit intellectuelle.
Pour contrer la commission de ces actes criminels et dlictueux, sur cette structure plantaire que constitue le cyberespace, outre les lgislations nationales, une coopration internationale s'est difie autour de rgles de droit qui protgent les individus, les entreprises, les organisations internationales, les tats. La plus emblmatique de ces rgles demeure la convention sur la cybercriminalit du 23 novembre 2001, ainsi que son protocole additionnel de janvier 2003, adopte par les pays membres du Conseil de l'Europe ainsi que les Etats-Unis, le Canada, le Japon et lAfrique du Sud et qui vise : harmoniser les lgislations des Etats signataires en matire de cybercriminalit : cette fin, la Convention tablit des dfinitions communes de certaines infractions pnales commises par le biais des rseaux informatiques. complter ces lgislations, notamment en matire procdurale : afin damliorer la capacit des services de police mener en temps rel leurs investigations et collecter des preuves sur le territoire national avant quelles ne disparaissent. amliorer la coopration internationale, notamment en matire dextradition et dentraide rpressive.
Nanmoins, si 42 tats ont sign la convention, seuls 14 ont procd sa ratification fin 2007. Pour appliquer et faire respecter ces rgles juridiques, des organes de lutte ont t mis en place. Ds 1998, a t cr, au sein de la Gendarmerie, le dpartement de lutte contre la cybercriminalit au sein du service technique de recherches judiciaires et de documentation (STRJD). Le 15 mai 2000 a t cr lOffice central de lutte contre la criminalit lie aux technologies de linformation et de la communication (OCLTIC), regroupant policiers et gendarmes, notamment au sein de la plate forme de signalement des contenus illicites sur internet. Chaque force de scurit intrieure a form sur l'ensemble du territoire des personnels, enquteurs N'Tech pour la Gendarmerie Nationale et Investigateurs en Cybercriminalit pour la Police Nationale. Au niveau europen, a t cre en 2004 lAgence europenne charge de la scurit des rseaux et de l'information (ENISA). Situe en Crte, elle fonctionne comme un centre d'expertise pour les tats membres, les institutions de l'UE et les entreprises. Lagence a pour mission de : prter assistance et fournir des conseils la Commission et aux tats membres sur les questions lies la scurit des rseaux et de l'information ;
recueillir et analyser les donnes relatives aux incidents lis la scurit en Europe et aux risques mergents ; promouvoir des activits d'valuation et de gestion des risques afin d'amliorer la capacit de faire face aux menaces pesant sur la scurit de l'information ; renforcer la coopration entre les diffrents acteurs du secteur de la scurit de linformation ; suivre l'laboration des normes pour les produits et services en matire de scurit des rseaux et de l'information.
Malheureusement la lutte contre la cybercriminalit nest pas aise. Il existe plusieurs obstacles juridiques et non juridiques cette lutte. En premier lieu, le caractre vaste des rseaux informatiques, mais aussi la rapidit de commission des infractions, la difficult de rassembler des preuves, et enfin des mthodes dinvestigation et de contrle qui peuvent se rvler attentatoires aux droits fondamentaux, en particulier au droit lanonymat et la libert dexpression. Au niveau juridique, ce qui pose aujourdhui beaucoup de difficults cest le fait quun mme comportement en France et ltranger nest pas pareillement considr. Il peut constituer une infraction dans un pays et pas dans lautre. On peut citer pour exemple, la promotion du cannabis , ou encore la provocation pour surprendre les pdophiles . Cela renvoie un autre problme celui de la loi applicable. En effet, la cybercriminalit bouleverse le principe classique de la territorialit de la loi pnale . La loi franaise sera applicable ds lors quun lment constitutif de linfraction a eu lieu en France (TGI de Paris 17me chambre, 26 fvrier 2002). Ainsi, par exemple, la simple rception par lutilisateur est un lment constitutif de linfraction. Mais sil ny a pas dlment constitutif de linfraction en France, la loi franaise ne sera pas applicable. Il faut alors lutter chaque jour contre les paradis juridiques cyber paradis , pour une meilleure efficacit du droit relatif la cybercriminalit. De mme, toutes les lgislations, et les outils en charge de leur mise en uvre et de leur respect, ne sont que le cadre d'une action individuelle, ou l'homme se doit d'tre inform et responsable de ses actes. Ceci passe par une ducation aux possibilits et dangers des systmes d'information car la cible principale des cybercriminels et dlinquants sera les rseaux sociaux et les tlphones portables. C'est ce que met en avant Symantec dans son rapport annuel danalyse des menaces de la cybercriminalit. Les utilisateurs de Facebook, Twitter et du systme dexploitation de Google Android, sont particulirement vulnrables, selon ltude. Les failles exploitables par la cybercriminalit ont augment de 115% en 2009 163% en 2010. Le nombre dattaques, notamment par la diffusion de virus, demeure nanmoins rduit sur ces programmes, compar ceux commis par e-mail. Les attaques cibles vont aussi se dvelopper. Il sagit de ces piges qui semblent venir dexpditeurs que vous connaissez, sur Facebook, ou par mails. Plus difficiles mettre en place par les cybercriminels, ils sont aussi plus efficaces : vous cliquez plus facilement sur le lien envoy par un ami sur Facebook que par un expditeur dont le mot viagra compose ladresse e-mail. Au total, le nombre dattaques menes sur Internet a augment de 93% entre 2009 et 2010, boost par la prolifration des mini-url, selon Symantec: Elles ne comprennent que rarement un lment permettant didentifier la provenance, plus compliqu donc de distinguer un lien virus dun lien valable. Ces attaques cibles sont les plus susceptibles
de compromettre les donnes personnelles des internautes. Selon le rapport, la transmission de donnes prives causes par les attaques a dbouch sur le dvoilement denviron 260.000 personnes, soit un nombre beaucoup plus lev que ceux d des pertes accidentelles ou de mauvais systmes de protection. Ainsi, toute dmarche doit placer lHomme au coeur de toute rflexion, de toute action : quoi lui servirait de gagner lunivers du cyberespace sil venait perdre son me ? . La matrise du cyberespace sinscrit dans une stratgie de dveloppement durable(1) qui prserve lavenir des gnrations futures. Elle doit garantir la paix publique mais aussi la paix, car les hommes ont toujours port leurs conflits sur les espaces quils se sont appropris, telle que l'actualit rcente l'a dmontr dans les pays arabes et que rappelait le Prsident de la Rpublique Nicolas SARKOZY lors de son discours du 24 mai 2011, lors de l'e.G8 Forum, "cette rvolution qui a modifi jusqu' notre perception du temps et de l'espace a jou un rle dterminant dans le droulement d'autres rvolutions". Outre la ncessit de promouvoir une prise de conscience collective par une formation l'information, chaque Etat doit se doter de comptences humaines et d'outils qui puissent veiller dtecter en permanence les menaces, dfinir les mesures de protection, dtenir et mettre en uvre des capacits de riposte qui simposent afin de prserver lextraordinaire potentiel de dveloppement dont le cyberespace est porteur et qui doit tre considr comme une chance pour lhumanit quil faut saisir avec loptimisme de la libert et le ralisme de la scurit.
WatinGnral darme Watin- Augouard
Inspecteur Gnral des Armes Gendarmerie
INTRODUCTION
Si la cybercriminalit est au cur de lactualit en raison du dveloppement sans prcdent des technologies numriques et du tout Internet , elle nen reste pas moins une forme de criminalit dont le mode opratoire est extrmement opaque. Les cybercriminels utilisent en effet leur avantage les caractristiques propres Internet : labsence de frontires, lanonymat, la volatilit etc. Si bien que la traque se rvle particulirement complexe. Il est en outre plus ardu de lutter contre un individu subtilisant un euro un million de personnes que contre un individu subtilisant un million deuros une seule personne Le dlit est indolore ou presque et, bien souvent, aucune plainte nest dpose par les victimes.
La face visible de la cybercriminalit

La cybercriminalit consiste utiliser des systmes et des rseaux informatiques, soit pour commettre des infractions spcifiques ces rseaux, soit pour raliser ou faciliter des infractions plus classiques, lesquelles taient dj incrimines avant larrive dInternet. Elle sillustre, plus concrtement, par toute une srie de comportements frauduleux au nombre desquels se retrouvent, par exemple, le vol de donnes caractre personnel (adresse, nom, identifiant et mots de passe), la fraude et le vol didentifiants bancaires, le vol et la falsification de papiers didentit, mais aussi latteinte au fonctionnement dun systme informatique. Ces comportements sont facilits par la ralisation dactes en amont tels que la fabrication et lutilisation de malwares capables de subtiliser les donnes dun rseau ou dun systme dinformation. Cette vision de la cybercriminalit nest cependant que parcellaire et de nombreuses questions restent en suspens : Comment les cybercriminels sorganisent-ils ? Quelle est ltendue de leurs profits ? O se situe la jonction entre cybercriminalit et criminalit physique traditionnelle ? Cest pour apporter des lments de rponse ces interrogations que CEIS a men cette tude sur la face cache de la cybercriminalit.
La face cache de la cybercriminalit

Lenvers du dcor, cest un vritable march noir ou black market de la cybercriminalit, permettant aux cybercriminels : De sorganiser. Ils y nouent des contacts et oprent une division des tches travers un mode opratoire plus ou moins bien ficel ; De vendre, de louer et dacheter. Sur les black markets, forums ou shops, sont mis en vente toutes sortes de produits et de services, quil sagisse doutils de piratage (malwares) ou de rsultats de ces malversations (numros de
cartes bancaires, de comptes de jeux en ligne, faux papiers, donnes caractre personnel en tous genres).
Mthodologie
Quelques scnarios, issus pour la plupart de cas rels, permettront tout dabord au lecteur dapprhender ltendue de la cybercriminalit et le rle central des black markets. Dans un deuxime temps seront prsents les diffrents types de black market, les outils utiliss et les acteurs impliqus. Le rle des monnaies virtuelles et lanalyse des liens entre cybercriminalit et criminalit physique traditionnelle feront galement lobjet dune attention particulire. Une dernire partie dtaillera enfin les cadres juridiques franais et internationaux avant de proposer quelques pistes pour lutter contre le flau cybercriminel : renforcement de la coopration internationale, surveillance renforce des black markets et dveloppement dun modle de scurit actif.
SCENARIOS
La mise en rseau des dispositifs informatiques a vu lmergence du cybercrime, une forme de criminalit principalement axe sur lescroquerie, ciblant toutes les sphres de la socit, des simples internautes aux groupes industriels en passant par les institutions gouvernementales. Les scnarios prsents ci-dessous dcrivent les principales tendances actuelles du cybercrime financier, quil sagisse de dtournements de fonds, de chantage ou de revente dinformations personnelles sur des espaces dchanges cybercriminels. Ils ne sont pas exhaustifs et ne sont en aucun cas reprsentatifs de tout le spectre des menaces cybercriminelles. Ces dernires ne sont dailleurs limites que par l'imagination - dbordante de leurs auteurs.
Scnario 1 : chantage au dni de service distribu

Mots cls : DDoS1, Ranon, Botnet2 Contexte - Brice, ancien employ de la socit Zcorp, licenci pour faute grave, lance une attaque en dni de service distribu (DDoS) contre son ancien employeur. Consquence : la saturation du serveur mail et du PABX de la socit. En parallle de cette attaque, une ranon est demande afin de faire cesser la saturation des moyens de communication de Zcorp. Mode opratoire - Pour monter lattaque, Brice se connecte un forum et contacte une personne offrant un service de DDoS la demande. La mise disposition du botnet (2 500 machines zombies ) est facture 5$/heure. La discussion avec le pirate russe sur les modalits de la transaction se fait en anglais via le systme de messagerie ICQ. Avant de lancer lattaque, Brice contacte son ancien employeur par le biais dun mail anonyme enregistr chez un service tranger pour demander une ranon. Une fois lattaque lance, les serveurs mail et Asterisk de Zcorp deviennent rapidement inaccessibles et la socit est coupe du reste du monde. Faute dquipe technique capable de mettre en uvre des contre-mesures efficaces, seules deux options soffrent Zcorp : payer la ranon demande (une dizaine de milliers deuros, verss sur un compte Liberty Reserve) ou attendre la fin de lattaque. Impacts - Face une coupure de tous ses moyens de communication, la socit Zcorp ne prend pas le temps danalyser la situation et dcide de transfrer la ranon demande sur le compte du cybercriminel pour faire cesser lattaque DDoS contre ses infrastructures. La socit ne porte pas plainte, considrant que cela ne servirait rien et que sa msaventure pourrait bien tre mdiatise et ternir son image.
1 : Attaque DDoS (Distributed Denial of Service) - Attaque informatique ayant pour finalit de rendre indisponible laccs un service en le saturant de requtes. 2 : Botnet - Rseau dordinateurs corrompus contrls par un ou plusieurs cybercriminel(s) pouvant tre utilis pour diffrentes finalits : mission de spam, diffusion de phishing ou de malware, fraude au clic, puissance de calcul, attaque DDoS, opration de commerce illicite, etc.
Face ce type dattaque

Lentreprise aurait pu mettre jour ses zones DNS et les faire pointer vers de nouveaux serveurs avec des adresses IP diffrentes. Mme si les chances de retrouver les cybercriminels lorigine de ce type dattaque sont faibles, il est fortement conseill de porter plainte.
Scnario 2 : campagne d'infection massive de sites Internet

Mots cls : Dfiguration de site, exploit kit, failles. Contexte - Katia, dveloppeur web dans une socit de services informatiques, sest convertie au cybercrime pour faire face ses nombreuses dettes. Son activit consiste dvelopper et revendre des exploits visant principalement des squelettes prprogramms de sites Internet (Content Management System ou CMS). Suivant le type de vulnrabilit trouv et le nombre potentiel de sites Internet vulnrables, elle peut revendre ses exploits plusieurs centaines deuros. Mode opratoire - Rcemment, lors dun audit du code source dun CMS, elle a trouv le moyen de faire excuter un code arbitraire aux serveurs des sites Internet disposant de ce CMS, dont Google value le nombre 115 000. Ce type de vulnrabilit pourra permettre la mise en place de scripts malveillants sur les sites Internet attaqus ou le piratage des serveurs afin de constituer moindre cot des serveurs de commandes de botnets rpartis dans le monde. Elle vendra quelques jours plus tard le code dexploitation personnalis 1000 $ sur un sous-forum priv ddi aux exploits, espace de discussion rserv aux cybercriminels (black market). Plusieurs acheteurs ont rpondu cette offre par leur numro de messagerie ICQ. Aprs quelques changes avec un escrow1, son code dexploitation est vendu un acheteur crdible, sans que Katia ne connaisse lusage qui en sera fait. Impacts - Quelques jours plus tard, une campagne de piratage denvergure visant plusieurs dizaines de milliers de sites Internet utilisant le CMS aura lieu. Lattaque se traduira par linsertion dans les sites viss dun composant (une iframe) qui tentera dinfecter les ordinateurs des visiteurs laide du kit dexploit Black Hole.
1 : Escrow - tiers de confiance qui va permettre de finaliser une transaction entre deux personnes nayant jamais trait ensemble auparavant.

Il est conseill dutiliser des CMS soutenus par une large communaut dutilisateurs afin de prvenir dventuelles failles de scurit dans leurs codes sources. Une veille doit tre ralise sur les failles et les mises jour du CMS utilis. Enfin, un contrle dintgrit des fichiers prsents sur les sites Internet est primordial afin de sassurer quaucun fichier na t modifi.
Scnario 3 : vol de base de donnes clients

Mots cls : Base de donnes, SQL injection, vol, CVV. Contexte - Rand3k est un pirate informatique. Son activit : drober des bases de donnes clients pour revendre les informations quelles contiennent. Suivant le nombre denregistrements, le pays dorigine, mais galement les informations quelle contient, le prix dune base de donnes peut aller jusqu plusieurs milliers de dollars US sur certains marchs. Mode opratoire - Pour commettre son mfait, Rand3K ralise la main des recherches sur des sites potentiellement vulnrables. Afin de compromettre les bases de donnes, il utilise plusieurs mthodes de hacking (principalement l'exploitation de simples injections SQL). Pour lui, une bonne base de donnes contient plusieurs centaines de milliers denregistrements clients, dont leurs donnes bancaires. Sa dernire victime en date, MyGardenShop, lui a permis de rcuprer 80 000 donnes clients comprenant les noms et prnoms, les adresses email, les mots de passe en clair, mais galement lensemble des donnes bancaires des membres. Aprs avoir post une offre de vente sur plusieurs forums, Rand3K a vendu sa base de donnes un cybercriminel pour 1 500 $US. Celui-ci pensait alors faire fructifier son achat en vendant les informations bancaires sparment sur des shops automatiss. Impacts - MyGardenShop apprendra l'attaque dont il a t victime dans la presse informatique sur Internet, tout comme ses clients. L'entreprise est oblige de mettre en place une communication de crise, invitant ses clients changer leur mot de passe sur le site Internet et prvenir leur banque que leurs donnes de cartes bancaires ont pu tre compromises. Suite la mdiatisation de laffaire, le chiffre daffaires ralis sur le site Internet chutera de 40 %.

Ce type dattaque est malheureusement courant sur Internet. Plusieurs mesures et normes telles que PCI-DSS doivent tre appliques afin de minimiser la surface dattaque mais aussi de sassurer de la scurit de linfrastructure. De plus, des tests dintrusions devront tre raliss afin dvaluer, de manire dynamique, la scurit du systme.
Scnario 4 : campagne de phishing

Mots cls : phishing, vol de donnes bancaires. Contexte - Depuis des annes, le phishing est la menace cybercriminelle la plus visible. Mme si les navigateurs possdent aujourdhui des parades anti-phishing et quune coopration internationale sest organise dans la lutte contre ce flau, beaucoup dinternautes sont encore victimes de ce type descroquerie. Cest en parlant avec des contacts sur Internet quEric a eu lide de se lancer dans laventure du phishing. Quelques mois aprs ses dbuts, sa technique est aujourdhui bien rode : son dispositif lui rapporte plusieurs dizaines didentifiants bancaires par jour.
Mode opratoire - Eric achte sur des espaces illgaux (black markets) des kits de phishing usurpant lidentit de grandes banques. Le kit, dont le prix varie de 10 30 dollars US, imite parfaitement linterface graphique de lentit vise. Il installe ensuite ces kits sur des espaces dhbergement gratuits ltranger, principalement sur des serveurs bass aux Etats-Unis. Paralllement cette opration, Eric met jour une base dadresses lectroniques, cre par ses soins grce des forums et dont lactivit lui permet de rcuprer une centaine de nouveaux mails par jour. Aprs avoir constitu sa base, il envoie - par lintermdiaire dun serveur SMTP autorisant lenvoi demail sans authentification - plusieurs vagues de phishing en usurpant les identits des banques vises. Impacts - Pour Eric, le phishing est la solution idale pour gagner de largent. Il arrive revendre sans difficult les donnes des shops car la demande est en hausse depuis quelques mois. Il considre mme que sa dmarche est thique puisque, selon lui, "ce ne sont pas les clients mais les banques qui sont voles".

Le phishing ne touche pas que de simples particuliers mais galement les entreprises. Ce type dattaque, bien que facile mettre en uvre, est trs dangereux. Il est prconis de vrifier les metteurs des messages, principalement laide des headers. Plusieurs solutions existent pour vrifier automatiquement lappartenance de lmetteur dun mail un domaine. De plus, il ne faut pas se fier aux demandes par email, une banque ne demandant jamais des identifiants par courrier lectronique ou par tlphone.
Scnario 5 : indisponibilit de superviseur

Mots cls : Malware, Ransomware Contexte - Igor et Kevin, tous deux tudiants, ont dcid de consacrer leur temps libre au dveloppement dun ransomware. Ce projet, qui devait tre vise scolaire, est vite devenu une activit permettant aux deux amis de dgager quelques profits. Mode opratoire - Le fonctionnement du systme est simple : un petit logiciel, appel builder, permet nimporte quel internaute de crer son propre malware ranonneur en inscrivant, durant le processus de cration du malware, le numro de tlphone surtax appeler ou ladresse du site Internet visiter pour payer la ranon. Le malware ainsi fabriqu se charge ensuite de modifier la squence de dmarrage originale de lordinateur (MBR ou Master Boot Record1) pour empcher son dmarrage en prtextant, par exemple, le chiffrement complet de son disque dur et demander une ranon pour sa restauration. Autour de leur projet sest organise une petite entreprise : Igor se charge de la vente et du service client sur certains espaces dchanges cybercriminels. Pour chaque builder vendu 250 $, un service aprs-vente de six mois est offert, principalement pour crer de nouvelles parades contre les anti-virus. Leur publicit est assure depuis quun blogueur rput en scurit informatique a fait mention de leur malware dans un article sur lvolution de la menace en 2011. ce jour, les deux comparses dgagent un profit denviron 1500 $ par semaine en vendant leur cration sur plusieurs forums rputs.
1 : MBR (Master Boot Record) Egalement appel zone amorce, le MBR est le premier secteur adressable dun disque dur. Il intgre une routine damorage dont la finalit est de charger le systme dexploitation.
Impacts - Le malware sest propag sur de nombreux ordinateurs. Plus grave, lors dune opration de maintenance sur un systme SCADA1 dun centre de supervision dun rseau autoroutier, un technicien malencontreusement branch une cl USB contenant le ransomware au superviseur principal afin de raliser une mise jour de routine. Suite linstallation de cette mise jour, le redmarrage du superviseur a provoqu une rcriture du MBR, rendant inoprant pendant plusieurs heures le systme de supervision.
1 : SCADA (Supervisory Control and Data Acquisition) Systme informatique permettant la surveillance et le contrle de systmes industriels (nergie, transports, usines etc.)

Une hausse de la production des ransomwares est prvoir ces prochains mois du fait de leur facilit de dveloppement et de leur furtivit potentielle sur le systme cibl. Face ce type de menace, il est impratif de maintenir jour le systme et de disposer dun antivirus. De plus, une politique de sauvegarde doit tre mise en uvre afin de limiter limpact dun ventuel incident.
Synthse
La cybercriminalit est une chane complexe. Dans cette chane, les black markets (en bleu) jouent un rle essentiel, tant en amont pour la prparation des attaques quen aval, pour la montisation des bnfices raliss par les cybercriminels.
LES SITES DE BLACK MARKET

Du site amateur au site professionnel
Les black markets sont limage de la criminalit traditionnelle : il y a autant de diffrences entre un cybercriminel amateur et un cybercriminel chevronn quentre un voleur doccasion et un braqueur expriment. Certains black markets, quil est possible dassimiler de la petite dlinquance, sont donc accessibles tous et leur dcouverte est aise sur la Toile. Les renseignements ou donnes qui sy trouvent ne seront pas toujours excellents mais ils permettront un novice de dbuter en criminalit informatique. Gnralement, lorsquun black market se dveloppe et acquiert une certaine notorit, son accs devient payant. Ce prix reflte la qualit de linformation : une bonne information ne peut tre gratuite et tout cybercriminel est prt investir pour sinscrire dans un site web reconnu par ses pairs (pour certains, les prix peuvent aller jusqu 500 $). Enfin, laccs certains sites est impossible pour la majeure partie des criminels : linstar dune mafia, il nest possible dy entrer quavec lassentiment donn ladministrateur par des parrains dj inscrits. Le droit dentre ne repose plus alors sur un effort financier mais une relle reconnaissance du milieu, ce qui ncessite davoir fait ses preuves et de connatre les bonnes personnes.
Figure 1 : quatre garants sont demands pour entrer dans ce black market.
Deux grandes catgories

Les forums
Un lieu dchange underground - Les forums sont le lieu de rencontre des cybercriminels dbutants ou aguerris qui peuvent lire les dernires nouvelles et innovations du milieu, demander conseil sur tout type de sujet, proposer leur service ou collaboration pour des oprations illicites. Eu gard au caractre international de la cybercriminalit, les discussions se font en plusieurs langues. Les plus usites sont langlais et le russe mais il arrive de rencontrer des forums ddis aux germanophones, francophones et hispanophones.
Figure 2 : un forum multilingue
Un forum se divise en plusieurs rubriques, chacune concernant un sujet particulier. Il est ainsi ais pour un cybercriminel de trouver rapidement toutes les annonces susceptibles de lintresser. On y retrouve notamment des offres concernant des fraudes aux jeux dargent en ligne, du hacking, de lhbergement de sites illgaux ou de serveurs de spam mais galement la vente d'exploits, de malwares, la location de botnets
Figure 3 : les rubriques d'un black market
Les annonces sont visibles par tous les membres qui peuvent se contacter entre eux par message priv puis, une fois le contact pris, converser par ICQ ou Jabber (voir page 24). Les administrateurs dconseillent dailleurs gnralement leurs inscrits dindiquer directement dans leurs annonces les numros ICQ mais nombre dentre eux passent outre cette rgle de scurit. Les participants nont en effet pas tous le mme statut. Par ordre dimportance dcroissant, il est possible de distinguer les administrateurs, les modrateurs, les vendeurs vrifis, les membres reconnus et les invits. Ces derniers ntant recommands ni par ladministrateur ni par dautres membres, ils suscitent invitablement la mfiance : il pourrait sagir de policiers ou de rippers1. Les inscrits peuvent parfois se noter entre eux ce qui permet de passer du statut dinvit celui de membre reconnu. La rputation dun cybercriminel se fait galement au moyen de feedbacks (commentaires) des autres utilisateurs.
1 : Rippers - Le ripper est un cybercriminel qui se fait passer pour un vendeur lgitime sur un site de Black Market ou qui cre de faux sites de Black Market, afin de rcuprer le montant de ces transactions illgales, sans offrir de relles contreparties.
A la fin de lannonce ci-dessus, cette personne (qui possde elle-mme une note +5) indique attendre les feedbacks des utilisateurs qui seront amens traiter avec elle. Le forum peut ainsi tre lorigine de la cration dune organisation criminelle car chaque membre peut trouver le ou les partenaires qui lui conviennent pour des activits dtermines. Le lieu de convergence entre criminalit virtuelle et physique - Un cybercriminel procde des infractions en chane. Le recours un ou plusieurs complices est dautant plus ncessaire que la moindre erreur lun des stades de lopration peut causer un chec. La criminalit traditionnelle fait partie intgrante de ce processus et cest en grande partie au sein des forums que les changes ont lieu entre ces deux formes de criminalit. En amont, cette criminalit peut prendre lapparence demploys malhonntes qui vont se servir de leur situation pour rcuprer des donnes illicites comme des cartes bancaires. Deux exemples : Un employ dhtel en Afrique du Sud a pu copier frauduleusement les donnes des cartes bancaires de ses clients durant la Coupe du monde de football. Dans cette annonce, il les revend avec les informations issues des passeports de ses victimes. [] Je travaille pour un htel haut de gamme dans la ville du Cap, Afrique du Sud et nous avons eu rcemment beaucoup dinvits pour la Coupe du monde de football. Jai pu cloner certaines cartes de crdit et jai aussi toutes les informations apparaissant sur les passeports. Au total, jai environ 37 cartes et la plupart viennent des Etats-Unis, de Suisse, de France, dAllemagne et de Core du Sud [].
Figure 4 : Message dun employ dhtel proposant ses services
Dans un autre cas, les membres francophones du forum sentraident : une personne indique gagner 4 000 $ par mois en fournissant le matriel appropri ( skimmer ) une serveuse qui va lui permettre de rcuprer les donnes bancaires de la clientle.
Figure 5 : un cybercriminel dcrit son mode-opratoire de skimming
Phase dexcution - Avoir recours des complices implants dans le pays cible est primordial pour un cybercriminel lors de lexcution de son dlit et pour la phase finale de montisation. Pendant la phase dexcution, cette aide se traduit par de petites actions simples, comme par exemple donner un coup de tlphone pour valider une commande ou recevoir un SMS. Exemple de discussion tire dun forum : une personne voulant frauder Western Union recrute des collaborateurs afin de valider les transferts au tlphone1. Une personne rsidant en France propose de passer ces appels et de fournir occasionnellement une voix de femme pour les fraudes ralises avec des titulaires de cartes bancaires fminines.
Figure 6 : recherche de service de fraudes
1 : Lenvoi dargent par Western Union sur Internet ncessite deux phases : une premire sur le site de la socit et une seconde qui suppose dappeler Western Union par tlphone afin de valider le transfert effectu sur Internet.
Figure 7 : proposition d'aide la fraude
Phase de montisation - La phase de montisation est la plus dlicate et suscite dailleurs de trs nombreuses demandes dans les forums. Elle est principalement base sur le systme de mule . Le rle des mules ou money mule est de : recevoir des colis, des virements bancaires, des mandats Western Union, retirer largent un distributeur automatique avec une carte bancaire contrefaite La mule va servir d'intermdiaire et de facilitateur afin de permettre aux cybercriminels de transformer l'argent virtuel en argent rel : il sagit donc de blanchiment d'argent. Exemples : Lorsquun cybercriminel pirate le compte bancaire dun ressortissant franais, il a systmatiquement besoin dune mule possdant un compte bancaire en France pour recevoir le virement frauduleux. Les transferts bancaires sont en effet instantans en France mtropolitaine alors que des virements ltranger ncessitent un dlai de plusieurs jours, ce qui laisse le temps la banque de reprer la fraude. Une fois le virement effectu, la mule retire la somme de
son compte et en envoie une partie par Western Union linstigateur du virement frauduleux. Lannonce ci-dessous propose de retirer le maximum dargent possible des distributeurs automatiques en France au moyen de cartes bancaires dupliques.
Figure 8 : proposition de retrait sur des DAB franais.
On retrouve enfin sur Internet de nombreuses offres d'emploi suspectes sur de vritables sites de recrutement tout fait lgitimes. Elles promettent aux candidats de gagner des sommes d'argent confortables pour du travail domicile. Le travail demand est simple et financirement intressant : il consiste effectuer des transferts d'argent (lectronique, chque...) en gardant une commission (entre 5 et 10%) sur chaque transaction ralise.
Arrestations suite aux dmantlements de rseaux de "money mules"

En octobre 2009, l'Office Central de Lutte Contre la Criminalit lie aux Technologies de l'Information et de Communication (OCLCTIC) (voir section 7.1.1) a dmantel deux rseaux internationaux de fraudes bancaires oprant depuis la Russie et l'Ukraine. Plus de 70 personnes ont ainsi t mises en examen. Les pirates, par l'intermdiaire de techniques de phishing, vidaient les comptes bancaires de leurs victimes et transfraient les fonds vers des "mules" qui renvoyaient ensuite l'argent par mandat Western Union vers la Russie et l'Ukraine. En octobre 2010, aprs larrestation en Grande Bretagne de 11 individus exploitant le Cheval de Troie bancaire Zeus pour voler les comptes de particuliers, le FBI a inculp 60 personnes pour les mmes motifs. Ces derniers sont accuss de faire partie dun rseau de cybercriminels situ en Europe de lEst et de "money mules" suspects davoir ouvert des comptes aux tats-Unis pour y transfrer les fonds vols.
Les shops
Les shops sont lautre visage des black markets. Ici, pas dannonces en vrac, pas de contacts entre utilisateurs. Comme leur nom lindique, les shops sont des sites purement commerciaux. Le fonctionnement dun shop est le mme quun site marchand ordinaire : chaque utilisateur possde son propre compte scuris par un nom dutilisateur et un mot de passe et gre ses achats selon ses besoins. Prenons lexemple du carding, c'est--dire de la vente illgale de numros de cartes bancaires, dont le produit-type comprend les lments suivants : les 16 chiffres du numro de la carte, la date dexpiration, le code de scurit (les 3 chiffres au dos de la carte dsigns aussi par les acronymes CVV / CVC / CVV2), les nom et prnom du propritaire, son adresse et son tlphone. Une activit trs lucrative - Ces sites commerciaux , vritable vitrine du carding, se sont multiplis sur la Toile, leur objectif tant de viser le plus large public possible. La prsentation des sites est simple, la recherche dune carte facile : acheter un numro ne prend que quelques minutes. Les administrateurs de ces sites ne sont, en gnral, que de simples revendeurs. Comme tout commerant, ils ont achet auprs de cybercriminels des lots de cartes en gros et les revendent au dtail sur leur site un prix suprieur. Cette activit tant trs lucrative, le nombre de ces sites a tout naturellement explos. Il suffit de comparer le prix dachat en gros dun numro de carte celui propos dans un shop pour comprendre.
Figure 9 : un "shop" vendant des cartes bancaires amricaines
Les prix de base pour une carte amricaine varient de 0,50 $ 1 $ lorsque la vente dpasse 1 000 numros. Dans loffre suivante, le prix lunit oscille lui entre 2 et 3 $.
Figure 10 : Cartes amricaines prsentes dans un shop.
Pour les cartes europennes, le prix est denviron 2 $ si la quantit achete est suprieure 1 000. A lunit, il oscille entre 10 et 15 $. Le prix dpend en fait du pays, une carte anglaise tant souvent moins chre que les autres.
Figure 11 : un "shop" vendant des cartes bancaires europennes
Les produits
Il existe diffrents types de produits vendus sur les sites de black market. De la vente de numros de cartes de crdit aux malware, en passant par la vente de faux papiers ou de comptes de jeux en ligne, tous les secteurs de lconomie sont touchs.
Carding
Les produits les plus courants sont issus du carding. Ce terme anglophone dsigne lensemble des techniques de vols de numros de cartes bleues, en particulier par skimming technique consistant placer un dispositif sur un distributeur automatique de billets (DAB) pour voler toutes les informations saisies par lutilisateur et le phishing opration destine usurper lidentit dune banque pour crer une fausse interface didentification bancaire en ligne. Bien que lon puisse trouver quelques cartes vendues sur des forums, la majorit des espaces de vente sont des shops (voir la section prcdente). Le prix de vente de ces cartes varie fortement en fonction des informations vendues avec le numro proprement dit. Ainsi, peuvent-tre vendus en plus : le nom et le prnom du porteur de la carte, sa date de naissance, la date dexpiration ou encore le CVV. Sur un panel de cinq sites, le prix minimum constat tait de 2,5 $ pour un prix maximum de 15 $ et un prix moyen de 13,21 $.
Figure 12 : shop proposant des cartes bancaires franaises
Au del des cartes sont galement vendus des identifiants de banque en ligne, dont le prix dpend du solde du compte concern. Les prix se situent en gnral entre 150 et 400 .
Les malwares
La vente de malware sur les black markets est de plus en plus courante. Pour accrotre leur march, les dveloppeurs de logiciels malveillants crent des applications qui ne requirent aucune comptence technique. Grce ce concept, baptis CaaS pour Crimeware as a Service, le cybercriminel nest plus ncessairement un technicien et achte le service offert par le produit et non le produit lui-mme. On retrouve ainsi sur les black markets des ransomware, des kits de phishing ou encore des chevaux de Troie.
Figure 13 : proposition de service dinstallation pour le Banker SpyEye
Comptes de jeux
Sont galement vendus sur les sites de black market des comptes de jeux en ligne. Le prix de ces derniers varie naturellement, comme pour les comptes bancaires, en fonction du solde du compte. Les prix moyens de ces produits oscillent entre 30 $ et 100 $.
Figure 14 : vente didentifiants de jeux en ligne
Faux papiers
Les sites de black market proposent aussi des faux papiers. Premire catgorie : les scans de papiers didentit lgitimes. Ils peuvent notamment tre utiliss pour louverture de comptes de jeux en ligne. Leur qualit varie fortement, ce qui a un impact sur leur prix. Deuxime catgorie : les pices didentit contrefaites et envoyes sous une forme physique. Les prix sont videmment nettement suprieurs : ils varient de quelques centaines deuros plus dun millier d'euros alors que les scans sont vendus pour quelques dizaines deuros.
Figure 15 : vente de faux papiers sur un site internet
Accs des sites gouvernementaux

Des produits moins communs peuvent galement tre vendus sur ces marchs, limage didentifiants de sites gouvernementaux.
Figure 16 : vente d'identifiants des sites gouvernementaux
Le Spam
Souvent hbergs sur des serveurs bulletproof, ces sites proposent des services denvoi de spam cls en mains. Cela permet au cybercriminel dinonder de nombreuses botes mail en vue dinviter les destinataires se connecter sur un site commercial vendant des produits souvent prohibs. Le prix pay par le client dpend naturellement de la qualit du service de spam auquel il souscrit. Certains de ces services sont mme capables de contourner les captchas1.
Les outils des cybercriminels

Des messageries instantanes aux fonctions multiples
Pour communiquer entre eux, les cybercriminels ont essentiellement recours ICQ, mme si, depuis peu, lutilisation de Jabber a nettement progress. Le rle dICQ et de Jabber ne saurait cependant tre cantonn celui de simple messagerie, tant ces deux services prennent une importance grandissante dans lunivers des black markets ICQ - ICQ a fait partie des prcurseurs en matire de messagerie instantane. Le systme se distingue de ses concurrents (MSN ou Yahoo) par le fait que les utilisateurs sidentifient entre eux par un numro et non par un pseudo. Les numros ICQ pouvant
1 : Captchas Systmes de contrle visuel ou audio permettant de diffrencier un humain dun programme automatique lors de la validation de formulaires sur internet.
aller jusqu 9 chiffres, certains cybercriminels cherchent dailleurs pour des raisons marketing obtenir des numros plus courts, au point quun march des numros ICQ sest dvelopp. Que ce soit dans les forums ou dans les shops, tous les cybercriminels indiquent leur numro ICQ. Figurant sur la page daccueil du site, il permet de contacter ladministrateur pour sinscrire. Au sein des forums, il donne galement la possibilit tout membre de contacter lauteur dune annonce intressante. Enfin, au sein des shops, il fait plutt office de contact pour le service aprs-vente. ICQ ne permet pas uniquement ses membres de discuter : il est possible d'y trouver des shops totalement automatiss. Cette annonce propose la vente des numros de cartes bancaires. Pas besoin de site Internet, tout se passe par ICQ et ce nest pas une personne, mais un programme automatique qui rpond.
Figure 17 : Service de ventes de cartes par ICQ
Il suffit pour cela de suivre les commandes proposes par le robot et, comme pour un rpondeur automatique, de taper le chiffre correspondant sa requte : taper 1 pour acheter une carte, 2 pour remplacer une carte invalide, 3 pour crer son compte utilisateur, 4 pour lire les informations inhrentes ce service, 5 pour contacter le support, 0 pour sortir du programme
Figure 18 : Service de ventes de cartes par ICQ (2)
Le service est en tout point identique celui dun shop car il est mme possible de rechercher un numro de carte par pays ou par banque. Cette multiplication des black markets sur ICQ pourrait poser de graves problmes aux autorits car ils sont beaucoup moins reprables quun site Internet. Jabber - Aprs ICQ, Jabber est devenu le deuxime outil indispensable aux cybercriminels. Bien que proposant aussi une messagerie instantane, il ne peut tre considr comme un concurrent direct dICQ car son emploi nest pas le mme. Construit sur le protocole ouvert XMPP (Extensible Messaging and Presence Protocol), Jabber permet de chiffrer ses conversations, de crer son propre serveur ou de naviguer sur les milliers de serveurs Jabber disponibles travers le monde.
De plus, il est possible de se connecter directement ICQ depuis Jabber par un systme de passerelle, ce qui pourrait dcider certains cybercriminels continuer utiliser ICQ tout en bnficiant de la scurit et de la performance de Jabber. Jabber a notamment fait parler de lui avec le cheval de Troie bancaire Zeus. Lune de ses versions nomme JabberZeus permettait denvoyer au cybercriminel en temps rel via un serveur Jabber les informations recueillies dans les ordinateurs compromis.
Figure 19 : Possibilit de notification par jabber du banker ZeuS
Communiquer via des forums prsente des risques : ces supports peuvent tout moment tre ferms par les autorits. Ils sont galement rgulirement infiltrs par les services de police. Les administrateurs de forums mettent donc en place des rseaux parallles sur Jabber pour organiser des confrences de faon permanente ou occasionnelle. Le forum ci-dessous a par exemple cr son propre serveur sur Jabber et les membres peuvent sy rendre tout moment.
Figure 20 : Serveur Jabber priv d'un black market
Ces serveurs peuvent tre privs ou ouverts tous les membres dun forum comme lillustrent ces deux exemples : Cr sur Jabber, le rseau ci-dessous nest ouvert quaux modrateurs du forum et aux vendeurs vrifis . La confrence a t cre. [] Le mot de passe [] nest que pour les modrateurs et les vendeurs. Pour les autres, ce ne sera quaprs vrification. La confrence ci-dessous est linverse ouverte tous les membres du forum. On a discut avec Corpse (super modrateur du forum) de la possibilit de crer une confrence sur Jabber et nous avons dcid quil tait temps de se runir et de discuter de tout ce qui est intressant. La confrence aura lieu aujourdhui, le 24/10/2010 21h, heure de Moscou. Le thme de la confrence : discussions sur le matriel de carding, la programmation, les problmes venir, les informations rcentes, lchange dexprience, etc. Toutes les informations
au sujet de la runion et le mot de passe seront publie une heure avant le dbut [].
Figure 21 : une confrence Jabber ouverte tous
Un serveur est particulirement apprci des cybercriminels : thesecure.biz. Scurit et anonymat en sont les mots dordre. Linscription est gratuite mais le site accepte volontiers les dons par Webmoney. Aucune information nest disponible sur le ou les crateurs de ce serveur mais des investigations permettent de relever deux lments majeurs : Le site Internet, localis en Allemagne, est hberg par Hetzner Online AG . Cette socit, bien connue des autorits, a dj pu tre relie plusieurs affaires cybercriminelles : en 2009, lors dune tentative dhameonnage des clients SFR et Neuf Tlcom et en 2010 lors de lenvoi dun cheval de Troie Reporters Sans Frontires par le biais dun courriel ; Le nom de domaine a t enregistr par un certain Sergey Ryabov , rsidant en Russie. Plusieurs dizaines de sites web hbergeant des codes malveillants ont pu tre directement associs cette mme personne.
Un outil indispensable : les checkers

Tous les shops sont quips de checker qui leur permet de vrifier la validit dune carte. Les clients ne payant que pour des cartes utilisables, toutes les cartes dclares invalides par le checker seront automatiquement rembourses sur le compte du client. Cette opration ne prend que quelques secondes sur le site et le client na pas la possibilit de savoir de quel checker se sert ladministrateur.
Figure 22 : un checker
Figure 23 : conditions d'utilisation d'un checker
Les checkers peuvent tre des programmes informatiques ou des sites Internet privs ayant des options dutilisation plus ou moins tendues. Il suffit de rentrer les 16 chiffres du numro de la carte, la date dexpiration et parfois le code secret (CVV) pour que la carte soit dclare valide ou non. Une somme gnralement comprise entre 0,01 et 3 $ peut tre prleve mais certains checkers sen dispensent de peur de d'invalider la carte. Certains checkers proposent en option de savoir quel est le montant maximal autoris par la carte. Si le cybercriminel dsire par exemple procder un achat de 2 000 euros sur Internet, il pourra ainsi demander une pr-autorisation de paiement afin de savoir si le montant peut tre support ou non. Tout fait lgal lorigine, ce systme est utilis dans de nombreuses professions (bijoutiers, magasins de luxe, location de vhicules).
Figure 24 : Checker logiciel
Autre option : le checker permet de savoir si une carte est vrifie par Visa Verified ou par Mastercard Secure Code. Selon le site Internet vis, le cybercriminel pourra en effet choisir dutiliser une carte non relie au systme de vrification utilis. A noter que les cartes sont parfois directement vendues avec ces dtails. Ces deux dernires options (pr-autorisation de prlvement et systme de vrification de la carte) intressent au premier plan les cybercriminels qui achtent leurs propres checkers.
Un shop vandalis par ses clients

Un site de vente de numros de cartes a rcemment connu des problmes rcurrents avec son checker. Les difficults ont dur des semaines comme lillustrent les messages ci-dessous.
Le shop fut ferm de nombreuses reprises et dut mme faire face une clientle protestant contre les non-remboursements de certaines cartes non valides. Le 12 fvrier 2011, une dfaillance technique avec le checker amne au contraire ce dernier rembourser automatiquement les clients, y compris ceux ayant achet des cartes valides. Certains utilisateurs peroivent la faille et vident littralement le shop dune partie de ses cartes sans rien payer. Ladministrateur est furieux : les clients concerns sont bannis du site et, moins de rembourser, ne pourront plus y accder. Les adresses IP sont releves afin de ne pas leur permettre douvrir un nouveau compte sans sacquitter de leur dette.
Les infrastructures : les serveurs bulletproof

Le premier souci des cybercriminels est lanonymat. Cest la raison pour laquelle ils ont notamment dtourn le protocole DNS et utilisent larchitecture mme dInternet, un rseau de rseaux, pour mettre en place un dispositif leur garantissant anonymat et haute disponibilit. Ce sont les serveurs dits bulletproof , ou littralement lpreuve des balles . Lune des caractristiques de ces serveurs est de proposer des hbergements sans se soucier de lutilisation qui sera faite de lespace lou. Certains hbergeurs affichent mme firement leurs convictions sur leur page daccueil : We will never shut down, no matter how many complaints we receive . Autrement dit : nous ne serons jamais dconnects, peu importe le nombre de plaintes que nous recevons . Une garantie dont la valeur est videmment difficile valuer
Figure 25 : Promotion dun serveur bulletproof
Le protocole DNS a initialement t conu pour faciliter la mmorisation dadresses Internet. Pour se connecter un site, il faut connatre son adresse IP. Or, le format de ces adresses est loin dtre simple mmoriser. Ainsi, le protocole DNS permet dassocier une adresse IP une URL qui est plus littrale et plus facile mmoriser quune suite de chiffres. Par exemple, ladresse IP de Google 66.249.92.104 est associe lURL www.google.fr. Pour assurer la haute disponibilit de leurs ressources, les pirates ont utilis les failles du protocole pour associer plusieurs adresses IP une URL. Derrire une seule et mme URL se cachent ainsi de nombreux serveurs rpartis dans le monde entier. Cest la technique du fast flux. Il est donc trs difficile didentifier ces serveurs et ds lors de les faire fermer.
Figure 26 : Enregistrements DNS utilisant le Fast-Flux.
Cette technique est notamment utilise pour les campagnes de phishing. En hbergeant le site dhameonnage sur plusieurs serveurs accessibles via une mme URL grce au fast flux, les fraudeurs accroissent fortement le temps de prsence sur Internet du site malveillant. Cette continuit de service augmente ainsi proportionnellement leurs revenus. Ils en profitent dailleurs parfois pour hberger dautres types de contenus illicites comme des images pdopornographiques ou des codes malveillants. Une autre utilisation classique des serveurs bulletproof est la mise en place de serveurs de C&C (control and command1) pour contrler les ordinateurs contamins par un cheval de Troie. Grce ces serveurs, le pirate peut raliser toutes les actions quil dsire sur les machines zombies tout en restant anonyme. Il va en particulier pouvoir voler sans crainte les identifiants bancaires et les comptes mails de ses victimes. Pour renforcer laccessibilit et lanonymisation des serveurs C&C, les pirates ont galement mis en place un maillage upstream qui camoufle au maximum les serveurs malveillants et leur assure une trs bonne connectivit Internet. Avec cette architecture, les serveurs bulletproof ne sont en fait pas directement connects aux fournisseurs daccs Internet mais une srie de serveurs, dit upstream providers , qui sont connects Internet et interconnects entre eux. Ces serveurs upstream sont tout fait lgaux, si ce nest quils sont volontairement connects aux serveurs bulletproof. Aucune action malveillante nest directement diligente depuis ces serveurs. Avec ce maillage, si lun des serveurs upstream providers est dconnect dInternet, le serveur bulletproof sera toujours reli la Toile via un autre serveur et sera de fait toujours en mesure de contrler les serveurs C&C et les ordinateurs zombies. Cette technique rend encore plus difficile la localisation des serveurs malveillants.
1 : Serveur C&C - Serveur utilis par un pirate pour contrler distance des ordinateurs quil aura infect. Ces serveurs lui permettent de renforcer son anonymat.
Figure 27 : larchitecture propose par un upstream provider
Les ordinateurs contrls depuis les serveurs C&C du serveur bulletproof forment un botnet. Profitant alors de plusieurs milliers, voire de plusieurs dizaines de milliers dordinateurs, les pirates peuvent lancer des attaques DDoS massives. Ces attaques connaissent aujourdhui un large succs. Au-del des attaques DDoS but conomique, dj bien connues, la force de frappe quapportent les serveurs bulletproof fait de cette technique une relle arme de guerre. Des pirates dorigine russe nont pas hsit la mettre en uvre lors du conflit russo-gorgien de 2008. Les serveurs bulletproof permettent donc dindustrialiser des techniques dattaques dj anciennes mais toujours efficaces. La tendance du march est dailleurs la vente de solutions clefs en main. Des utilisateurs nayant pas de comptences particulires en informatique peuvent ainsi, sans grandes difficults, se lancer dans la cybercriminalit et en tirer une source de revenus illgaux non ngligeables, par exemple en louant un serveur ddi pour 250 $/mois chez spamhost.com, un clbre serveur bulletproof, afin dhberger un site de phishing et de lancer des campagnes de spam via le service xrumer. Les serveurs bulletproof contribuent donc clairement lmergence du CaaS ou Crimeware As A Service.
Figure 28: Service dhbergement bulletproof.
Lutter contre les serveurs bulletproof - Le cur dInternet est constitu de rseaux indpendants interconnects les uns aux autres. Ces rseaux sont appels Autonomous System ou AS et sont rpartis en trois catgories : Les Tier-1 : AS de niveau international. Ils s'interconnectent entre eux ou se connectent avec les Tier-2 les plus vastes soit directement soit via des Network Access Point (NAPs). Les Tier-2 : AS de niveau national ou rgional. Ils sont interconnects entre eux et sont connects aux AS Tiers-1 et 3. Les Tier-3 : AS de niveau local.
Les pirates ont dj russi compromettre certains AS Tier-3 en prenant le contrle des serveurs qui en dpendent. Ces AS malveillants , qui sont par dfinition connects des AS sains et lgaux, contribuent ainsi au bon fonctionnement dInternet en participant au routage de lensemble des flux, quils soient lgitimes ou criminels.
Figure 29 : illustration d'un rseau avec des AS. Si seul l'ASXXX2 est malveillant, il fait transiter de nombreux flux lgitimes, en particulier tout ceux mis par, et destination de l'ASXXX5
Pour dtecter ces AS corrompus, les mieux arms sont les FAI qui les grent. Ceux-ci peuvent par exemple surveiller les flux et dtecter toute augmentation anormale du trafic vers des plages dIP qui appartiendraient lun deux.
Figure 30 : localisation des serveurs malveillants identifis par Malware Domain List durant le mois davril 2011
Mais aprs la dtection et lidentification, toute la difficult est de pouvoir dconnecter lAS malveillant. Couper simplement les connexions des AS bulletproof identifis aurait en effet une double consquence. D'une part, cela bloquerait tous les flux entrants et sortants de cet AS, y compris les flux lgitimes. Dautre part, pour permettre aux flux lgitimes datteindre la bonne destination, il faudrait revoir les tables de routage de chaque routeur afin de contourner lAS qui aurait t banni dInternet. Une telle opration gnrerait donc des cots trs importants et risquerait de provoquer un ralentissement du trafic Internet mondial avec dinvitables pertes de paquets, faute de table de routage jour. De surcrot, les AS bulletproof hbergeant aussi bien des contenus malveillants que lgaux, la mesure aurait galement pour consquence de rendre dfinitivement inaccessibles certains contenus licites.
LES ACTEURS DES BLACK MARKETS

Entre got du secret et besoin de publicit : une criminalit schizophrne
Le comportement des cybercriminels peut drouter tant il semble parfois inconstant et variable. Dun ct, ils sexposent outrance sur la Toile et expliquent en dtail les rudiments de la fraude en ligne. Le ton est jovial et les questions des novices sont traites avec considration, la cybercriminalit tant perue comme permettant chacun dobtenir sa part du gteau Des universits apparaissent mme sur le web avec des programmes aux matires peu orthodoxes : introduction la cybercriminalit (50 $), cours de scam (200 $), lart de frauder les jeux en ligne (300 $), cration de botnet (500 $).
Figure 31 : universit du cybercrime
D'un autre ct, la cybercriminalit cherche aussi la discrtion et le secret. La moindre question fera redouter la prsence dun policier infiltr et les sites seront ferms, rompant toute possibilit de prise de contact. Voici par exemple quelques unes des recommandations dun administrateur de black market ses membres : ne communiquer personne ladresse du site et ne pas parler de son existence, indiquer ladministrateur tout site Internet o un commentaire serait fait sur son black market ainsi que le nom de lauteur du message .
Figure 32 : Message davertissement sur un forum
Ce comportement paradoxal ne sexplique pas simplement par la division existant entre les pirates novices, traditionnellement plus bavards, et la criminalit organise, par essence plus discrte. Les cybercriminels aguerris aiment aussi sexposer aussi bien pour vendre leurs trouvailles au grand public que pour recruter des dbutants pour certaines oprations. Vaste rseau, la cybercriminalit fait appel de multiples protagonistes mais le rle et limportance de certains dentre eux sont mconnus. En matire de carding, on oublie ainsi souvent le rle cl jou par certains individus dans le vol physique de donnes bancaires. Les liens entre cybercriminels et organisations mafieuses nont galement jamais pu tre tablis avec certitude. De mme quil est difficile de prouver le lien entre certaines attaques informatiques et les services tatiques de tel ou tel pays rgulirement montr du doigt.
Des associations internationales de malfaiteurs

Les cybercriminels oprent rarement isols. Cest pourquoi de multiples forums leur permettent dchanger et de trouver des partenaires pour des oprations prcises. Partenaire dun jour ne signifie dailleurs pas partenaire de toujours car le choix dun complice nest pas fond sur des critres personnels mais techniques (son lieu de rsidence par exemple). linstar dun panneau affichant en temps rel les cours de bourse, les annonces dfilent en continu sur certains forums afin didentifier la ou les comptences manquantes lopration. La rapidit, voire linstantanit, sont fondamentales.
Figure 33 : Interface d'affichage d'annonces cybercriminelles en temps rel
Les facteurs motivant les choix des cybercriminels dans leurs partenariats sont multiples et complmentaires.
Le facteur de comptences
Mme des actions simples requirent de multiples comptences. Or un cybercriminel ne peut pas matriser tous les savoir-faire : piratage informatique, hbergement de serveurs, cration de faux documents et de sites web, blanchiment dargent, etc. Les cybercriminels se spcialisent donc dans lune ou lautre de ces activits et prfrent partager leurs gains dans une opration russie plutt que de courir un risque dchec en tentant de matriser toute la chane. Dans une affaire rcemment juge aux Etats-Unis, un cybercriminel nomm Gonzalez faisait ainsi appel au dnomm Maksik pour vendre les numros de cartes quil avait pirates. Il avait galement acquis un sniffer auprs de Stephen Watt (programmeur
Morgan Stanley) et avait collabor durant deux ans avec des pirates dEurope de lEst afin de dchiffrer des codes PIN. Quant la partie blanchiment dargent, elle tait gre par un Amricain du nom de Zaman.
Le facteur temps
Le fait que chaque cybercriminel soit affect un rle prcis diminue fortement la dure de ralisation de linfraction. Cette rapidit dexcution est indispensable pour ne pas laisser le temps aux socits ou particuliers viss de prendre conscience quils ont t victimes dune attaque informatique. Elle permet de plus de dplacer des liquidits en un temps minimal, ce qui rduit le risque de voir les autorits bloquer ces circuits financiers illgaux.
Le facteur temps dans laffaire Gonzalez

Le facteur temps apparat clairement dans laffaire Gonzalez. Dans lextrait de conversation ci-dessous, ce dernier presse Maksik de vendre au plus vite les donnes pirates car il sait que la socit Visa peut tout moment identifier les victimes et bloquer les cartes. Or des cartes invalides nont plus aucune valeur et reprsenteraient pour les deux comparses une importante perte financire.
[Gonzalez] [Gonzalez] visa knows [major retailer] is hacked but they dont know exactly which stores are affected
Le facteur risque
La rponse pnale peut tre trs variable selon lactivit laquelle sadonne un cybercriminel, comme en tmoignent les peines trs htrognes prononces aux tats-Unis lencontre de Gonzalez et de ses complices. Stephen Watt, le crateur du sniffer ayant permis Gonzalez de pirater des millions de numros de cartes de crdit, na t condamn qu deux ans de prison. Cet ingnieur informatique travaillait pourtant pour la banque dinvestissement Morgan Stanley, ce qui aurait pu tre considr comme une circonstance aggravante. Il ne pouvait en outre ignorer lutilisation qui serait faite de son sniffer. Gonzalez a t condamn 20 ans de prison. Le hacker tait dj bien connu des autorits et cette lourde peine ne fait que traduire la tolrance zro des tats-Unis envers le piratage de donnes bancaires. Zaman, charg de blanchir largent de Gonzalez, a t condamn 46 mois de prison. Celui-ci bnficiait dune commission de 10% sur tous les bnfices de Gonzalez et travaillait lui aussi dans le secteur bancaire (Barclays Bank).
Les risques encourus expliquent que certains cybercriminels se refusent raliser euxmmes des oprations simples comme des retraits despces avec des cartes bancaires falsifies. Le risque dtre identifi par les camras de vidosurveillance des distributeurs automatiques est lev. Do le recours des mules charges de recevoir des virements bancaires ou des mandats Western Union. Ces dernires sont dailleurs souvent prsentes comme des victimes malgr les larges commissions quelles peroivent.
Il nexiste donc pas forcment de corrlation entre limportance du risque pnal et le montant des bnfices reus. Chacun value le risque quil est prt courir et le montant de cette prise de risque mme si des pourcentages-type peuvent tre dfinis. Pour recevoir un virement bancaire sur son compte, le partage est ainsi gnralement fix 50 %.
Figure 34 : Exemple de commission propose une mule
Pour les transferts provenant de Western Union ou Money Gram, les mules employes peroivent une commission de 8 10 % du montant total de la transaction. Pour le retrait despces un distributeur automatique, la commission est, elle, comprise entre 50 et 75 %.
Figure 35 : Exemple de commissions en faveur dune mule (Retrait d'espces)
Ces pourcentages peuvent cependant tre trs variables selon la frquence des transactions entre les deux parties et le montant des oprations.
Le facteur gographique
Les cybercriminels ne sont limits par aucune frontire et peuvent viser le pays de leur choix. La distance gographique ne constitue pas un frein mais un avantage car elle permet de se protger dventuelles poursuites, la coopration internationale tant encore restreinte en matire de lutte anti-cybercriminalit. Il est cependant souvent ncessaire de faire appel un complice dans le pays vis pour certaines actions impliquant une prsence physique (rception de marchandises, retrait en liquide de virements bancaires,etc.). Dans chaque forum, des rubriques sont ainsi consacres aux offres et recherches demplois .
Figure 36 : la rubrique "offres d'emplois" d'un black market
Les forums Internet jouent donc clairement un rle de facilitateur dans ces associations internationales de malfaiteurs . Gonzalez a ainsi li connaissance avec tous ses complices dans les forums, lexception de Stephen Watt quil connaissait dans le monde rel .
Des profils trs varis

Qui se cache derrire ce nouveau business ? Les administrateurs des forums et shops ont-ils un profil type ? Trois exemples permettent dillustrer la varit des acteurs impliqus.
Exemple n1 : le shop professionnel

En dcembre 2009, un nouveau forum ddi au carding et au hacking voit le jour sur Internet. Lobjectif annonc par ses crateurs est de se poser en nouveaux leaders car, selon eux, la qualit du march cybercriminel sur Internet a chut. Un an plus tard, les administrateurs du forum crent leur propre shop de carding.
Figure 37 : annonce de cration d'un nouveau shop ddi du carding
Avantage cl : dans le shop, les numros de cartes mis en vente ne seront que ceux ngocis entre les administrateurs et les vendeurs dj connus du forum. Le risque de ripping est nul et il nest pas ncessaire de partir la recherche de vendeurs de cartes bas prix. Le forum compte plus de 3 800 membres qui sont autant de clients potentiels pour le nouveau shop. Un tel dveloppement tmoigne dun vritable savoir-faire marketing.
Exemple n2 : le shop amateur

A linverse, certains shops sont beaucoup plus amateurs dans leur manire de sorganiser. Le site de carding ci-dessous achte des lots de cartes nimporte qui et quelle que soit la quantit avec un partage des gains 50/50.
Figure 38 : Un shop "amateur"
Il est aussi possible de sadresser directement ladministrateur pour acheter des quantits importantes de numros sans passer par le site. Lappt du gain a mme amen les dirigeants se franchiser en proposant la vente le script de leur site pour des personnes dsirant ouvrir leur propre shop.
Figure 39 : Crer sa franchise de shop de carding
Cette organisation artisanale ne signifie pas pour autant moins de bnfices. Ce dernier shop est trs populaire et les utilisateurs lui ont donn bonne rputation.
Exemple n3 : les historiques

Derrire certains black markets se cachent aussi des cybercriminels trs connus. En novembre 2010, un nouveau site de vente de numros de cartes bancaires arrive sur la Toile. Le nom de son crateur, Smooch , ne passe pas inaperu car ce dernier est un cybercriminel actif depuis 2002 et recherch au niveau international. Il sest fait connatre dans des forums tels que Carderplanet ou Shadowcrew pour des services de mules et de blanchiment dargent. Neuf ans plus tard, Smooch est toujours bien prsent travers cette nouvelle activit. Certains anciens de Shadowcrew ne sont pas aussi "chanceux" que Smooch. Un britannique de 33 ans dorigine sri lankaise sest vu condamn 56 mois de prison en mars 2010 pour avoir anim un forum priv usit par plus de 2 500 cybercriminels. Pizzaiolo le jour et administrateur la nuit, Renukanth Subramaniam alias JiLsi, sest fait reprer dans le cybercaf o il oprait pour mettre jour son site. Trois ans denqute auront t ncessaires au FBI pour le localiser. Cette conclusion de lun des enquteurs est rvlatrice :
ctait lun des dix meilleurs sites dans le monde mais il y en a plus dune centaine que nous connaissons et une autre centaine que nous navons pas encore dcouvert.
Lennemi numro un des cybercriminels : le ripper

Les cybercriminels les ont en horreur et pour cause : il est difficile dy chapper. Les rippers sont les cybercriminels doublement malhonntes : ils se font passer pour des vendeurs lgitimes ou montent de faux sites de black markets et disparaissent une fois largent encaiss.
Figure 40 : Message d'alerte contre les rippers
Ils ne font en fait que profiter des failles inhrentes au commerce lectronique : toutes les transactions seffectuent entre des personnes qui ne se connaissent pas dans le monde rel .
Ce black market proposant la vente des donnes bancaires est ainsi un faux. Aprs avoir pay 100 $ dinscription, le client saperoit quil est impossible daccder au site. Ce cas est loin dtre isol et de nombreux sites svissent ainsi sur la Toile.
Figure 41: Un cas de black market ripper
Les rippers sont prsents tous les stades de la cybercriminalit. Mais une solution a t mise en uvre1 pour scuriser les transactions : le recours aux escrow services . Un escrow peut tre dfini comme un tiers de confiance qui va permettre de finaliser une transaction entre deux personnes nayant jamais trait ensemble auparavant. Exemple : un hacker propose de vendre des numros de cartes de crdits un individu. Le hacker ne veut pas envoyer les numros de cartes le premier car il a peur de ne pas tre pay. Quant au client, il ne veut pas payer dabord car il redoute que le hacker ne lui envoie pas les numros de cartes attendus. Afin dviter des discussions sans fin et minimiser les risques de part et dautre, lescrow va prendre part aux termes de lchange : le hacker va lui envoyer les numros de cartes, le client largent. Lescrow sassure alors que les conditions de la transaction sont respectes. Une fois les vrifications termines, il procde aux changes. Dans la majorit des forums, des services descrow sont recommands directement par les administrateurs. Dans lexemple ci-dessous, le tiers de confiance se rmunre par un prlvement de 5 % sur le montant total de lchange.
1 : Les membres dun forum ont gnralement diffrents statuts, ce qui permet thoriquement de reconnatre les personnes dignes de confiance . La majorit des membres des forums possdant le statut dinvits, cela ne permet cependant pas de rsoudre le problme des rippers.
Figure 42 : Exemple dun escrow service recommand dans un forum. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 39 sur 73
LECONOMIE DES BLACK MARKETS

La cybercriminalit est une activit conomique en pleine expansion. Au-del de ce constat global, est-il possible dvaluer les revenus dun cybercriminel ? Une estimation est-elle ralisable partir dune observation des black markets ? Autre question cl : comment seffectuent les transactions financires propres cette conomie souterraine? Si la cybercriminalit naurait pas pu se dvelopper aussi rapidement sans les systmes de monnaie virtuelle, les circuits classiques de blanchiment dargent jouent galement un rle important. Laffaire Gonzalez servira de fil conducteur ces dveloppements. Elle dmontre en effet parfaitement le rle spcifique de chacun des intervenants : hacking, vente de donnes illicites et blanchiment dargent.
Les profits des cybercriminels

Les profits gnrs par la cybercriminalit sont difficilement quantifiables car lactivit dun certain nombre de black markets est tout simplement impossible valuer, tant en termes de bnfices raliss que de volume de clientle. Certaines arrestations permettent a posteriori de dcouvrir les fortunes dtenues par certains cybercriminels. Mais lanalyse est biaise et partielle puisque les profils tudis correspondent aux acteurs cibls par les autorits (hackers, administrateurs de forums ou de sites de vente de donnes bancaires) et ne sont donc pas reprsentatifs de lensemble des protagonistes.
Analyse partir des affaires judiciaires connues

La presse relate rgulirement larrestation de cybercriminels et la manire dont ils se sont enrichis. Prenons par exemple la clbre affaire Gonzalez et effectuons une comparaison avec la vente de numros de cartes bancaires qui est lun des rares marchs dont les bnfices peuvent tre calculs en amont. En 2007, Maksim Yastremskiy, plus connu sous le pseudonyme de Maksik, est arrt en Turquie. Cet Ukrainien se fournissait rgulirement en numros de cartes bancaires auprs dun hacker amricain, Gonzalez, qui laide dinjections SQL et de sniffers a pu en obtenir des quantits trs importantes. Maksik revendait ensuite ces donnes en gros ou au dtail sur son site. Maksik et Gonzalez opraient selon une cl de rpartition 50/50 : environ chaque semaine, suivant la progression des ventes, la moiti des bnfices tait envoye Gonzalez. En quatre ans, Maksik a pu gnrer un revenu de onze millions de dollars lui seul, rparti de la manire suivante :
Figure 43 : Rpartition des revenus de Maksik
Historique de conversation ICQ de Gonzalez et Maksik

Cet enregistrement des conversations ICQ rcupr par les autorits amricaines dmontre que Gonzalez sinformait rgulirement auprs de son revendeur Maksik de ltat de leurs finances :
[Gonzalez] [Maksik] [Maksik] [Gonzalez] [Maksik] [Gonzalez] ok good do you have approximate amount total $ needed to be sent to me ? well, because of some orders are pending, I can tell you approximately I have so far around 100k for you :))) and from what I have left, it should be around 15-20k more I think selling this information is better for me instead of dealing with cashers
Maksik est-il une exception ? De nombreux administrateurs de shops peuvent-ils faire des bnfices aussi considrables ? Les lments ci-dessous rsultent de lobservation dun shop de taille moyenne durant un mois. La mthode a consist relever le nombre de cartes proposes au dbut du mois de janvier 2011 et la fin du mois, calculer combien de cartes avaient t vendues et relever leur prix, celui-ci dpendant la fois du pays et du type de carte (Visa, Mastercard, AMEX).
Figure 44 : Estimation des revenus de cybercriminels
En un mois, 30 180 numros de cartes ont t vendus pour un chiffre daffaires total de 193 752 $, soit 1 006 numros achets quotidiennement. Lexistence de ce site remontant au minimum au 15 novembre 2009, il est possible dvaluer les profits dj raliss par le ou les propritaires. Sur une dure de quatre ans, le site aurait donc pu gnrer 9 300 096 dollars, soit un revenu proche de celui de Maksik.
Tous les sites nont cependant pas le mme niveau dactivit, certains proposant la vente un nombre bien infrieur de numros de cartes. Un nouveau shop peut toutefois crotre trs vite. Lhistorique du site ci-dessous permet par exemple dobserver sa progression. Ouvert depuis le 10 dcembre 2010, le site ne proposait ses dbuts que 1 745 numros de cartes. Le 27 janvier 2011, 4 570 numros sont ajouts, lactivit du site commenant se dvelopper. Le succs a ensuite t rapide car deux semaines plus tard, 27 872 numros supplmentaires taient mis en ligne.
Figure 45 : Historique de l'approvisionnement d'un black market
Evaluation partir des prix observs sur les shops

Certaines activits cybercriminelles sont beaucoup moins connues. Leur rle est pourtant cl dans la chane cybercriminelle. Il sagit par exemple de la fabrication de scans de faux documents officiels, de la recherche de dates de naissance, de numros de scurit sociale, de la rception de SMS ou dappels tlphoniques, du piratage de botes mails, etc. Certains sites Internet sont exclusivement ddis ces services. Leurs prix sont gnralement assez levs, comparativement dautres activits courantes des black markets. Pour des scans de documents officiels, les prix varient par exemple de 25 100$, les plus demands tant ceux de cartes bancaires, de passeports, de factures attestant le domicile et de relevs bancaires pour une moyenne de 30 $ chacun. Le site enregistre les informations dsires par le pirate (nom, prnom, adresse, etc.) et les administrateurs piochent ensuite dans leur base de donnes des exemplaires de ces documents provenant de nombreux pays.
Figure 46 : Listing de prix
Autre exemple de niche cybercriminelle : la fraude aux compagnies ariennes. Certains individus proposent de rserver en ligne des billets davion avec des numros de cartes obtenus frauduleusement. Les voyageurs rmunrent le cybercriminel selon un pourcentage du prix total du billet (dans lexemple ci-dessous pour 20 30 % du prix).
Figure 47 : Fraude aux compagnies ariennes
Quels sont les revenus gnrs par ces activits ? Sont-ils plus levs que ceux provenant de la vente de donnes bancaires ? La difficult de lexercice rside dans le fait quune part importante de ces transactions se fait gnralement par ICQ, Jabber ou courrier lectronique et quaucune trace de cette activit napparat ainsi sur le site web proprement dit. Le faible nombre denqute complique encore singulirement les choses. La relative impunit dont jouissent certains de ces sites est dailleurs inquitante. Mais elle traduit une ralit : nombre de ces dlits ne font lobjet daucune poursuite. Plusieurs raisons peuvent tre avances : les victimes ne portent pas plainte ; le cot des enqutes est parfois suprieur celui de la fraude ; la coopration internationale est insuffisante ; faute de disposer des moyens adquats, les pouvoirs publics ont dautres priorits, etc.
Un outil cl : la monnaie virtuelle

Lconomie de la cybercriminalit doit prendre en compte deux contraintes majeures : toutes les transactions seffectuent au travers des frontires entre des personnes devant rester anonymes et tout paiement doit tre instantan car le moindre dlai pourrait faciliter la dtection du dlit. La monnaie virtuelle a su rpondre ces deux contraintes. linstar dune zone ou dune communaut conomique, les cybercriminels du monde entier se sont accords sur lutilisation dune, voire de deux monnaies exclusives afin de faciliter leurs changes.
Dfinition
QuestQuest - ce que la monnaie virtuelle ? - La monnaie virtuelle utilise dans les marchs noirs de la cybercriminalit ne pas confondre avec la monnaie virtuelle servant dans les jeux multi-joueurs en ligne sur Internet ou des simulations comme Second Life (qui utilise le Linden Dollar) est une solution qui permet, grce au porte-monnaie virtuel qui sy rattache, de raliser des achats en ligne sans communiquer ses coordonnes bancaires.
Le succs de la monnaie virtuelle sur les black markets - Initialement prvue pour simplifier les transactions - lgales - sur Internet (pour les internautes ne disposant pas de carte bancaire ou ne voulant pas lutiliser), son utilisation prsente des avantages non-ngligeables pour le cybercriminel : simplicit, anonymat et opacit, fiabilit et scurit.
La monnaie virtuelle la plus rencontre actuellement dans les Black Markets est Liberty Reserve. Son importance est telle que lorsque le site de la socit ne fonctionne plus, cest toute lconomie cybercriminelle qui sen retrouve perturbe. Dans le commentaire ci-dessous, un carder voque ainsi la rcente panne de Liberty Reserve du 31 mars au 5 avril 2011 et le manque gagner que cela reprsente pour lui. Je ne suis pas inquiet du tout de ne pas retrouver mon compte (Liberty Reserve) comme je lai laiss mais perdre du temps dans notre profession cest perdre de largent.
Cest une leon pour moi que de ne compter que sur une seule monnaie virtuelle. Je vais retirer mon argent ds que possible et garder uniquement dans mon compte le montant ncessaire pour des oprations quotidiennes. Pour moi, carder, si je ne peux pas me servir de Liberty Reserve pour acheter des dumps, cela va reprsenter dici le weekend une perte de 3000 4000$.
Figure 48 : Un carder voque la panne Liberty Reserve
Trois systmes principaux

Le choix dune monnaie est motiv par des critres prcis : anonymat, instantanit des transactions, possibilit de stocker ou de faire circuler de fortes sommes dargent sans restriction et sans plafonnement, absence de mesures de prvention contre le financement dactivits criminelles ou le blanchiment de capitaux. Lhistoire de la cybercriminalit t marque par trois monnaies virtuelles : E-gold, Webmoney et Liberty Reserve. E- Gold - Trs active entre 1996 et 2006, E-gold aurait pu rester la monnaie de rfrence des cybercriminels si des ennuis avec la justice amricaine navaient fortement perturb son activit et fait fuir tous ses utilisateurs. Ds que les difficults dE-gold ont commenc, deux monnaies ont ds lors rgul le march : Webmoney et Liberty Reserve. Webmoney - Le succs de Webmoney, socit implante en Russie, a pendant longtemps reflt limportance de la cybercriminalit dans cette rgion du monde. Mais la tendance sest rcemment inverse. Avec la notorit et un fort dveloppement international, Webmoney sest vu contraindre de rviser ses pratiques pour pouvoir conclure de nouveaux contrats comme celui sign en dcembre 2010 avec la socit amricaine Steam spcialise dans la vente de jeux vido en ligne. La monnaie est donc en train de disparatre de lunivers des cybercriminels. Un abandon douloureux accepter par les cybercriminels, notamment russes et ukrainiens, qui manifestent leur ressentiment au sein des forums ou dans les shops comme le refltent les deux copies dcran ci-dessous.
Figure 49 : Consquences du changement de stratgie de Webmoney
Liberty Reserve - Avec le changement dorientation stratgique de Webmoney, Liberty Reserve est dsormais lunique monnaie de rfrence. La socit est localise au CostaRica, pays trs peu coopratif et faisant partie de la liste noire des paradis fiscaux de
lOCDE. Ladresse du sige de la socit indique sur le site Internet serait dailleurs fausse et peu dinformations sont disponibles sur son fonctionnement. Les deux propritaires de la socit oprent en outre sous de faux noms. Le propritaire officiel, Amed Mekovar, se nommerait en ralit Ahmed Yassin, citoyen marocain poursuivi dans son pays pour des dlits relatifs au scam. Le vritable propritaire serait en fait Ragnar Danneskojold, de son vrai nom Vladimir Kats. Ce dernier est bien connu dans le monde des monnaies virtuelles et de la justice amricaine car il a t arrt en 2006 pour blanchiment dargent et exercice de la profession dintermdiaire financier sans licence. Alors quil tait la tte de Goldage, site Internet dchange de monnaies virtuelles, il aurait transfr globalement au moins trente millions de dollars sans effectuer aucune vrification didentit1. Sauf difficults imprvues, Liberty Reserve va trs certainement simposer comme monnaie de rfrence pour les cybercriminels pour une longue priode. Ses dirigeants ont en effet pour stratgie de refuser dimposer une quelconque contrainte leurs clients, que ce soit en termes de vrification didentit ou dinformations sur lorigine des fonds. Liberty Reserve a dailleurs toutes les faveurs de son pays daccueil qui bnficie en retour de ses largesses. En tmoignent un don de plus de 80 000 dollars vers lEtat en 2009 pour aider la reconstruction du pays aprs un tremblement de terre, le sponsoring dune quipe locale pour un marathon et le soutien apport aux orphelins et enfants dfavoriss en 2010. Un parallle peut tre effectu avec les mafias classiques qui se proccupent souvent des problmatiques sanitaires et sociales afin davoir une meilleure implantation.
1 : Source : http://bit.ly/iQCgX4
Un procd dutilisation simple et rapide

Grce Liberty Reserve, les cybercriminels peuvent effectuer des transferts dargent instantans et anonymes. Chaque utilisateur nest identifi que par un numro (se prsentant sous la forme U1234567). Indiquer le numro du bnficiaire est lunique formalit exige par Liberty Reserve lors dun transfert et il est impossible pour les deux parties, comme pour les tiers, dobtenir des renseignements complmentaires sur le titulaire dun compte. Cette monnaie peut tre utilise soit dans le cadre de paiements automatiss (dans les shops), soit dans le cadre de paiements manuels (dans les forums).
Paiements automatiss
Sur le site de Liberty Reserve (cf. copie dcran ci-dessous), une application gratuite permet de doter son site web dun systme de paiement automatique.
Figure 50 : Systme de paiement automatique LR
Les achats de donnes frauduleuses ainsi que leur remboursement lorsque celles-ci sont dfectueuses se font automatiquement. Il nest en aucun cas ncessaire de faire appel ladministrateur du shop.
Ce systme a donc permis la cybercriminalit de se dvelopper rapidement puisquil rend possible des ventes massives un nombre important dutilisateurs. Webmoney propose dailleurs exactement la mme application pour son service mais la socit a fini par bloquer les comptes relis directement des shops. Il est en effet trs ais pour ces socits de contrler le caractre frauduleux ou non des sites sur lesquels leur application est installe. Seuls quelques sites continuent de proposer Webmoney comme monnaie dachat comme ce shop qui propose daccepter uniquement les paiements par Webmoney pour les clients importants.
Figure 51 : Le paiement Webmoney est rserv aux gros clients
Paiements manuels
Lorsque des cybercriminels se rencontrent dans des forums, ils prennent par la suite contact sans intermdiaire par ICQ ou Jabber. Si une transaction doit se concrtiser, le cybercriminel qui dsire vendre une donne ou fournir un service indiquera lacheteur son numro de compte Liberty Reserve et ce dernier pourra, en se connectant de son propre compte, lui transfrer largent manuellement. Ces transactions sont plus ponctuelles et concernent des oprations prcises. En cas dassociation de cybercriminels pour une fraude prcise, chaque intervenant sera par exemple rmunr sur son compte Liberty Reserve sil le souhaite.
Analyse du processus
La cration de compte
Opacit - Crer un compte sur Liberty Reserve est rapide, simple et nexige aucune vrification didentit. Lanonymat et lopacit sont de rigueur. Liberty Reserve est trs pris des cybercriminels parce que ces critres se retrouvent toutes les tapes dutilisation du service, de la cration de compte son approvisionnement, jusqu la ralisation dun achat en ligne. Lutilisation dun VPN ou autre moyen danonymisation de la connexion permet de ne laisser aucune trace de son point de connexion. Les informations requises pour linscription ne sont pas vrifies par les administrateurs du site. Les champs First Name et Last Name peuvent tre remplis avec des alias. Ladresse mail exige pourra tre cre pour loccasion. Cette adresse servira de point de contact avec Liberty Reserve qui y enverra des courriels de vrification, des codes, etc.
Figure 52 : Crer un compte Liberty Reserve
Une fois le compte valid, lutilisateur obtient un numro de compte (par exemple : U3346079) qui lui permettra deffectuer des transactions avec dautres individus disposant eux-mmes dun compte Liberty Reserve.
Figure 53 : Le numro de compte Liberty Reserve
Scurit - Liberty Reserve enregistre les adresses IP des terminaux accdant au compte. Ainsi lutilisateur peut surveiller lhistorique de ses connexions et ragir toute tentative dintrusion. Une option permet de bloquer automatiquement le compte lorsquune IP inhabituelle est dtecte. En cas de piratage, il est aussi possible de faire appel un service durgence qui va geler le compte et viter lutilisateur de perdre ses gains par un transfert frauduleux. En effet, tous les virements effectus par Liberty Reserve sont instantans, dfinitifs et non remboursables. Par consquent, toutes les oprations se feront avec demande rgulire dauthentification, combinant mot de passe, code PIN et master key (cf. copie dcran ci-dessous). Ces mesures visent rassurer lutilisateur sur la scurit de son compte car, tant enregistr de faon anonyme, toute usurpation du compte ne pourra pas tre prouve et donner lieu un ddommagement.
Figure 54 : Les identifiants LR
Lapprovisionnement - Pour effectuer des achats, le compte Liberty Reserve devra tre approvisionn mais le site de Liberty Reserve ne permet pas dalimenter son compte directement. Pour ce faire, il faudra passer par un site Internet appel socit dchange qui alimentera le compte Liberty Reserve du client directement par un virement de son propre compte Liberty Reserve. Le moyen le plus usit est de payer directement la socit dchange par un voucher ou une carte prpaye. Il existe pour ce faire des services comme Ukash qui permettent, aprs paiement sur un site dchange, dobtenir un virement quivalent sur le compte Liberty Reserve. Dautres options sont galement disponibles mais intressent moins les cybercriminels en raison de leur lenteur.
Ukash et les socits dchanges

Ukash est accessible dans plus de 15 000 points de vente situs principalement dans les bureaux de tabac et les kiosques journaux sur tout le territoire franais. A lchelle mondiale, Ukash est disponible dans plus de 300 000 points de vente physiques et couvre 29 pays. Lachat dun bon Ukash ne ncessite pas la prsentation dune pice didentit et seffectue en argent liquide. Les utilisateurs peuvent acheter des codes pour des valeurs allant de 20, 50, 100 200 euros. Pour utiliser largent ainsi converti, il suffit de saisir le code du reu papier sur le site o lon souhaite effectuer la transaction.
Figure 55 : Bon Ukash
Trs rapide, la conversion dun bon Ukash en Liberty Reserve est dans la majorit des cas instantane. Le site effectuant lopration rcupre une commission sur le montant chang. Exemple dun site dchange automatique : le client saisit le numro du bon Ukash quil a achet (voucher code) ainsi que sa valeur (voucher value). Il indique ensuite son numro de compte Liberty Reserve et la socit procde un virement instantan.
Figure 56 : Conversion en Liberty Reserve
La ralisation dachats en ligne

Une fois le compte approvisionn, les transactions se raliseront par change de numro de compte Liberty Reserve entre acheteur et vendeur. Il ny a aucune possibilit de connatre lidentit de la personne possdant le compte Liberty Reserve. Seuls les numros de compte seront changs.
De lconomie virtuelle lconomie relle : le rle des socits dchanges

Les socits de monnaies virtuelles noffrent pas leur clientle des services permettant de retirer directement les fonds contenus dans leur compte virtuel. Cette prestation est prise en charge par des socits dchanges qui se sont spcialises dans cette activit trs lucrative. Une socit dchange achte, vend ou convertit des monnaies virtuelles entre elles. Pour acheter ou vendre une monnaie virtuelle, les procds utiliss, tant par la clientle que par ces socits, sont les transferts bancaires, les dpts ou retraits en liquide et les envois par Western Union ou MoneyGram. En matire dchanges, ces socits peuvent proposer sur leur site plus dune dizaine de monnaies virtuelles et ainsi changer selon la demande du client un montant de monnaie en Liberty Reserve contre le montant quivalent en PayPal par exemple. Sur chaque opration ralise, la socit prlve une commission pouvant parfois dpasser les 15 %.
Laffaire Gonzalez a mis en vidence le rle de ces socits dchange : Maksik revendait directement les donnes voles par Gonzalez dans son shop. Ce dernier proposait de payer automatiquement par Webmoney ou E-gold. Ces deux comptes de monnaies virtuelles taient donc la proprit de Maksik. Afin de reverser une partie des bnfices Gonzalez, Maksik transfrait une partie des sommes contenues dans ses comptes E-gold et Webmoney une socit dchange. Cette socit reversait ensuite des mules employes par Gonzalez aux tats-Unis la somme change sous forme de virement bancaire, mandat Western Union ou chque postal.
Historique de conversation ICQ voquant les taux de commissions

Dans cet extrait de conversation ICQ, les deux complices comparent les taux de commissions de plusieurs socits :
[Maksik] [Gonzalez] [Maksik] [Maksik] [Gonzalez] [Maksik] [Gonzalez] [Maksik] about egold u want me to use an exachanger ? [sic] how much will cost to do egold => wmz? sec 1.00 E-gold (USD) 0.9223 WeMoney (WMZ) thats cheap, is this reboxchange ? www.exchange.net.ua exchange.net.ua doesnt have much wmz at times unless youre like premium customer robox have 10% for exchange
Un march florissant
Le march des monnaies virtuelles sest dvelopp trs rapidement sans que la rglementation ne suive. Les internautes sont dailleurs de plus en plus nombreux utiliser ces monnaies sur le web pour des achats tout fait lgaux, certains estimant le procd plus sr que la carte bancaire. Cest tout naturellement que ces nouveaux paiements anonymes ont attir les criminels. Certaines socits dchange sont parfois poursuivies par la justice pour blanchiment dargent. Dans la pratique, cette incrimination est cependant fragile, une socit dchange pouvant difficilement contrler lorigine des fonds qui lui sont transfrs. Entre 2002 et 2005, la socit dchange Western Express International cre New York avait par exemple sduit une clientle dorigine russe qui sest rvle tre compose pour sa majeure partie de cybercriminels. En quatre ans, 35 millions de dollars ont ainsi circul travers les comptes de la socit. Provenant de multiples fraudes, cet argent tait renvoy par la socit en Russie par E-gold ou Webmoney. Les dirigeants de Western Express ont refus dtre considrs comme les responsables de ces fraudes, arguant du fait quils ne connaissaient personnellement aucun des clients ayant eu recours leur site1.
1 : Source : http://bit.ly/iXFSf7
Conclusion
La monnaie virtuelle joue donc un rle central dans le fonctionnement des black markets. Elle est insaisissable, difficile tracer et permet aux cybercriminels, en leur garantissant lanonymat, deffectuer leurs transactions sans risque. Mais les bnfices des ventes sur les marchs noirs de la cybercriminalit ne restent pas longtemps virtuels. Le vendeur devra, pour rcuprer le rsultat de ses ventes, faire appel diffrents acteurs (mules, etc.). Ces derniers lui permettront, aprs plusieurs opraLES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 50 sur 73
tions financires, de passer de la monnaie virtuelle la monnaie relle et de renouer avec la criminalit classique. Si elles sont fondamentales pour lconomie de la cybercriminalit, les monnaies virtuelles ne suffisent donc pas. Lorsquil faut convertir cet argent virtuel en monnaie relle, les cybercriminels ont recours Western Union et aux virements bancaires. La cybercriminalit rejoint ds lors la criminalit classique qui utilise aussi majoritairement ces deux procds afin de blanchir largent issu dactivits frauduleuses.
Un recours aux moyens classiques du blanchiment dargent

Une grande partie de largent contenu dans les comptes de monnaies virtuelles des cybercriminels sera perue sous forme de mandats Western Union ou de virements bancaires. Cette phase devrait, en thorie, permettre aux autorits didentifier les criminels car ces oprations ne sont pas anonymes. Les oprations suspectes devraient aussi tre dtectes car les institutions bancaires et les agences Western Union sont tenues des mesures de vigilance. Dans les faits, de nombreux manquements et un certain laxisme empchent tout contrle. Il devient ds lors trs complexe de remonter la succession doprations financires effectues par un cybercriminel. partir dun compte Liberty Reserve totalement anonyme, un cybercriminel va par exemple faire appel une socit dchange qui va lui acheter le contenu de son compte. Cette premire phase de blanchiment permet de dissocier largent sale du dlit. La socit dchange, en renvoyant lquivalent du montant par virement bancaire ou mandat Western Union, permet au cybercriminel de donner une origine conomique vraisemblable cet argent. Son identit relle reste galement totalement dissimule dans cette deuxime tape de blanchiment grce de multiples possibilits de fraudes. Il ne reste plus au cybercriminel qu rinjecter ces sommes dargent dans lconomie relle et lgale.
Western Union
Western Union est une socit financire base aux Etats-Unis. Disposant denviron 270 000 points de prsence dans plus de 200 pays, elle permet lenvoi instantan dargent liquide travers le monde. Le fonctionnement de la socit est simple : une personne rsidant dans un pays A se rend dans un point Western Union et indique le nom, prnom et pays du bnficiaire. Elle remet lagent Western Union le montant en liquide quelle dsire faire parvenir au bnficiaire rsidant dans un pays B. Le bnficiaire peut immdiatement se rendre dans une agence de son pays pour y retirer ce montant en liquide. Chaque agent doit normalement vrifier lidentit de ses clients et il existe des restrictions lenvoi et la rception (pour un envoi ou une rception, la limite en France est denviron 7 600 euros par jour et par personne). Dans la pratique, ces rgles ne sont pas toujours respectes car Western Union permet nimporte quel commerant de devenir un agent agr, les seules conditions imposes par la socit tant de disposer dun ordinateur et dune connexion Internet.
Western Union a cependant pris soin de se dgager de toute responsabilit quant aux activits de ses agents. En matire de lutte contre le blanchiment dargent, chaque point de vente est ainsi personnellement responsable, Western Union nimposant aucune contrainte ni surveillance. La socit lexplique clairement sur son site Internet :
Figure 57: Politique de Western Union en matire de lutte contre le blanchiment d'argent
Avec une politique si permissive, certains agents Western Union ne respecteraient donc pas toutes les rgles et deviendraient donc complices volontaires ou involontaires des cybercriminels. Dans ce shop, il est par exemple possible dacheter des numros de cartes bancaires par Liberty Reserve ou Western Union. Il suffit dindiquer sur la page ci-dessous le montant que lon dsire envoyer par Western Union.
Figure 58 : Choix de Liberty Reserve ou Western Union
Le site redirige alors automatiquement le visiteur vers les coordonnes dun bnficiaire au Vietnam.
Figure 59: Le bnficiaire du paiement est au Vietnam
Depuis de nombreux mois, cette personne est lunique destinataire de tous les envois par Western Union des clients du shop. Les transferts sont tous encaisss en moins dune heure, ce qui laisse supposer la complicit directe dun agent sur place. Les vrifications didentits, en thorie obligatoires, ne sont pas non plus respectes. Dans le forum ci-dessous, un Ukrainien propose ainsi dencaisser des mandats Western
Union sous nimporte quel nom, rel ou fictif. Cette personne a donc potentiellement corrompu un agent Western Union, sauf imaginer quil en soit lui-mme un.
Figure 60 : Proposition dencaissement de mandats WU sans nimporte quel nom, rel ou fictif
noter quil nest pas indispensable de bnficier de la complicit directe dun agent Western Union. Un cybercriminel indique par exemple sur le forum ci-dessous avoir t interdit dans une agence car il avait dpass la limite lgale autorise pour des transferts. Il lui a suffit de se rendre dans une autre agence et de continuer ses transferts mais avec un faux passeport. Les agences Western Union ntant pas astreintes aux mmes rgles, il suffirait donc de se rendre dans les plus permissives.
Figure 61 : Problme rapidement rsolu avec une agence Western Union
Sur les onze millions de bnfices de Maksik, plus de 4 800 000 dollars taient issus de mandats Western Union
Les circuits bancaires traditionnels

Les oprations de blanchiment dargent sont traditionnellement associes aux paradis fiscaux. Le pays le plus recherch par les cybercriminels, tant pour effectuer des attaques informatiques que pour faire transiter des flux financiers illicites, napparat cependant sur aucune liste noire de lOCDE. Aussi tonnant que cela puisse paratre, il sagit des tatsUnis car sur les 50 tats qui les composent, une dizaine bnficie de lgislations trs permissives, les plus libraux tant le Delaware, la Californie, la Floride et ltat de New York. Le rle de ces Etats a rgulirement t dnonc, notamment par un office du Ministre amricain du Trsor (FinCEN) en raison de leurs lgislations sur la cration de socits responsabilit limite. Il est en effet possible nimporte quelle personne, rsidant hors ou aux tats-Unis, de crer sa propre socit en 24h sur Internet. Dans lexemple ci-dessous, il est possible de crer une socit en ligne en quelques clics. Il suffit de choisir un tat amricain et de remplir un formulaire. La cration dune socit au Delaware cote ainsi 129,25 $.
Figure 62 : Cration dune socit en ligne dans lEtat du Delaware
Ces socits crans sont lgalement enregistres par un agent sur place qui nest astreint aucune responsabilit, que ce soit en termes de surveillance dventuelles activits illicites ou de signalement aux autorits en cas de soupons. Quatorze tats, du fait de leurs lgislations, permettent ces socits fictives de garder secret le nom de leurs membres ou propritaires. Une fois la socit enregistre, lagent ouvre un compte bancaire aux Etats-Unis pour son client. Ce compte bancaire ne sert gnralement que de relais : beaucoup des virements effectus transitent par la suite vers des succursales de banques internationales New York puis sont rapatris vers ltranger (la Russie et la Lettonie sont les principaux pays bnficiaires). Une fois arriv destination finale, largent est totalement blanchi : la socit cran permet de faire passer ces numraires pour des revenus issus dune activit conomique relle et la succession de virements bancaires internationaux ne permet pas de remonter la source. Maksik, le vendeur de numros de cartes bancaires ukrainien, possdait ainsi des comptes bancaires en Lettonie dont lun contenait une partie des bnfices revenant Gonzalez. Il permettait en effet ses clients de confiance de le payer directement par virements bancaires, les autres tant astreints payer par monnaie virtuelle. Gonzalez, pour rapatrier ses fonds aux tats-Unis, faisait appel Humza Zaman. Cet homme tait charg douvrir plusieurs comptes en banques aux tats-Unis sous des identits fictives puis, une fois les ordres de virements effectus par Maksik de son compte letton, Zaman allait retirer cet argent en liquide des distributeurs automatiques. Tous les retraits effectus par Zaman nont pas pu tre dcels. Il sest rendu plusieurs fois San Francisco et New York pour y rcuprer de largent liquide appartenant Gonzalez (50 000 et 370 000 $) mais les autorits nont pas pu dterminer la traabilit de ces fonds. La situation en Europe apparat beaucoup moins chaotique. Un projet du Conseil europen des paiements risque pourtant de dstabiliser lquilibre existant. Baptis Single Euro Payments Area ou SEPA, ce texte vise harmoniser les moyens de paiements dans une Europe largie 32 tats. Deux mesures apparaissent particulirement proccupantes : La nouvelle faon dont les prlvements automatiques seront autoriss fait craindre un important risque de fraude internationale, quivalent celui inhrent aux cartes bancaires. Le dbiteur perdra en effet linitiative dautoriser une demande de prlvement : cest le crancier qui, sur simple requte, demandera sa banque deffectuer le prlvement en dbit immdiat. La seule information ncessaire pour raliser cette opration sera de connatre le numro IBAN (International Bank Account Number) et BIC (Bank Identifier Code) du compte
du dbiteur. De nombreuses associations de consommateurs jugent cette information insuffisante en termes de scurit. Cette mesure sera dfinitivement mise en place en 2014 mais les responsables europens devraient se proccuper fortement de cette question car les cybercriminels sintressent dj de prs au SEPA. La future activit nouvelle des black markets pourrait bien tre la vente de numros IBAN et BIC. Le virement SEPA est une autre mesure permettant de faciliter les transferts bancaires en Europe. Dj oprationnel, ce virement peut tre effectu en ligne sur plusieurs sites Internet de banques franaises (LCL, Monabanq, Boursorama). En 2012, chaque virement devra tre trait en 24h. Or le SEPA regroupe plusieurs tats considrs comme des paradis fiscaux ou des centres financiers offshores : le Luxembourg, Malte, la Suisse, Monaco et Chypre. Le fait quil soit trs ais de crer une socit ou douvrir un compte bancaire sur Internet dans ces pays europens risque de multiplier les fraudes concernant le secteur bancaire mais aussi de faciliter le blanchiment dargent. noter que le virement SEPA est dj utilis par les cybercriminels qui se tiennent trs informs des nouvelles rglementations. Ces nouvelles mesures pourraient donc contribuer un essor rapide de la cybercriminalit en Europe. La dmatrialisation du contact entre client et banque et lacclration des flux financiers gnrent un phnomne boule de neige qui est en contradiction totale avec les rgles de bon sens prconises par les experts conomiques depuis des annes.
Synthse
La cybercriminalit est entretenue et facilite par un ensemble doutils. Au plan technique, les hbergeurs bulletproof fournissent les moyens logistiques. Au plan financier, les systmes de monnaie virtuelle et les socits dchange font le lien entre conomie virtuelle et conomie relle. Les flux financiers de la cybercriminalit
Money Mule Hackers Dveloppeurs de malwares Phishing
black markets
Shops et forums : vritables plaques tournantes de la cybercriminalit
Economie relle
Carders Approvisionnement Hbergeurs bulletproof Infrastructure support
Cybercriminels
conomie virtuelle
QUELLES REPONSES ?
Au plan franais
Panorama des acteurs
LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre par le dcret n 2009-834 du 7 juillet 2009, succdant ainsi au Service central de la scurit des systmes dinformation (SCSSI) puis la Direction centrale de la scurit des systmes dinformation (DCSSI) institue en 2001. Elle est, depuis le dcret n 2011-170 du 11 fvrier 2011, lautorit nationale en matire de dfense des systmes dinformation franais et elle dcide les mesures que l'Etat met en uvre pour rpondre aux crises affectant ou menaant la scurit des systmes d'information des autorits publiques et des oprateurs d'importance vitale 1. La Commission nationale de l'informatique et des liberts (CNIL) est une autorit administrative indpendante garante du respect de la vie prive et des liberts sur Internet. Cre par la loi n 78-17 du 6 janvier 1978 relative l'informatique, aux fichiers et aux liberts, cette autorit dispose dun pouvoir de contrle, de sanction, dalerte et de conseil des particuliers, des entreprises et des administrations. LOCLCTIC (lOffice Central de Lutte contre la Criminalit lie aux Technologies de lInformation et de la Communication), cr par dcret interministriel du 15 mai 2000 au sein de la DCPJ, remplit deux missions oprationnelles : mener des enqutes en matire de crime numrique (surtout en matire de piratage, de fraudes aux cartes bancaires et descroqueries) et assurer une assistance technique des autres services de police et de gendarmerie. cot de ces missions oprationnelles, lOffice assure des missions qualifies de stratgiques telles que la veille documentaire continue en matire de nouvelles menaces, la formation denquteurs spcialiss, les Investigateurs en Cybercriminalit (ICC), et la coopration internationale. LOffice gre galement les signalements de contenus illicites grce la plateforme PHAROS (qui sera bientt coordonne lchelle europenne par Europol et ses homologues du Royaume-Uni, des PaysBas, de lItalie et de la Roumanie) et ralise les interceptions judiciaires. LOCRVP (Office Central de Rpression des Violences aux Personnes) joue un rle essentiel dans la lutte contre la diffusion dimages pdopornographiques sur Internet. La BEFTI (Brigade dEnqute sur les Fraudes aux Technologies de lInformation), unit dpendant de la Direction rgionale de la police judiciaire de Paris, assure deux missions principales : lassistance technique des autres services denqute et la ralisation denqutes grce la prsence de nombreux ICC. Si sa comptence se limite en thorie Paris et sa petite couronne, certaines affaires lui sont attribues par dfaut, lorsque la comptence territoriale est incertaine. La DCRI (Direction Centrale du Renseignement Intrieur) dispose dun ple consacr la cybercriminalit. Ses policiers, habilits secret dfense, peuvent traiter daffaires exigeant lhabilitation secret dfense ou confidentiel dfense (ministres, administrations, etc.). Ce ple est rgulirement amen travailler tant avec lOCLCTIC quavec lIRCGN.
1 : Dcret n 2011-170 du 11 fvrier 2011 modifiant le dcret n 2009-834 du 7 juillet 2009 portant cration d'un service comptence nationale dnomm Agence nationale de la scurit des systmes d'information
LIRCGN (Institut de Recherche Criminelle de la Gendarmerie Nationale), laboratoire de police scientifique de la gendarmerie, et le STRJD (Service Technique de Recherches Judiciaires et de Documentation), mnent laction de la gendarmerie en matire de lutte contre la cybercriminalit. LIRCGN ralise trois missions principales : Examens et expertises dans le cadre dinvestigations judiciaires, la demande de la gendarmerie ou de magistrats, Formation des techniciens et des enquteurs, Veille technologique et recherche en matire de dveloppement et damlioration des techniques dinvestigation.
Le STRJD possde pour sa part une division spcialise dans la lutte contre la cybercriminalit, la DLC, et centralise les donnes qui lui sont transmises par les units de gendarmerie nationale. Il est, depuis 1994, charg de la police du rseau Internet et de la lutte contre la cybercriminalit. La cyberdouane - Depuis 2009, la Douane dispose dun service, la cellule cyberdouane agissant pour la lutte contre la fraude sur Internet Les JIRS - Les magistrats se spcialisent eux aussi dans la lutte contre la cybercriminalit. Certaines affaires (concernant les atteintes aux STAD, mais aussi quelques atteintes au Code montaire et financier) sont confies des Juridictions Interrgionales Spcialises, les JIRS. Leur activit est importante : dans leur premier bilan1, plus du tiers des affaires conomiques et financires concernent des escroqueries complexes lies la falsification de cartes bancaires. Et 82% des affaires traites disposent dun lment dextranit. L'Observatoire L'Observat oire de la scurit des cartes de paiement a t cr par la loi n 2001-1062 du 15 novembre 2001 relative la scurit quotidienne. Cet observatoire assure non seulement une veille technologique mais est galement charg de mettre en uvre des mesures de renforcement de la scurit des cartes bancaires et dtablir des statistiques en matire de fraude2. Le Club de la Scurit de l'Information Franais (CLUSIF) est une association indpendante dentreprises et de collectivits agissant pour la promotion de la scurit de linformation. Cette association sorganise en groupes de rflexions portant sur la gestion des incidents, la cybercriminalit ou encore, plus gnralement, les politiques de scurit.
1 : AJP Dalloz, mai 2010, Premier Bilan des JIRS.
2 : Son rapport annuel est disponible ladresse suivante : http://bit.ly/jFZV5W
Cadre juridique
Le Droit pnal - Le droit pnal franais bnficie dun large panel de textes incriminant les comportements des cybercriminels. La loi Godfrain - Pour permettre au droit pnal d'apprhender les phnomnes de piratage informatique, la France s'est dote le 5 janvier 1988 de la loi relative la fraude informatique dite loi Godfrain . Cette loi, codifie aux articles 323-1 et suivants du nouveau code pnal, permet de sanctionner plusieurs comportements placs en amont ou en aval de l'iter criminis de l'acte de piratage.
L'article 323-1 sanctionne le simple accs frauduleux un Systme de Traitement Automatis de Donnes. Ce mme article sanctionne ensuite de faon autonome le maintien frauduleux dans un STAD (de cette faon, mme si l'accs est rgulier, le maintien peut revtir un caractre irrgulier en lui-mme). Sont sanctionns les actes prparatoires, travers l'article 323-3-1 du Code pnal, visant la dtention dun virus ou la fourniture de moyens permettant la commission de l'une des infractions prvues par le dispositif Godfrain. Est ensuite sanctionne la simple participation un groupe criminel en vue de la prparation d'une de ces infractions. Le commencement d'excution interrompu involontairement est expressment vis par l'article 323-7 du mme code qui sanctionne la tentative des dlits d'atteinte un systme de traitement automatis de donnes (STAD). Enfin, sont sanctionnes l'introduction et la suppression de donnes dans un STAD, que l'accs qui les a prcd ait t frauduleux ou pas.
bancaire La fraude la carte b ancaire est une source majeure dapprovisionnement des black markets. Cet acte est sanctionn par larticle L163-4 du code montaire et financier qui prvoit sept ans demprisonnement et 750 000 euros damende pour le fait de contrefaire ou de falsifier une carte de paiement ou de retrait, de faire ou de tenter de faire usage, en connaissance de cause, dune carte bancaire contrefaisante ou falsifie, et enfin le fait daccepter dlibrment de recevoir un paiement au moyen dune de ces cartes. La collecte frauduleuse de donnes caractre personnel - Larticle 226-18 du code pnal vise le fait de collecter des donnes caractre personnel par un moyen frauduleux, dloyal ou illicite et sanctionne cet acte par cinq annes demprisonnement et 300 000 euros damende. Cet article pourra concerner la collecte de donnes bancaires (cartes bancaires, comptes bancaires en ligne), de pices didentit, didentifiants de messagerie lectronique, et de toute autre donne ds lors quelle peut tre considre comme une donne caractre personnel. Ncessit de rciprocit dincrimination - Mais pour que ces textes soient applicables, il faut que la juridiction franaise soit clairement comptente. La cybercriminalit, en raison de son caractre transfrontalier et mondial bouleverse le principe de la territorialit de la loi pnale. Selon larticle 113-2 du code pnal, la loi franaise est applicable ds lors que lun des faits constitutifs de linfraction a lieu sur le territoire franais. Et la localisation des serveurs partir desquels sont diffuss les lments susceptibles de constituer une infraction a un impact moindre sur la comptence juridictionnelle franaise. En effet, dans un arrt du 29 mars 2011, la chambre commerciale de la Cour de cassation a pu affirmer que le juge franais nest comptent que lorsque le contenu du site concern est orient vers un public franais . Cette dcision sinscrit dans le droit fil de larrt dit Hugo Boss 1 qui prvoit quatre critres permettant de retenir la comptence du juge franais : le site doit tre en langue franaise, accessible depuis la France, doit explicitement viser les internautes franais et doit proposer la livraison de ses produits sur le territoire franais. Larticle 113-6 du code pnal prvoit une autre condition lapplicabilit de la loi franaise : que le crime ou dlit commis ltranger soit puni la fois par la loi franaise et par la loi du pays o il a t commis.
1 : Cass. comm. 11.01.2005, Bulletin 2005 IV N 8 p. 8
Les textes de procdure pnale.

Les preuves de la commission dune infraction sur ou par Internet sont souvent numriques. Or la preuve numrique est souvent prissable, volatile, voire insaisissable. Il sagit dhistoriques de navigation sur le Web, dhistoriques de conversation via messagerie instantane, de logs de connexion, dimages, de fichiers textes, dadresses IP, de donnes Whois, etc. Des lments qui, bien que dmatrialiss, sont indispensables au bon droulement de lenqute. Pour obtenir toutes ces donnes, lenquteur devra disposer, en plus des techniques traditionnelles dinvestigation, doutils adapts au cyberespace. Linfiltration numrique - Linfiltration numrique permet, selon larticle 706-81 du code de procdure pnale, des enquteurs spcialement habilits de surveiller des
personnes suspectes de commettre un crime ou un dlit en se faisant passer, auprs de ces personnes, comme un de leurs coauteurs, complices ou receleurs . Ce procd ne
peut tre utilis que pour les enqutes concernant les infractions listes par larticle 70673 du mme code. Utilise dans la lutte contre les black markets, elle autoriserait lenquteur recourir une fausse identit et, par exemple, acqurir ou vendre des produits tels que ceux que lon retrouve sur les marchs noirs de la cybercriminalit. Les honeypots - Dans le cadre de la lutte contre les cybercriminels, il est possible de sinterroger sur la pertinence de lutilisation de honeypots ou pots de miel . Ces honeypots sont des leurres : ordinateurs, serveurs, ou programme laisss volontairement vulnrables afin dattirer et de piger les hackers. Ce leurre permet dobserver le mode opratoire du hacker et, par la mme, de rcuprer ses coordonnes. La lgalit de lutilisation de ce procd par lenquteur est toutefois discutable. En effet, en vertu du principe de loyaut de la preuve pnale, le policier ne peut provoquer la commission dune infraction. Tout lment de preuve obtenu de cette faon sera irrecevable. Ce principe a t rappel par la Chambre criminelle de Cour de cassation dans un arrt du 4 juin 2008 (Bulletin criminel 2008, n141). En lespce, un ressortissant franais avait t identifi suite sa connexion un site contenant des images pdopornographiques. Or ce site avait t mont de toutes pices par lunit de criminalit informatique de la police de New York dans le but dattirer les pdophiles. Dans cette affaire, la Cour a dclar irrgulires et donc irrecevables ces preuves, considrant quelles avaient t obtenues par provocation policire. Ce raisonnement peut trouver sappliquer dans le cas du honeypot. Il faut rappeler que seul lofficier de police judiciaire est soumis au principe de lgalit de la preuve. La partie prive bnficie quant elle dune jurisprudence clmente. Dans un rcent arrt du 27 janvier 2010 (pourvoi n09-83.395), la Cour de cassation a rappel qu aucune disposition lgale ne permet aux juges rpressifs dcarter des moyens de
preuve remis par un particulier aux services denqute, au seul motif quils auraient t obtenus de faon illicite ou dloyale .
Les interceptions de communication - Il est possible pour lofficier de police judiciaire de procder linterception de communications sur Internet. Ce procd, visant les correspondances prives, est dcrit aux articles 100 et suivants du code de procdure pnale. Au moyen dune drivation sur la ligne de linternaute suspect ou avec le concours de loprateur Internet ou de tlphonie mobile, lenquteur interposera un procd denregistrement des conversations. Ce procd pourra par exemple tre un sniffer. La capture de donnes informatiques distance - La Loppsi a insr dans le code de procdure pnale un nouvel article 706-102-1 permettant la capture de donnes informatiques distance. Ainsi, lofficier de police judiciaire pourra sans le consentement des intresss , accder aux donnes informatiques telles qu'elles s'affichent sur un
cran pour l'utilisateur d'un systme de traitement automatis de donnes ou telles qu'il les y introduit par saisie de caractres . La perquisition et la saisie informatiques - Dans la plupart des enqutes, quelles soient classiques ou quelles relvent de la cybercriminalit pure, les policiers et gendarmes seront rgulirement amens perquisitionner et saisir des ordinateurs ou des priphriques de stockage. Ce sera dautant plus ncessaire pour les enqutes impliquant des black markets. Leurs utilisateurs, sils ne se sont pas anonymiss via des techniques spcifiques, laissent en effet des traces de leur passage sur ces sites. Des traces qui ne sont souvent accessibles que suite la perquisition et saisie de terminaux informatiques (ordinateurs, tablettes, smartphones). Cest larticle 56 al. 5 du code de procdure pnale qui permet la perquisition de donnes informatiques. Lenquteur procdera la saisie des donnes informatiques n-
cessaires la manifestation de la vrit en plaant sous main de la justice soit le support physique de ces donnes, soit une copie ralise en prsence des personnes qui assistent la perquisition . Ainsi, la saisie informatique pourra tre complte par la saisie du
support physique des donnes (disque dur, etc.). Le droit de perquisitionner a d sadapter aux volutions de linformatique, et le dveloppement constant du cloud computing, ou informatique dans le nuage , oppose ce droit sa seule limite lgale. Le cloud computing consiste pour lutilisateur externaliser le stockage de ses donnes. Elles ne sont plus sur le disque dur de son ordinateur personnel, mais sur des serveurs distants dont la localisation est souvent secrte voire vague. Face ce cas prcis, lenquteur peut procder une perquisition en ligne (article 57-1 CPP pour lenqute de flagrance, 76-3 pour lenqute prliminaire, 97-1 sous commission rogatoire). Et ce droit de perquisitionner connat une limite importante : laccs des donnes stockes sur des serveurs situs hors du territoire national. Si les donnes accessibles en ligne sont stockes en France, aucun problme ne se posera. La perquisition seffectuera selon la procdure ordinaire dfinie larticle 56 al. 2 du code de procdure pnale. Si les donnes sont localises ltranger, larticle 57-1 du code indique qu elles sont recueillies par lofficier de police judiciaire, sous rserve des conditions daccs prvues par les engagements internationaux en vigueur . Ainsi, lune des solutions est louverture dune information judiciaire afin dobtenir une commission rogatoire internationale. La coopration internationale est donc au cur de lenqute en matire cybercriminelle.
Au plan international
Panorama des acteurs
La cybercriminalit tant par nature transnationale, les autorits nationales sont rgulirement amenes collaborer avec les entits internationales suivantes : Interpol Interpol a pour mission premire dassurer la rception, conservation et transmission des informations sur la cybercriminalit tous ses pays membres. Le canal principal de communication est I-24/7, systme mondial de communication policire assurant son service 24 heures sur 24 et sept jours sur sept. Assurant la fluidit de la circulation de linformation, Interpol amliore la coopration internationale. Europol centralise les informations et a un rle similaire celui dInterpol, mais lchelle europenne. Afin de mieux lutter contre la cybercriminalit, Europol :
Participe au dveloppement de lEuropean Cybercrime Task Force, groupe dexperts compos de reprsentants dEuropol, dEurojust et de la Commission Europenne ; Enrichit rgulirement sa base de donnes consacre la cybercriminalit ; Procde des analyses stratgiques sur les tendances de la cybercriminalit ; Dveloppe deux projets : ICROS (Internet Crime Reporting Online System) et IFOREX (Internet & Forensic Expert Forum). Ces deux projets permettront une meilleure centralisation des donnes, des formations ainsi que des rflexions sur lamlioration des textes de loi.
Eurojust, Eurojust lunit de coopration judiciaire de lUnion Europenne, coordonne les actions des autorits judiciaires charges dinvestigations concernant au moins trois pays et renforce ainsi leur coopration. LENISA (Agence europenne charge de la scurit des rseaux et de linformation) a pour mission, en partenariat avec les entits nationales et europennes, de promouvoir et assurer la scurit des rseaux dinformation dans lUnion europenne.
Un Cadre juridique international : la convention cybercrime

La Convention sur la cybercriminalit de Budapest du 21 novembre 2001 constitue aujourdhui le texte de rfrence en matire de coopration internationale dans la lutte contre la cybercriminalit. noter que ds 1981, le Conseil de lEurope avait t lorigine de la Convention 108 relative la protection des personnes lgard du traitement automatis des donnes caractre personnel, un texte ratifi uniquement par 17 Etats membres.
Des intentions louables

Les textes nationaux ne suffisent pas : tt ou tard, lenqute en matire cybercriminelle franchira les frontires du pays o se droule initialement lenqute. La cybercriminalit ne connait pas les frontires juridiques et opre sur de nombreux territoires nationaux diffrents : acteurs localiss dans diffrents pays, serveurs bulletproof hbergs dans un paradis numrique , etc. Cest pourquoi la Convention de Budapest a souhait renforcer la coopration internationale, cette amlioration passant par une harmonisation des lgislations nationales mais aussi par lamlioration des canaux de coopration. Le gel de donnes - la Convention sur la cybercriminalit de Budapest de 2001 contient quelques dispositions essentielles. Son article 29 prvoit ainsi la possibilit de geler les donnes informatiques situes hors du territoire national. Cet article dispose en effet qu une Partie peut demander une autre
Partie dordonner ou dimposer dune autre faon la conservation rapide de donnes stockes au moyen dun systme informatique se trouvant sur le territoire de cette autre Partie, et au sujet desquelles la Partie requrante a lintention de soumettre une demande dentraide en vue de la perquisition [], de la saisie [], ou de la divulgation desdites donnes .
Les canaux de coopration - la demande de gel des donnes pourra tre effectue par commission rogatoire internationale ou par demande dentraide. Elle pourra aussi tre ralise travers le canal dinformation Interpol. En France, cest lOffice Central de Lutte contre la Criminalit lie aux Technologies de lInformation et de la Communication (OCLCTIC) qui est le point de contact InLES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 61 sur 73
terpol en matire de cybercriminalit (voir dcret n75-431 du 26 mai 1975). Lofficier de police judiciaire enverra sa demande via le canal BCN (Bureau Central National) situ lOffice. Les points de contact peuvent tre joints 24 heures sur 24 et sept jours sur sept pour recevoir et fournir toute information, ou excuter les demandes dassistance. Cette mesure qui exige la conservation et la communication des donnes est sans conteste la plus importante de la Convention. Mais elle est aussi celle qui suscite le plus de rticence de la part des tats. La Russie a notamment considr quelle constituait une atteinte la souverainet nationale1.
Un texte porte limite.

Trs peu de signataires - Malgr ses objectifs louables, la Convention sur la cybercriminalit de Budapest a une porte limite et les moyens de coopration policire et judiciaire sont encore insuffisants. Au 17 mars 2011, seuls 29 pays lont ratifie. Parmi ceux qui lont signe, mais pas ratifie, figurent notamment la Chine, le Royaume-Uni, la Belgique, la Sude ou encore la Gorgie. La Russie estime quant elle que ce trait est une menace pour sa souverainet nationale. Or, la Chine et la Russie sont des acteurs essentiels dans le domaine de la cybercriminalit. Au deuxime trimestre 2009, 9,3% des botnets venaient de Chine, et 5,6% de Russie. Le manque de volont des tats - Il est aussi possible de constater un manque de volont de la part de certains Etats. Une large partie des affaires traites par les services de police et de gendarmerie renvoient en effet vers l'tranger, souvent vers des pays qui n'ont ni les moyens ni la volont de cooprer efficacement. La coopration savre ainsi particulirement difficile avec des pays tels que les tats-Unis, la Russie ou lUkraine qui se montrent parfois rticents communiquer des donnes stockes chez leurs fournisseurs daccs Internet. Le peu dintrt manifest par certains tats pour la lutte contre la cybercriminalit sexplique la fois par la difficult des enqutes et le fait quelles concernent parfois des prjudices de faible montant lchelle dune seule victime. Le dveloppement des cyberparadis - Il faut enfin noter que certains pays trouvent un intrt particulier la cybercriminalit. Par exemple, le scam 419 (se rfrant au numro de larticle sanctionnant cet acte) reprsente aujourdhui lune des sources les plus importantes de revenus trangers pour le Nigria. Certains tats deviennent ainsi de vritables cyberparadis . Les Pays-Bas refusent par exemple dtablir un lien entre une personne et une adresse IP. En Russie, o la cybercriminalit est en plein essor, les cybercriminels bnficient mme dune certaine tolrance tant qu'ils ne s'attaquent pas des intrts nationaux. Cest cette impunit de fait qui a favoris lmergence d'un vritable march noir de logiciels malveillants. Le manque de volont des acteurs privs : On dnote galement un manque de volont de la part des acteurs privs qui, pour certains, y trouvent leur compte en termes de chiffre daffaires. Certains serveurs bulletproof font ainsi de leurs garanties danonymat et de non conservation des donnes un argument commercial. Mme constat pour certains services de monnaie virtuelle qui font de lanonymat et de lopacit leur fond de commerce.
1 : Pedro Verdelho, The Effectiveness of International Cooperation against Cybercrime: Examples of Good Practice, Discussion Paper (Draft), Project on Cybercrime, Council of Europe, March 12, 2008, http://bit.ly/jL0kG6
Quelques pistes
Vers un renforcement de la coopration internationale ?
Llargissement de la Convention de Budapest
Lune des solutions, notamment encourage par les rcentes conclusions du Conseil de lUnion Europenne relatives un plan d'action visant mettre en uvre la stratgie concerte de lutte contre la cybercriminalit , serait la ratification gnrale de la Convention de Budapest par une majorit dtats, permettant ainsi lharmonisation des lgislations et une coopration optimale. Mais ce scnario semble peu probable aujourdhui, bien que les pays rflchissant lamlioration de la coopration soient nombreux. 17 pays de lAmrique du Sud, 14 pays de la zone Carabe et 10 pays asiatiques ont ainsi t invits par le Conseil de lEurope afin de contribuer lvolution de la lgislation. La Convention sur la cybercriminalit de Budapest reste le texte de rfrence : elle a une vocation internationale et plus de 100 pays sen inspirent afin de faire voluer leur lgislation en la matire.
La conclusion daccord bilatraux

Si la Convention de Budapest rassemble encore peu de pays, elle les influence normment, notamment dans la conclusion daccords bilatraux de lutte contre la cybercriminalit. Cest le cas de la Colombie qui a mis en place des outils de coopration bilatrale en la matire avec des pays qui nont pas ratifi la Convention : Chili, Mexique, etc. Actuellement, lAustralie amliore sa lgislation et les pratiques de ses fournisseurs daccs Internet dans le but dintgrer la Convention de Budapest. Le jeudi 10 mars 2011, le Maroc a galement adopt deux conventions relatives la lutte contre la cybercriminalit, visant soutenir la coopration entre les pays arabes. Les tats-Unis et la Russie (qui plaide pour un trait de dsarmement du cyberespace) sont actuellement en discussion afin de concilier leurs approches diffrentes de la cyberscurit et damliorer la coopration. Dbut 2010, la Russie a durci les conditions dattribution des adresses en .ru. Les anciennes conditions dattribution des noms de domaine en .ru, trop laxistes, en avaient fait lextension la plus prise par les spammeurs, lorigine du phishing recueillant les donnes personnelles telles que des identifiants ou numros de cartes bancaires revendre sur les black markets. Peu de temps avant, la Chine avait elle aussi restreint lattribution de ses noms de domaines afin de lutter contre la contrefaon.
Un Schengen du numrique ?
Une solution consisterait permettre, lchelle europenne, un systme similaire au droit de poursuite et au droit dobservation prvu par la Convention de Schengen1. Le droit dobservation (article 40) permet sous certaines conditions de poursuivre une filature sur le territoire dun autre tat membre sur la base dune entraide judiciaire. Le droit de poursuite (article 41) permet sous certaines conditions de continuer la poursuite sans autorisation pralable sur le territoire dun tat voisin. tendre ces possibilits la lutte contre la cybercriminalit reviendrait permettre lofficier de police judiciaire de raliser, sans autorisation pralable, des actes denqute sur des serveurs et espaces de stockage situs dans lun des pays ayant intgr les acquis Schengen. On parlerait alors de Schengen du numrique . Une telle solution prsenterait cependant les mmes lacunes que le systme actuel. En effet, comment savoir si les donnes sont dans ou hors de lespace Schengen ? De plus, il y a toujours restriction de la marge de manuvre de lofficier de police judiciaire. Ce dernier est toujours contraint de sadapter aux frontires de lespace Schengen, alors
1 : Les Accords de Schengen (l'Accord sign le 14 juin 1985, ses protocoles ainsi que les accords d'adhsion des Etats) ont donn lieu l'adoption d'une Convention d'application (Convention Schengen du 19 juin 1990) puis diffrentes mesures de mise en uvre. L'ensemble de ces textes constitue l'Acquis de Schengen.
que ces frontires nont souvent quune ralit concrte trs relative, dans le cyberespace. En fvrier dernier, a t voque, au cours dune runion du LEWP (Law Enforcement Working Party, groupe de travail au sein du Conseil Justice et affaires intrieures de l'Union europenne), la cration d'une frontire virtuelle Schengen . Dans ce projet, les FAI joueraient le rle de douaniers en bloquant tout contenu jug illicite provenant de lextrieur. Ce projet na cependant pas t accueilli favorablement par la critique qui la rapidement compar aux procds employs par la Chine. Mais surtout, cest limpossibilit de mise en uvre du projet qui a t souligne.
Les Nations Unies

Cest pourquoi une autre solution est prconise, cette fois-ci dans le cadre dune approche mondiale et globale. Il sagirait de mettre en place une sorte de Cyber-ONU afin de mieux lutter contre la cybercriminalit1. Cette ONU de lInternet aurait pour fonction premire de dfinir les rgles de lespace Internet. Elle aura arbitrer la rponse informatique offensive quun tat se verra contraint dadopter face des attaques . En effet, de la mme faon quil existe un droit maritime ddi lespace maritime, et un droit arien pour lespace arien, il doit tre cr un droit de lInternet pour le cyberespace. Les Nations Unies jouent dj un rle essentiel dans l'amlioration de la coopration internationale en matire de lutte contre la cybercriminalit. La Commission sur la prvention du crime et la justice pnale a en effet tenu, en 2009, un dbat portant sur la fraude conomique et la criminalit lie lidentit. De plus, le Congrs des Nations Unies davril 2010 au Brsil qui portait sur la prvention du crime et la justice pnale a t loccasion de discuter de la pertinence dun nouveau texte international pour amliorer cette lutte. Mais, comme la soulign le reprsentant de lEspagne au cours de ce Congrs, la rdaction dune nouvelle Convention nest pas ncessaire, lutilisation des outils existant dj la Convention de Budapest dpendant surtout de la volont politique des tats.
1 : Vers une cyber-ONU Entretien avec Christian AGHROUM, commissaire divisionnaire, ancien chef de lOCLCTIC . Bulletin de l'ILEC, n404., Octobre 2009, p. 13.
Lengagement de la responsabilit des tats

En vertu du projet darticles sur la responsabilit de ltat pour fait internationalement illicite adopt en 2001 par la Commission des Nations Unies, il est possible denvisager la mise en uvre de la responsabilit des tats signataires la Convention de Budapest ne respectant pas les obligations en dcoulant. En effet, ds lors quun Etat exprime son approbation un texte international (signature ou ratification), la coutume internationale veut que sa responsabilit puisse tre engage pour tout fait internationalement illicite. Selon larticle 12 du projet darticle, la violation dune obligation internationale consiste dans le manque de conformit entre le comportement requis de ltat par cette obligation et celui quil a effectivement adopt. La violation peut ntre que partiellement contraire lobligation incombant ltat. Elle peut aussi consister dans une omission, ou une succession domissions. Le manquement peut tre un manquement une obligation de comportement ou de rsultat. Ainsi, dans la convention sur la cybercriminalit de Budapest, lorsquun article indique que chaque Partie adopte les mesures lgislatives et autres qui se rvlent ncessaires pour riger en infraction pnale certains comportements dcrits dans cette mme Convention, ltat signataire est contraint de suivre cette disposition. Dans le cas contraire, et comme le prcise larticle 45 de la Convention sur la cybercriminalit, en cas de diffrend sur lapplication de cette Convention, les Parties sefforceront de parvenir
un rglement du diffrend par la ngociation ou par tout autre moyen pacifique de leur
choix ; mais ils pourront aussi opter pour larbitrage, ou encore pour la Cour internationale de Justice. De ce fait, et plus concrtement, un tat signataire ne respectant pas lobligation de larticle 31 de la convention de Budapest imposant la coopration entre tats signataires par la conservation et lautorisation daccs des donnes numriques localises sur son territoire commettrait un acte qui pourrait tre qualifi dinternationalement illicite. Sa responsabilit pourrait tre ainsi engage, notamment s'il tolre lactivit dentreprises qui proposent des serveurs bulletproof se vantant explicitement de la non-conservation des logs de connexion et contribuant ainsi au dveloppement de la cybercriminalit. Ce principe dengagement de la responsabilit internationale dun tat pour tout fait illicite a notamment t affirm par la Cour permanente de Justice internationale dans un arrt du 26 juillet 1927 relatif laffaire de lusine de Chorzow (CPJI, Srie A, n9, p21), mais aussi par le tribunal arbitral dans laffaire du Rainbow Warrior. Le Tribunal avait considr en effet que toute violation par un tat dune obligation, quelle quen soit lorigine, engage la responsabilit de cet tat et entrane, par consquent, le devoir de rparer (Nouvelle Zlande/France, Recueil des sentences arbitrales, vol XX (1990), p. 251, 75).
Pour un modle de scurit actif

La lutte contre la cybercriminalit passera aussi ncessairement par lmergence dun modle de scurit active. Les caractristiques intrinsques du cyberespace (lanonymat, linstantanit, limprvisibilit des effets dune attaque) font en effet que celui-ci privilgie souvent systmatiquement lattaquant sur le dfenseur alors que la stratgie contemporaine est fonde sur une posture dfensive, sur la dissuasion et sur la lgitime dfense. La dissymtrie est importante : le pirate informatique a le choix des armes, tandis que le dfenseur doit imaginer tous les scnarios ; le hacker ne respecte aucune rgle tandis que la victime agit dans un cadre trs contraint. Or dans le cyberespace la dissuasion est impossible ou presque : comment dissuader un adversaire qui est quasiment certain de ne pas tre identifi ? Mme constat pour la lgitime dfense : comment ragir lorsque lon ne peut pas attribuer lattaque ? Comment respecter les sacro-saints principes de simultanit et de proportionnalit de la riposte pour des attaques qui durent quelques millisecondes dans un environnement non prdictif ? Dans ces conditions, un modle de scurit active doit notamment se traduire par : Une meilleure gestion des vnements scurit. Les logs constituent des lments prcieux, frquemment sous-exploits. Tris, analyss, corrls avec des profils de risque, ils permettent souvent de dtecter des signaux faibles. Une surveillance permanente des black markets afin de dtecter le plus en amont possible des attaques les menaant. Les banques ne sont pas les seules concernes par la cybercriminalit. Les compagnies ariennes et de nombreux industriels sont eux aussi victimes de fraudes ou de divulgation dlments susceptibles daffecter la scurit de leurs produits et leur image ; Une lutte renforce contre les outils financiers et logistiques utiliss par les cybercriminels. La chane cybercriminelle implique lutilisation de systmes de monnaie virtuelle et de socits dchange. Moins mobiles que les black markets eux-mmes, ces oprateurs qui constituent le lien entre la criminalit traditionnelle et la cybercriminalit doivent tre des cibles prioritaires pour les actions judiciaires ;
Le renforcement des capacits denqute des services spcialiss tant travers des moyens supplmentaires que grce lamnagement dun cadre juridique appropri ; Le dveloppement, ncessairement discret, de capacits militaires, tant en matire de lutte informatique dfensive quoffensive.
Certaines de ses actions relvent logiquement des missions rgaliennes de ltat. Dautres, en revanche incombent aux entreprises qui sont en premire ligne dans cette lutte.
Pour une vritable stratgie de puissance dans le cyberespace

Ce modle de scurit active doit tre soutenu par une stratgie de puissance globale destine faire valoir et dfendre les intrts franais et europens dans le cyberespace travers des objectifs et des moyens politiques, diplomatiques, conomiques, technologiques et militaires. La lutte contre la cybercriminalit sinscrit en effet dans le contexte plus large dun cybrespace devenu un terrain daffrontement, o les relations entre acteurs doivent aussi sanalyser en termes de rapports de force. Les causes de cette instabilit croissante sont multiples : Internet a chang de taille mais surtout de centre de gravit. Il y a aujourdhui plus dinternautes en Chine quaux tats-Unis. Par ailleurs, Internet qui tait lapanage des pays les plus industrialiss conquiert petit petit toutes les rgions du monde, y compris lAfrique, jusqualors totalement isole au plan numrique ; La domination amricaine semble sroder au plan technologique, industriel, en matire dinfrastructures ou dinnovation. Exemple : le premier supercalculateur est maintenant chinois ; Les technologies et protocoles actuels montrent leurs limites, notamment en termes de scurit ; Les affrontements de tous types sont de plus en plus nombreux ; Alors que lon tait dans un espace essentiellement marchand gr par des techniciens, le politique se rapproprie cet espace. Avec les aspects positifs (rle dinternet dans le dveloppement de la dmocratie, rgulation dun certain nombre de dysfonctionnements) et ngatifs (censure et atteintes la neutralit du net ). Internet a encourag la dilution de la souverainet tatique entre tats, entre tats et entreprises, entre tats et internautes citoyens .
Aprs plus dune dcennie de croissance ininterrompue et harmonieuse, la gopolitique est quon le veuille ou non en train de reprendre ses droits sur Internet.
GLOSSAIRE
Autonomous System - Ensemble de rseaux appartenant une plage dadresses IP particulire sous le contrle dune seule entit, souvent un Fournisseur dAccs Internet (FAI). Les AS sont interconnects entre eux, ce qui forme le rseau Internet. Attaque DDoS (Distributed Denial of Service) - Attaque informatique ayant pour finalit de rendre indisponible laccs un service en le saturant de requtes. Banker Logiciel malveillant permettant la rcupration dinformations bancaires par un pirate informatique. Black Market - Plateforme marchande illgale sur laquelle schange biens, services et renseignements destins la commission dacte cybercriminel. Botnet - Rseau dordinateurs corrompus contrls par un ou plusieurs cybercriminel(s) pouvant tre utilis pour diffrentes finalits : mission de spam, diffusion de phishing ou de malware, fraude au clic, puissance de calcul, attaque DDoS, opration de commerce illicite, etc. Captchas Systmes de contrle visuel ou audio permettant de diffrencier un humain dun programme automatique lors de la validation de formulaires sur internet. Carding - Ce terme anglophone dsigne lensemble des techniques de piratage et de ventes illgales de cartes bancaires. Checkers - Programme informatique qui permet de vrifier la validit dune carte bancaire en effectuant une transaction en gnrale dun faible montant. Cheval de Troie - Un cheval de Troie (appel galement Troyen ou Trojan) est un programme informatique, souvent dapparence lgitime, conu pour excuter subrepticement des actions distance linsu de lutilisateur infect. CMS (Content Management System) - Un CMS est une famille de programme informatique destine la conception et ladministration de plateforme Web ou dapplication multimdia. CVV (Card Verification Value) - Il sagit du cryptogramme visuel situ en gnral au dos dune carte de paiement qui a pour rle de renforcer la scurisation des transactions bancaires. Escrow - Tiers de confiance qui va permettre de finaliser une transaction entre deux personnes nayant jamais trait ensemble auparavant. Exploit Programme permettant un pirate dautomatiser lexploitation dune vulnrabilit dans un programme existant. Exploit kit - Un exploit kit est un pack de programme malicieux qui est principalement utilis pour mener bien des attaques automatises afin de propager des programmes malveillants. ICQ - ICQ est un systme propritaire de messagerie instantane, de VoIP et de visioconfrence dvelopp par la socit Mirabilis. Ce service se distingue notamment par le fait
que les utilisateurs sont identifis par des numros UIN (Universal Internet Number) dlivrs par ordre dinscription, offrant par la mme, une garantie danonymat aux utilisateurs. Iframe - Contraction de Inline frame, lIframe est une balise HTML qui permet d'afficher au sein d'une page Web des informations stockes sur un serveur diffrent. Iter criminis (Chemin du crime) - Processus, tapes franchies par la personne souhaitant commettre une infraction. JABBER - Jabber est un systme dcentralis, libre et gratuit de messagerie instantane fond sur le protocole XMPP (Extensible Messaging and Presence Protocol) permettant de chiffrer les conversations, de crer des serveurs ou encore de naviguer sur des milliers de serveurs Jabber travers le monde. Malware - Contraction de lexpression anglophone malicious et software, un malware est un terme gnrique dsignant un programme malveillant (code, scripts, contenu actif) qui effectue des actions linsu de son utilisateur. Ce terme gnraliste peut aussi bien dsigner un virus, un vers, un spywares, un keylogger, un cheval de Troie, etc. MBR (Master Boot Record) - Egalement appel zone amorce, le MBR est le premier secteur adressable dun disque dur. Il intgre une routine damorage dont la finalit est de charger le systme dexploitation. Money Mule - La Money Mule est une personne qui transfre ou rcupre de largent ou des marchandises pour le compte dautrui, dans le cadre descroquerie dont elle nest souvent pas conscience. Ordinateur Zombie - Cette appellation dsigne un ordinateur contrl distance par un pirate informatique. PABX - Autocommutateur tlphonique priv qui gre de manire automatique les communications entre plusieurs postes tlphoniques. Phishing - Egalement appel hameonnage ou filoutage , le phishing est une technique de fraude reposant sur lingnierie sociale qui vise obtenir les donnes caractre personnel ou bancaires de la victime en se faisant passer pour un tiers de confiance. Le phishing peut employer diffrents canaux de diffusion : sites Web, e-mails, SMS (SMiShing), tlphone, etc. Ransomware - Un ransomware est un type de malware qui vise empcher lutilisateur davoir accs ses donnes ou son systme dexploitation notamment par le biais de techniques de chiffrement des donnes ou par blocage du MBR. Rippers - Le ripper est un cybercriminel qui se fait passer pour un vendeur lgitime sur un site de Black Market ou qui cre de faux sites de Black Market, afin de rcuprer le montant de ces transactions illgales, sans offrir de relles contreparties. SCADA (Supervisory Control and Data Acquisition) Systme informatique permettant la surveillance et le contrle de systmes industriels (nergie, transports, usines, etc.) Serveur Bulletproof - Service dhbergement littralement lpreuve des balles , o le prestataire ne vrifie pas lutilisation faite de lespace allou et garantit la disponibilit du service en dpit des plaintes et/ou injonctions quil pourrait recevoir. Gnralement, le prestataire ne conserve aucunes donne relative lidentification du client.
Serveur C&C - Serveur utilis par un pirate pour contrler distance des ordinateurs quil aura infect. Ces serveurs lui permettent de renforcer son anonymat. Shops - Sites de vente automatise de produits cybercriminels. Ce type de Black Market est gnralement daccs limit et implique un ou plusieurs parrainages. Spam - Selon la CNIL, le spam se caractrise par lenvoi massif et souvent rpt de courriers lectroniques des personnes avec lesquelles lexpditeur na jamais eu de contact et dont il a rcupr les adresses lectroniques de faon irrgulire . Injection SQL - Ukne injection SQL exploite une faille de scurit dune application web en introduisant une requte SQL non prvue. Cette injection permet dinteragir avec la base de donnes de lapplication et ainsi de compromettre sa scurit. Voucher - Systme de paiement lectronique pouvant se prsenter sous la forme dun code PIN reprsentant une valeur montaire. VPN (Virtual Private Network) - Interconnexion de rseaux locaux scurise via tunnel. Ce dernier assure la scurisation du rseau par des algorithmes de chiffrement. Zombie (ordinateur) Ordinateur pralablement infect afin dtre sous le contrle dun pirate informatique, un Botnet est compos de milliers dordinateurs zombies.
PRESENTATION DE CEIS
Cre en 1997, CEIS est une socit de conseil en stratgie et en management des risques qui compte aujourdhui 80 consultants en France. CEIS dispose en outre de plusieurs implantations internationales : Bruxelles, Beijing, Abu Dhabi, Kiev, Astana et Moscou. CEIS s'organise autour de 4 grands ples d'activit : Risques oprationnels : intelligence conomique et financire, management des risques et gestion de crise, scurit des systmes dinformation et business intelligence ; Prospective stratgique : tudes stratgiques et analyse des menaces ; Intelligence publique et territoriale : lobbying, communication, marketing territorial ; Innovation 128 : gestion de linnovation et veille technologique.
Pour dvelopper ses activits en matire de scurit des systmes dinformation et de lutte anti-cybercriminalit, CEIS a cr lquipe Secu Insight qui regroupe aujourdhui une dizaine de personnes : ingnieurs spcialiss en scurit des systmes dinformation, juristes en droit des nouvelles technologies et analystes multilingues. Cette quipe ralise des missions de veille, danalyse et de conseil dans le domaine de la scurit des systmes d'information et de la lutte contre la cybercriminalit. Elle anime galement le site Secu-Insight.fr, un portail d'informations ddi la scurit des systmes dinformation et aux cyber-risques.
cyberL'offre cyberscurit de CEIS
Anticipation
Comprhension des enjeux techniques Veille technologique
Analyse
Tests d'intrusion
Conseil
Recommandations techniques
Comprhension des enjeux "mtiers"
Veille oprationnelle
Analyse de risques technologiques
Etudes darchitectures
Comprhension des enjeux stratgiques
Veille stratgique
Analyse des menaces
Politique de scurit
CONTACTS
Pour toute raction cette tude, pour obtenir plus d'informations sur ce sujet, pour en savoir plus sur nos offres, n'hsitez pas nous contacter. Guillaume TISSIER Directeur du ple Risques Oprationnels 01 45 55 60 29 - gtissier@ceis.eu Nicolas CAPRONI Consultant spcialis en cybercriminalit et scurit des systmes d'information 01 45 55 58 67 - ncaproni@ceis.eu Barbara Louis-Sidney Consultante spcialise en cybercriminalit et scurit des systmes d'information 01 45 55 58 72 - blouis@ceis.eu
Collection Notes tratgiques

Coordination ditoriale : O. ZAJEC
Stratgies et oprations
La France et lquation Rafale Le retour de la stratgie indirecte Les drones : lexemple amricain Les systmes de systmes
Technologies de linformation
Les marchs noirs de la cybercriminalit
Dbats et Politiques publiques publiques

A paraitre
Retrouvez toutes les notes stratgiques sur www.ceis.eu
Compagnie Europenne dIntelligence Stratgique (CEIS) Socit Anonyme au capital de 150 510 - SIRET : 414 881 821 APE : 741 G 280 boulevard Saint Germain 75007 Paris - Tl. : 01 45 55 00 20 Fax : 01 45 55 00 60 Tous droits rservs

Ceis Les Marches Noirs de La Cybercriminalite Juin2011

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ceis Les Marches Noirs de La Cybercriminalite Juin2011

Uploaded by

Copyright:

Available Formats

Collection Notes tratgiques

LES MARCHES NOIRS DE LA CYBERCRIMINALITE

Prface du Gnral darme Watin-Augouard

Technologies de linformation Juin 2011

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 1 sur 73

LES MARCHES NOIRS DE LA CYBERCRIMINALITE

Tous droits rservs Publi en 2011 par CEIS

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 2 sur 73

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 3 sur 73

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 4 sur 73

WatinGnral darme Watin- Augouard

Inspecteur Gnral des Armes Gendarmerie

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 6 sur 73

La face visible de la cybercriminalit

La face cache de la cybercriminalit

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 7 sur 73

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 8 sur 73

Scnario 1 : chantage au dni de service distribu

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 9 sur 73

Face ce type dattaque

Scnario 2 : campagne d'infection massive de sites Internet

Face ce type dattaque

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 10 sur 73

Scnario 3 : vol de base de donnes clients

Face ce type dattaque

Scnario 4 : campagne de phishing

Face ce type dattaque

Scnario 5 : indisponibilit de superviseur

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 12 sur 73

Face ce type dattaque

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 13 sur 73

LES SITES DE BLACK MARKET

Deux grandes catgories

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 14 sur 73

Figure 2 : un forum multilingue

Figure 3 : les rubriques d'un black market

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 15 sur 73

Figure 4 : Message dun employ dhtel proposant ses services

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 16 sur 73

Figure 5 : un cybercriminel dcrit son mode-opratoire de skimming

Figure 7 : proposition d'aide la fraude

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 17 sur 73

Figure 8 : proposition de retrait sur des DAB franais.

Arrestations suite aux dmantlements de rseaux de "money mules"

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 18 sur 73

Figure 9 : un "shop" vendant des cartes bancaires amricaines

Figure 10 : Cartes amricaines prsentes dans un shop.

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 19 sur 73

Figure 11 : un "shop" vendant des cartes bancaires europennes

Figure 12 : shop proposant des cartes bancaires franaises

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 20 sur 73

Figure 13 : proposition de service dinstallation pour le Banker SpyEye

Figure 14 : vente didentifiants de jeux en ligne

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 21 sur 73

Figure 15 : vente de faux papiers sur un site internet

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 22 sur 73

Accs des sites gouvernementaux

Figure 16 : vente d'identifiants des sites gouvernementaux

Les outils des cybercriminels

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 23 sur 73

Figure 17 : Service de ventes de cartes par ICQ

Figure 18 : Service de ventes de cartes par ICQ (2)

Figure 19 : Possibilit de notification par jabber du banker ZeuS

Figure 20 : Serveur Jabber priv d'un black market