Professional Documents
Culture Documents
SOMMAIRE
Sommaire ................................................................................................................................................................ 1 Prface .................................................................................................................................................................... 2 Introduction ............................................................................................................................................................ 7 La face visible de la cybercriminalit................................................................................................................... 7 La face cache de la cybercriminalit ................................................................................................................. 7 Mthodologie ...................................................................................................................................................... 8 Scnarios ................................................................................................................................................................. 9 Scnario 1 : chantage au dni de service distribu ............................................................................................. 9 Scnario 2 : campagne d'infection massive de sites Internet .......................................................................... 10 Scnario 3 : vol de base de donnes clients ...................................................................................................... 11 Scnario 4 : campagne de phishing ................................................................................................................... 11 Scnario 5 : indisponibilit de superviseur ....................................................................................................... 12 Synthse ............................................................................................................................................................ 13 Les sites de black market ...................................................................................................................................... 14 Du site amateur au site professionnel ................................................................................................ 14 Deux grandes catgories ................................................................................................................................... 14 Les produits ....................................................................................................................................................... 20 Les outils des cybercriminels ............................................................................................................................. 23 Les infrastructures : les serveurs bulletproof.................................................................................................... 28 Les acteurs des black markets............................................................................................................................... 33 Entre got du secret et besoin de publicit : une criminalit schizophrne .................................................... 33 Des associations internationales de malfaiteurs ......................................................................................... 34 Des profils trs varis ........................................................................................................................................ 37 Lennemi numro un des cybercriminels : le ripper ......................................................................................... 38 Lconomie des black markets .............................................................................................................................. 40 Les profits des cybercriminels ........................................................................................................................... 40 Un outil cl : la monnaie virtuelle ..................................................................................................................... 43 Un recours aux moyens classiques du blanchiment dargent .......................................................................... 51 Synthse ............................................................................................................................................................ 55 Quelles rponses ? ................................................................................................................................................ 56 Au plan franais ................................................................................................................................................. 56 Au plan international ........................................................................................................................................ 60 Quelques pistes ................................................................................................................................................. 63 Glossaire ................................................................................................................................................................ 67 Prsentation de CEIS ............................................................................................................................................. 70 Contacts ................................................................................................................................................................ 71
RESEARCH PAPER
Technologies de linformation
Compagnie Europenne dIntelligence Stratgique (CEIS) Socit Anonyme au capital de 150 510 - SIRET : 414 881 821 APE : 741 G 280 boulevard Saint Germain 75007 Paris - Tl. : 01 45 55 00 20 Fax : 01 45 55 00 60
PREFACE
L'homme a toujours eu l'ambition de se rendre matre de nouveaux espaces. Il a investi la terre, son premier univers, a conquis la mer, avant de slancer dans les airs et, depuis peu, dans lespace extra-atmosphrique. Chacune de ces aventures lui a permis de goter une nouvelle libert dont il a parfois us, voire abus, avant de comprendre la ncessit dtablir des limites par une rgulation protgeant le plus faible contre la domination du plus fort. Lordre public a dabord organis la vie en socit sur la terre. Il sest tourn vers la mer. Celle-ci a cess dtre une res nullius pour devenir une res communis quil convient de protger, car cest un espace fragile sur lequel le trafic maritime et lexploitation des richesses doivent tre encadrs. Avec le dveloppement de la navigation arienne est n un ordre public qui se manifeste chaque jour davantage sous la pression de la menace terroriste. Laccs lespace extra-atmosphrique est encore le privilge de quelques grandes puissances, mais il ne manquera pas de justifier ldification de rgles internationales au fur et mesure que des activits humaines sy dploieront. Quelque soit lespace considr, lordre public ne peut tre garanti sans un consensus international, condition dune coopration sans frontire. Le cyberespace est depuis trois dcennies, une nouvelle terra incognita. Il est certes un espace immatriel, mais on ne peut nier les consquences matrielles et humaines de son exploration. Les technologies numriques sont dsormais omniprsentes (information, culture, ducation, commerce, industrie, services, sant, scurit, dfense, etc.). Elles sont source de progrs, de croissance si elles sont matrises, mais elles portent aussi en germe des risques de fragilits. Les pionniers ont considr que la libert devait y tre absolue, mais aprs une priode deuphorie, voire dinsouciance, chacun est dsormais convaincu de lurgence dune intervention concerte des acteurs publics et privs afin que le cyberespace ne soit pas livr aux nouveaux prdateurs, que sont notamment les cybercriminels et les cyberdlinquants. Cest justement tout lintrt de ltude mene par CEIS que de dcrire prcisment, grce une observation quotidienne du cyberespace, le fonctionnement des marchs noirs utiliss par les cybercriminels et de lconomie souterraine quils entretiennent. Alors que la cybercriminalit suscite nombre de fantasmes et dides reues, cette tude contribuera sans aucun doute la prise de conscience des pouvoirs publics mais aussi des acteurs conomiques qui sont en premire ligne dans la lutte contre ce flau. Le terme cybercriminalit apparut la fin des annes quatre-vingt-dix, alors quInternet se rpandait en Amrique du Nord. Un sous-groupe des pays du G8 fut form afin dtudier les nouveaux types de criminalit encourags par, ou migrant vers, Internet. La cybercriminalit dfinissait, de manire relativement vague, tous les types de dlits perptrs sur internet ou les nouveaux rseaux de tlcommunications dont le cot chutait rapidement. La cybercriminalit et/ou la cyberdlinquance, qui par ailleurs est celle qui touche le plus les individus, englobe(nt) toutes les infractions pnales susceptibles de se commettre sur ou au moyen dun systme informatique gnralement connect un rseau, savoir :
les infractions spcifiques aux technologies de linformation et de la communication : parmi ces infractions, on recense les atteintes aux systmes de traitement automatis de donnes, les traitements automatiss de donnes personnelles (comme la cession des informations personnelles), les infractions aux actes bancaires, les chiffrements non autoriss ou non dclars ou encore les interceptions ; les infractions lies aux technologies de linformation et de la communication : cette catgorie regroupe la pdopornographie, lincitation au terrorisme et la haine raciale sur internet, les atteintes aux personnes, les atteintes aux biens ; les infractions facilites par les technologies de linformation et de la communication, que sont les escroqueries en ligne, la contrefaon ou toute autre violation de proprit intellectuelle.
Pour contrer la commission de ces actes criminels et dlictueux, sur cette structure plantaire que constitue le cyberespace, outre les lgislations nationales, une coopration internationale s'est difie autour de rgles de droit qui protgent les individus, les entreprises, les organisations internationales, les tats. La plus emblmatique de ces rgles demeure la convention sur la cybercriminalit du 23 novembre 2001, ainsi que son protocole additionnel de janvier 2003, adopte par les pays membres du Conseil de l'Europe ainsi que les Etats-Unis, le Canada, le Japon et lAfrique du Sud et qui vise : harmoniser les lgislations des Etats signataires en matire de cybercriminalit : cette fin, la Convention tablit des dfinitions communes de certaines infractions pnales commises par le biais des rseaux informatiques. complter ces lgislations, notamment en matire procdurale : afin damliorer la capacit des services de police mener en temps rel leurs investigations et collecter des preuves sur le territoire national avant quelles ne disparaissent. amliorer la coopration internationale, notamment en matire dextradition et dentraide rpressive.
Nanmoins, si 42 tats ont sign la convention, seuls 14 ont procd sa ratification fin 2007. Pour appliquer et faire respecter ces rgles juridiques, des organes de lutte ont t mis en place. Ds 1998, a t cr, au sein de la Gendarmerie, le dpartement de lutte contre la cybercriminalit au sein du service technique de recherches judiciaires et de documentation (STRJD). Le 15 mai 2000 a t cr lOffice central de lutte contre la criminalit lie aux technologies de linformation et de la communication (OCLTIC), regroupant policiers et gendarmes, notamment au sein de la plate forme de signalement des contenus illicites sur internet. Chaque force de scurit intrieure a form sur l'ensemble du territoire des personnels, enquteurs N'Tech pour la Gendarmerie Nationale et Investigateurs en Cybercriminalit pour la Police Nationale. Au niveau europen, a t cre en 2004 lAgence europenne charge de la scurit des rseaux et de l'information (ENISA). Situe en Crte, elle fonctionne comme un centre d'expertise pour les tats membres, les institutions de l'UE et les entreprises. Lagence a pour mission de : prter assistance et fournir des conseils la Commission et aux tats membres sur les questions lies la scurit des rseaux et de l'information ;
recueillir et analyser les donnes relatives aux incidents lis la scurit en Europe et aux risques mergents ; promouvoir des activits d'valuation et de gestion des risques afin d'amliorer la capacit de faire face aux menaces pesant sur la scurit de l'information ; renforcer la coopration entre les diffrents acteurs du secteur de la scurit de linformation ; suivre l'laboration des normes pour les produits et services en matire de scurit des rseaux et de l'information.
Malheureusement la lutte contre la cybercriminalit nest pas aise. Il existe plusieurs obstacles juridiques et non juridiques cette lutte. En premier lieu, le caractre vaste des rseaux informatiques, mais aussi la rapidit de commission des infractions, la difficult de rassembler des preuves, et enfin des mthodes dinvestigation et de contrle qui peuvent se rvler attentatoires aux droits fondamentaux, en particulier au droit lanonymat et la libert dexpression. Au niveau juridique, ce qui pose aujourdhui beaucoup de difficults cest le fait quun mme comportement en France et ltranger nest pas pareillement considr. Il peut constituer une infraction dans un pays et pas dans lautre. On peut citer pour exemple, la promotion du cannabis , ou encore la provocation pour surprendre les pdophiles . Cela renvoie un autre problme celui de la loi applicable. En effet, la cybercriminalit bouleverse le principe classique de la territorialit de la loi pnale . La loi franaise sera applicable ds lors quun lment constitutif de linfraction a eu lieu en France (TGI de Paris 17me chambre, 26 fvrier 2002). Ainsi, par exemple, la simple rception par lutilisateur est un lment constitutif de linfraction. Mais sil ny a pas dlment constitutif de linfraction en France, la loi franaise ne sera pas applicable. Il faut alors lutter chaque jour contre les paradis juridiques cyber paradis , pour une meilleure efficacit du droit relatif la cybercriminalit. De mme, toutes les lgislations, et les outils en charge de leur mise en uvre et de leur respect, ne sont que le cadre d'une action individuelle, ou l'homme se doit d'tre inform et responsable de ses actes. Ceci passe par une ducation aux possibilits et dangers des systmes d'information car la cible principale des cybercriminels et dlinquants sera les rseaux sociaux et les tlphones portables. C'est ce que met en avant Symantec dans son rapport annuel danalyse des menaces de la cybercriminalit. Les utilisateurs de Facebook, Twitter et du systme dexploitation de Google Android, sont particulirement vulnrables, selon ltude. Les failles exploitables par la cybercriminalit ont augment de 115% en 2009 163% en 2010. Le nombre dattaques, notamment par la diffusion de virus, demeure nanmoins rduit sur ces programmes, compar ceux commis par e-mail. Les attaques cibles vont aussi se dvelopper. Il sagit de ces piges qui semblent venir dexpditeurs que vous connaissez, sur Facebook, ou par mails. Plus difficiles mettre en place par les cybercriminels, ils sont aussi plus efficaces : vous cliquez plus facilement sur le lien envoy par un ami sur Facebook que par un expditeur dont le mot viagra compose ladresse e-mail. Au total, le nombre dattaques menes sur Internet a augment de 93% entre 2009 et 2010, boost par la prolifration des mini-url, selon Symantec: Elles ne comprennent que rarement un lment permettant didentifier la provenance, plus compliqu donc de distinguer un lien virus dun lien valable. Ces attaques cibles sont les plus susceptibles
LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 5 sur 73
de compromettre les donnes personnelles des internautes. Selon le rapport, la transmission de donnes prives causes par les attaques a dbouch sur le dvoilement denviron 260.000 personnes, soit un nombre beaucoup plus lev que ceux d des pertes accidentelles ou de mauvais systmes de protection. Ainsi, toute dmarche doit placer lHomme au coeur de toute rflexion, de toute action : quoi lui servirait de gagner lunivers du cyberespace sil venait perdre son me ? . La matrise du cyberespace sinscrit dans une stratgie de dveloppement durable(1) qui prserve lavenir des gnrations futures. Elle doit garantir la paix publique mais aussi la paix, car les hommes ont toujours port leurs conflits sur les espaces quils se sont appropris, telle que l'actualit rcente l'a dmontr dans les pays arabes et que rappelait le Prsident de la Rpublique Nicolas SARKOZY lors de son discours du 24 mai 2011, lors de l'e.G8 Forum, "cette rvolution qui a modifi jusqu' notre perception du temps et de l'espace a jou un rle dterminant dans le droulement d'autres rvolutions". Outre la ncessit de promouvoir une prise de conscience collective par une formation l'information, chaque Etat doit se doter de comptences humaines et d'outils qui puissent veiller dtecter en permanence les menaces, dfinir les mesures de protection, dtenir et mettre en uvre des capacits de riposte qui simposent afin de prserver lextraordinaire potentiel de dveloppement dont le cyberespace est porteur et qui doit tre considr comme une chance pour lhumanit quil faut saisir avec loptimisme de la libert et le ralisme de la scurit.
INTRODUCTION
Si la cybercriminalit est au cur de lactualit en raison du dveloppement sans prcdent des technologies numriques et du tout Internet , elle nen reste pas moins une forme de criminalit dont le mode opratoire est extrmement opaque. Les cybercriminels utilisent en effet leur avantage les caractristiques propres Internet : labsence de frontires, lanonymat, la volatilit etc. Si bien que la traque se rvle particulirement complexe. Il est en outre plus ardu de lutter contre un individu subtilisant un euro un million de personnes que contre un individu subtilisant un million deuros une seule personne Le dlit est indolore ou presque et, bien souvent, aucune plainte nest dpose par les victimes.
cartes bancaires, de comptes de jeux en ligne, faux papiers, donnes caractre personnel en tous genres).
Mthodologie
Quelques scnarios, issus pour la plupart de cas rels, permettront tout dabord au lecteur dapprhender ltendue de la cybercriminalit et le rle central des black markets. Dans un deuxime temps seront prsents les diffrents types de black market, les outils utiliss et les acteurs impliqus. Le rle des monnaies virtuelles et lanalyse des liens entre cybercriminalit et criminalit physique traditionnelle feront galement lobjet dune attention particulire. Une dernire partie dtaillera enfin les cadres juridiques franais et internationaux avant de proposer quelques pistes pour lutter contre le flau cybercriminel : renforcement de la coopration internationale, surveillance renforce des black markets et dveloppement dun modle de scurit actif.
SCENARIOS
La mise en rseau des dispositifs informatiques a vu lmergence du cybercrime, une forme de criminalit principalement axe sur lescroquerie, ciblant toutes les sphres de la socit, des simples internautes aux groupes industriels en passant par les institutions gouvernementales. Les scnarios prsents ci-dessous dcrivent les principales tendances actuelles du cybercrime financier, quil sagisse de dtournements de fonds, de chantage ou de revente dinformations personnelles sur des espaces dchanges cybercriminels. Ils ne sont pas exhaustifs et ne sont en aucun cas reprsentatifs de tout le spectre des menaces cybercriminelles. Ces dernires ne sont dailleurs limites que par l'imagination - dbordante de leurs auteurs.
1 : Escrow - tiers de confiance qui va permettre de finaliser une transaction entre deux personnes nayant jamais trait ensemble auparavant.
Mode opratoire - Eric achte sur des espaces illgaux (black markets) des kits de phishing usurpant lidentit de grandes banques. Le kit, dont le prix varie de 10 30 dollars US, imite parfaitement linterface graphique de lentit vise. Il installe ensuite ces kits sur des espaces dhbergement gratuits ltranger, principalement sur des serveurs bass aux Etats-Unis. Paralllement cette opration, Eric met jour une base dadresses lectroniques, cre par ses soins grce des forums et dont lactivit lui permet de rcuprer une centaine de nouveaux mails par jour. Aprs avoir constitu sa base, il envoie - par lintermdiaire dun serveur SMTP autorisant lenvoi demail sans authentification - plusieurs vagues de phishing en usurpant les identits des banques vises. Impacts - Pour Eric, le phishing est la solution idale pour gagner de largent. Il arrive revendre sans difficult les donnes des shops car la demande est en hausse depuis quelques mois. Il considre mme que sa dmarche est thique puisque, selon lui, "ce ne sont pas les clients mais les banques qui sont voles".
1 : MBR (Master Boot Record) Egalement appel zone amorce, le MBR est le premier secteur adressable dun disque dur. Il intgre une routine damorage dont la finalit est de charger le systme dexploitation.
Impacts - Le malware sest propag sur de nombreux ordinateurs. Plus grave, lors dune opration de maintenance sur un systme SCADA1 dun centre de supervision dun rseau autoroutier, un technicien malencontreusement branch une cl USB contenant le ransomware au superviseur principal afin de raliser une mise jour de routine. Suite linstallation de cette mise jour, le redmarrage du superviseur a provoqu une rcriture du MBR, rendant inoprant pendant plusieurs heures le systme de supervision.
1 : SCADA (Supervisory Control and Data Acquisition) Systme informatique permettant la surveillance et le contrle de systmes industriels (nergie, transports, usines etc.)
Synthse
La cybercriminalit est une chane complexe. Dans cette chane, les black markets (en bleu) jouent un rle essentiel, tant en amont pour la prparation des attaques quen aval, pour la montisation des bnfices raliss par les cybercriminels.
Figure 1 : quatre garants sont demands pour entrer dans ce black market.
Un forum se divise en plusieurs rubriques, chacune concernant un sujet particulier. Il est ainsi ais pour un cybercriminel de trouver rapidement toutes les annonces susceptibles de lintresser. On y retrouve notamment des offres concernant des fraudes aux jeux dargent en ligne, du hacking, de lhbergement de sites illgaux ou de serveurs de spam mais galement la vente d'exploits, de malwares, la location de botnets
Les annonces sont visibles par tous les membres qui peuvent se contacter entre eux par message priv puis, une fois le contact pris, converser par ICQ ou Jabber (voir page 24). Les administrateurs dconseillent dailleurs gnralement leurs inscrits dindiquer directement dans leurs annonces les numros ICQ mais nombre dentre eux passent outre cette rgle de scurit. Les participants nont en effet pas tous le mme statut. Par ordre dimportance dcroissant, il est possible de distinguer les administrateurs, les modrateurs, les vendeurs vrifis, les membres reconnus et les invits. Ces derniers ntant recommands ni par ladministrateur ni par dautres membres, ils suscitent invitablement la mfiance : il pourrait sagir de policiers ou de rippers1. Les inscrits peuvent parfois se noter entre eux ce qui permet de passer du statut dinvit celui de membre reconnu. La rputation dun cybercriminel se fait galement au moyen de feedbacks (commentaires) des autres utilisateurs.
1 : Rippers - Le ripper est un cybercriminel qui se fait passer pour un vendeur lgitime sur un site de Black Market ou qui cre de faux sites de Black Market, afin de rcuprer le montant de ces transactions illgales, sans offrir de relles contreparties.
A la fin de lannonce ci-dessus, cette personne (qui possde elle-mme une note +5) indique attendre les feedbacks des utilisateurs qui seront amens traiter avec elle. Le forum peut ainsi tre lorigine de la cration dune organisation criminelle car chaque membre peut trouver le ou les partenaires qui lui conviennent pour des activits dtermines. Le lieu de convergence entre criminalit virtuelle et physique - Un cybercriminel procde des infractions en chane. Le recours un ou plusieurs complices est dautant plus ncessaire que la moindre erreur lun des stades de lopration peut causer un chec. La criminalit traditionnelle fait partie intgrante de ce processus et cest en grande partie au sein des forums que les changes ont lieu entre ces deux formes de criminalit. En amont, cette criminalit peut prendre lapparence demploys malhonntes qui vont se servir de leur situation pour rcuprer des donnes illicites comme des cartes bancaires. Deux exemples : Un employ dhtel en Afrique du Sud a pu copier frauduleusement les donnes des cartes bancaires de ses clients durant la Coupe du monde de football. Dans cette annonce, il les revend avec les informations issues des passeports de ses victimes. [] Je travaille pour un htel haut de gamme dans la ville du Cap, Afrique du Sud et nous avons eu rcemment beaucoup dinvits pour la Coupe du monde de football. Jai pu cloner certaines cartes de crdit et jai aussi toutes les informations apparaissant sur les passeports. Au total, jai environ 37 cartes et la plupart viennent des Etats-Unis, de Suisse, de France, dAllemagne et de Core du Sud [].
Dans un autre cas, les membres francophones du forum sentraident : une personne indique gagner 4 000 $ par mois en fournissant le matriel appropri ( skimmer ) une serveuse qui va lui permettre de rcuprer les donnes bancaires de la clientle.
Phase dexcution - Avoir recours des complices implants dans le pays cible est primordial pour un cybercriminel lors de lexcution de son dlit et pour la phase finale de montisation. Pendant la phase dexcution, cette aide se traduit par de petites actions simples, comme par exemple donner un coup de tlphone pour valider une commande ou recevoir un SMS. Exemple de discussion tire dun forum : une personne voulant frauder Western Union recrute des collaborateurs afin de valider les transferts au tlphone1. Une personne rsidant en France propose de passer ces appels et de fournir occasionnellement une voix de femme pour les fraudes ralises avec des titulaires de cartes bancaires fminines.
Figure 6 : recherche de service de fraudes
1 : Lenvoi dargent par Western Union sur Internet ncessite deux phases : une premire sur le site de la socit et une seconde qui suppose dappeler Western Union par tlphone afin de valider le transfert effectu sur Internet.
Phase de montisation - La phase de montisation est la plus dlicate et suscite dailleurs de trs nombreuses demandes dans les forums. Elle est principalement base sur le systme de mule . Le rle des mules ou money mule est de : recevoir des colis, des virements bancaires, des mandats Western Union, retirer largent un distributeur automatique avec une carte bancaire contrefaite La mule va servir d'intermdiaire et de facilitateur afin de permettre aux cybercriminels de transformer l'argent virtuel en argent rel : il sagit donc de blanchiment d'argent. Exemples : Lorsquun cybercriminel pirate le compte bancaire dun ressortissant franais, il a systmatiquement besoin dune mule possdant un compte bancaire en France pour recevoir le virement frauduleux. Les transferts bancaires sont en effet instantans en France mtropolitaine alors que des virements ltranger ncessitent un dlai de plusieurs jours, ce qui laisse le temps la banque de reprer la fraude. Une fois le virement effectu, la mule retire la somme de
son compte et en envoie une partie par Western Union linstigateur du virement frauduleux. Lannonce ci-dessous propose de retirer le maximum dargent possible des distributeurs automatiques en France au moyen de cartes bancaires dupliques.
On retrouve enfin sur Internet de nombreuses offres d'emploi suspectes sur de vritables sites de recrutement tout fait lgitimes. Elles promettent aux candidats de gagner des sommes d'argent confortables pour du travail domicile. Le travail demand est simple et financirement intressant : il consiste effectuer des transferts d'argent (lectronique, chque...) en gardant une commission (entre 5 et 10%) sur chaque transaction ralise.
Les shops
Les shops sont lautre visage des black markets. Ici, pas dannonces en vrac, pas de contacts entre utilisateurs. Comme leur nom lindique, les shops sont des sites purement commerciaux. Le fonctionnement dun shop est le mme quun site marchand ordinaire : chaque utilisateur possde son propre compte scuris par un nom dutilisateur et un mot de passe et gre ses achats selon ses besoins. Prenons lexemple du carding, c'est--dire de la vente illgale de numros de cartes bancaires, dont le produit-type comprend les lments suivants : les 16 chiffres du numro de la carte, la date dexpiration, le code de scurit (les 3 chiffres au dos de la carte dsigns aussi par les acronymes CVV / CVC / CVV2), les nom et prnom du propritaire, son adresse et son tlphone. Une activit trs lucrative - Ces sites commerciaux , vritable vitrine du carding, se sont multiplis sur la Toile, leur objectif tant de viser le plus large public possible. La prsentation des sites est simple, la recherche dune carte facile : acheter un numro ne prend que quelques minutes. Les administrateurs de ces sites ne sont, en gnral, que de simples revendeurs. Comme tout commerant, ils ont achet auprs de cybercriminels des lots de cartes en gros et les revendent au dtail sur leur site un prix suprieur. Cette activit tant trs lucrative, le nombre de ces sites a tout naturellement explos. Il suffit de comparer le prix dachat en gros dun numro de carte celui propos dans un shop pour comprendre.
Les prix de base pour une carte amricaine varient de 0,50 $ 1 $ lorsque la vente dpasse 1 000 numros. Dans loffre suivante, le prix lunit oscille lui entre 2 et 3 $.
Pour les cartes europennes, le prix est denviron 2 $ si la quantit achete est suprieure 1 000. A lunit, il oscille entre 10 et 15 $. Le prix dpend en fait du pays, une carte anglaise tant souvent moins chre que les autres.
Les produits
Il existe diffrents types de produits vendus sur les sites de black market. De la vente de numros de cartes de crdit aux malware, en passant par la vente de faux papiers ou de comptes de jeux en ligne, tous les secteurs de lconomie sont touchs.
Carding
Les produits les plus courants sont issus du carding. Ce terme anglophone dsigne lensemble des techniques de vols de numros de cartes bleues, en particulier par skimming technique consistant placer un dispositif sur un distributeur automatique de billets (DAB) pour voler toutes les informations saisies par lutilisateur et le phishing opration destine usurper lidentit dune banque pour crer une fausse interface didentification bancaire en ligne. Bien que lon puisse trouver quelques cartes vendues sur des forums, la majorit des espaces de vente sont des shops (voir la section prcdente). Le prix de vente de ces cartes varie fortement en fonction des informations vendues avec le numro proprement dit. Ainsi, peuvent-tre vendus en plus : le nom et le prnom du porteur de la carte, sa date de naissance, la date dexpiration ou encore le CVV. Sur un panel de cinq sites, le prix minimum constat tait de 2,5 $ pour un prix maximum de 15 $ et un prix moyen de 13,21 $.
Au del des cartes sont galement vendus des identifiants de banque en ligne, dont le prix dpend du solde du compte concern. Les prix se situent en gnral entre 150 et 400 .
Les malwares
La vente de malware sur les black markets est de plus en plus courante. Pour accrotre leur march, les dveloppeurs de logiciels malveillants crent des applications qui ne requirent aucune comptence technique. Grce ce concept, baptis CaaS pour Crimeware as a Service, le cybercriminel nest plus ncessairement un technicien et achte le service offert par le produit et non le produit lui-mme. On retrouve ainsi sur les black markets des ransomware, des kits de phishing ou encore des chevaux de Troie.
Comptes de jeux
Sont galement vendus sur les sites de black market des comptes de jeux en ligne. Le prix de ces derniers varie naturellement, comme pour les comptes bancaires, en fonction du solde du compte. Les prix moyens de ces produits oscillent entre 30 $ et 100 $.
Faux papiers
Les sites de black market proposent aussi des faux papiers. Premire catgorie : les scans de papiers didentit lgitimes. Ils peuvent notamment tre utiliss pour louverture de comptes de jeux en ligne. Leur qualit varie fortement, ce qui a un impact sur leur prix. Deuxime catgorie : les pices didentit contrefaites et envoyes sous une forme physique. Les prix sont videmment nettement suprieurs : ils varient de quelques centaines deuros plus dun millier d'euros alors que les scans sont vendus pour quelques dizaines deuros.
Le Spam
Souvent hbergs sur des serveurs bulletproof, ces sites proposent des services denvoi de spam cls en mains. Cela permet au cybercriminel dinonder de nombreuses botes mail en vue dinviter les destinataires se connecter sur un site commercial vendant des produits souvent prohibs. Le prix pay par le client dpend naturellement de la qualit du service de spam auquel il souscrit. Certains de ces services sont mme capables de contourner les captchas1.
1 : Captchas Systmes de contrle visuel ou audio permettant de diffrencier un humain dun programme automatique lors de la validation de formulaires sur internet.
aller jusqu 9 chiffres, certains cybercriminels cherchent dailleurs pour des raisons marketing obtenir des numros plus courts, au point quun march des numros ICQ sest dvelopp. Que ce soit dans les forums ou dans les shops, tous les cybercriminels indiquent leur numro ICQ. Figurant sur la page daccueil du site, il permet de contacter ladministrateur pour sinscrire. Au sein des forums, il donne galement la possibilit tout membre de contacter lauteur dune annonce intressante. Enfin, au sein des shops, il fait plutt office de contact pour le service aprs-vente. ICQ ne permet pas uniquement ses membres de discuter : il est possible d'y trouver des shops totalement automatiss. Cette annonce propose la vente des numros de cartes bancaires. Pas besoin de site Internet, tout se passe par ICQ et ce nest pas une personne, mais un programme automatique qui rpond.
Il suffit pour cela de suivre les commandes proposes par le robot et, comme pour un rpondeur automatique, de taper le chiffre correspondant sa requte : taper 1 pour acheter une carte, 2 pour remplacer une carte invalide, 3 pour crer son compte utilisateur, 4 pour lire les informations inhrentes ce service, 5 pour contacter le support, 0 pour sortir du programme
Le service est en tout point identique celui dun shop car il est mme possible de rechercher un numro de carte par pays ou par banque. Cette multiplication des black markets sur ICQ pourrait poser de graves problmes aux autorits car ils sont beaucoup moins reprables quun site Internet. Jabber - Aprs ICQ, Jabber est devenu le deuxime outil indispensable aux cybercriminels. Bien que proposant aussi une messagerie instantane, il ne peut tre considr comme un concurrent direct dICQ car son emploi nest pas le mme. Construit sur le protocole ouvert XMPP (Extensible Messaging and Presence Protocol), Jabber permet de chiffrer ses conversations, de crer son propre serveur ou de naviguer sur les milliers de serveurs Jabber disponibles travers le monde.
LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 24 sur 73
De plus, il est possible de se connecter directement ICQ depuis Jabber par un systme de passerelle, ce qui pourrait dcider certains cybercriminels continuer utiliser ICQ tout en bnficiant de la scurit et de la performance de Jabber. Jabber a notamment fait parler de lui avec le cheval de Troie bancaire Zeus. Lune de ses versions nomme JabberZeus permettait denvoyer au cybercriminel en temps rel via un serveur Jabber les informations recueillies dans les ordinateurs compromis.
Communiquer via des forums prsente des risques : ces supports peuvent tout moment tre ferms par les autorits. Ils sont galement rgulirement infiltrs par les services de police. Les administrateurs de forums mettent donc en place des rseaux parallles sur Jabber pour organiser des confrences de faon permanente ou occasionnelle. Le forum ci-dessous a par exemple cr son propre serveur sur Jabber et les membres peuvent sy rendre tout moment.
Ces serveurs peuvent tre privs ou ouverts tous les membres dun forum comme lillustrent ces deux exemples : Cr sur Jabber, le rseau ci-dessous nest ouvert quaux modrateurs du forum et aux vendeurs vrifis . La confrence a t cre. [] Le mot de passe [] nest que pour les modrateurs et les vendeurs. Pour les autres, ce ne sera quaprs vrification. La confrence ci-dessous est linverse ouverte tous les membres du forum. On a discut avec Corpse (super modrateur du forum) de la possibilit de crer une confrence sur Jabber et nous avons dcid quil tait temps de se runir et de discuter de tout ce qui est intressant. La confrence aura lieu aujourdhui, le 24/10/2010 21h, heure de Moscou. Le thme de la confrence : discussions sur le matriel de carding, la programmation, les problmes venir, les informations rcentes, lchange dexprience, etc. Toutes les informations
LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 25 sur 73
au sujet de la runion et le mot de passe seront publie une heure avant le dbut [].
Un serveur est particulirement apprci des cybercriminels : thesecure.biz. Scurit et anonymat en sont les mots dordre. Linscription est gratuite mais le site accepte volontiers les dons par Webmoney. Aucune information nest disponible sur le ou les crateurs de ce serveur mais des investigations permettent de relever deux lments majeurs : Le site Internet, localis en Allemagne, est hberg par Hetzner Online AG . Cette socit, bien connue des autorits, a dj pu tre relie plusieurs affaires cybercriminelles : en 2009, lors dune tentative dhameonnage des clients SFR et Neuf Tlcom et en 2010 lors de lenvoi dun cheval de Troie Reporters Sans Frontires par le biais dun courriel ; Le nom de domaine a t enregistr par un certain Sergey Ryabov , rsidant en Russie. Plusieurs dizaines de sites web hbergeant des codes malveillants ont pu tre directement associs cette mme personne.
Figure 22 : un checker
Les checkers peuvent tre des programmes informatiques ou des sites Internet privs ayant des options dutilisation plus ou moins tendues. Il suffit de rentrer les 16 chiffres du numro de la carte, la date dexpiration et parfois le code secret (CVV) pour que la carte soit dclare valide ou non. Une somme gnralement comprise entre 0,01 et 3 $ peut tre prleve mais certains checkers sen dispensent de peur de d'invalider la carte. Certains checkers proposent en option de savoir quel est le montant maximal autoris par la carte. Si le cybercriminel dsire par exemple procder un achat de 2 000 euros sur Internet, il pourra ainsi demander une pr-autorisation de paiement afin de savoir si le montant peut tre support ou non. Tout fait lgal lorigine, ce systme est utilis dans de nombreuses professions (bijoutiers, magasins de luxe, location de vhicules).
Autre option : le checker permet de savoir si une carte est vrifie par Visa Verified ou par Mastercard Secure Code. Selon le site Internet vis, le cybercriminel pourra en effet choisir dutiliser une carte non relie au systme de vrification utilis. A noter que les cartes sont parfois directement vendues avec ces dtails. Ces deux dernires options (pr-autorisation de prlvement et systme de vrification de la carte) intressent au premier plan les cybercriminels qui achtent leurs propres checkers.
Le shop fut ferm de nombreuses reprises et dut mme faire face une clientle protestant contre les non-remboursements de certaines cartes non valides. Le 12 fvrier 2011, une dfaillance technique avec le checker amne au contraire ce dernier rembourser automatiquement les clients, y compris ceux ayant achet des cartes valides. Certains utilisateurs peroivent la faille et vident littralement le shop dune partie de ses cartes sans rien payer. Ladministrateur est furieux : les clients concerns sont bannis du site et, moins de rembourser, ne pourront plus y accder. Les adresses IP sont releves afin de ne pas leur permettre douvrir un nouveau compte sans sacquitter de leur dette.
Le protocole DNS a initialement t conu pour faciliter la mmorisation dadresses Internet. Pour se connecter un site, il faut connatre son adresse IP. Or, le format de ces adresses est loin dtre simple mmoriser. Ainsi, le protocole DNS permet dassocier une adresse IP une URL qui est plus littrale et plus facile mmoriser quune suite de chiffres. Par exemple, ladresse IP de Google 66.249.92.104 est associe lURL www.google.fr. Pour assurer la haute disponibilit de leurs ressources, les pirates ont utilis les failles du protocole pour associer plusieurs adresses IP une URL. Derrire une seule et mme URL se cachent ainsi de nombreux serveurs rpartis dans le monde entier. Cest la technique du fast flux. Il est donc trs difficile didentifier ces serveurs et ds lors de les faire fermer.
Cette technique est notamment utilise pour les campagnes de phishing. En hbergeant le site dhameonnage sur plusieurs serveurs accessibles via une mme URL grce au fast flux, les fraudeurs accroissent fortement le temps de prsence sur Internet du site malveillant. Cette continuit de service augmente ainsi proportionnellement leurs revenus. Ils en profitent dailleurs parfois pour hberger dautres types de contenus illicites comme des images pdopornographiques ou des codes malveillants. Une autre utilisation classique des serveurs bulletproof est la mise en place de serveurs de C&C (control and command1) pour contrler les ordinateurs contamins par un cheval de Troie. Grce ces serveurs, le pirate peut raliser toutes les actions quil dsire sur les machines zombies tout en restant anonyme. Il va en particulier pouvoir voler sans crainte les identifiants bancaires et les comptes mails de ses victimes. Pour renforcer laccessibilit et lanonymisation des serveurs C&C, les pirates ont galement mis en place un maillage upstream qui camoufle au maximum les serveurs malveillants et leur assure une trs bonne connectivit Internet. Avec cette architecture, les serveurs bulletproof ne sont en fait pas directement connects aux fournisseurs daccs Internet mais une srie de serveurs, dit upstream providers , qui sont connects Internet et interconnects entre eux. Ces serveurs upstream sont tout fait lgaux, si ce nest quils sont volontairement connects aux serveurs bulletproof. Aucune action malveillante nest directement diligente depuis ces serveurs. Avec ce maillage, si lun des serveurs upstream providers est dconnect dInternet, le serveur bulletproof sera toujours reli la Toile via un autre serveur et sera de fait toujours en mesure de contrler les serveurs C&C et les ordinateurs zombies. Cette technique rend encore plus difficile la localisation des serveurs malveillants.
1 : Serveur C&C - Serveur utilis par un pirate pour contrler distance des ordinateurs quil aura infect. Ces serveurs lui permettent de renforcer son anonymat.
Les ordinateurs contrls depuis les serveurs C&C du serveur bulletproof forment un botnet. Profitant alors de plusieurs milliers, voire de plusieurs dizaines de milliers dordinateurs, les pirates peuvent lancer des attaques DDoS massives. Ces attaques connaissent aujourdhui un large succs. Au-del des attaques DDoS but conomique, dj bien connues, la force de frappe quapportent les serveurs bulletproof fait de cette technique une relle arme de guerre. Des pirates dorigine russe nont pas hsit la mettre en uvre lors du conflit russo-gorgien de 2008. Les serveurs bulletproof permettent donc dindustrialiser des techniques dattaques dj anciennes mais toujours efficaces. La tendance du march est dailleurs la vente de solutions clefs en main. Des utilisateurs nayant pas de comptences particulires en informatique peuvent ainsi, sans grandes difficults, se lancer dans la cybercriminalit et en tirer une source de revenus illgaux non ngligeables, par exemple en louant un serveur ddi pour 250 $/mois chez spamhost.com, un clbre serveur bulletproof, afin dhberger un site de phishing et de lancer des campagnes de spam via le service xrumer. Les serveurs bulletproof contribuent donc clairement lmergence du CaaS ou Crimeware As A Service.
Lutter contre les serveurs bulletproof - Le cur dInternet est constitu de rseaux indpendants interconnects les uns aux autres. Ces rseaux sont appels Autonomous System ou AS et sont rpartis en trois catgories : Les Tier-1 : AS de niveau international. Ils s'interconnectent entre eux ou se connectent avec les Tier-2 les plus vastes soit directement soit via des Network Access Point (NAPs). Les Tier-2 : AS de niveau national ou rgional. Ils sont interconnects entre eux et sont connects aux AS Tiers-1 et 3. Les Tier-3 : AS de niveau local.
Les pirates ont dj russi compromettre certains AS Tier-3 en prenant le contrle des serveurs qui en dpendent. Ces AS malveillants , qui sont par dfinition connects des AS sains et lgaux, contribuent ainsi au bon fonctionnement dInternet en participant au routage de lensemble des flux, quils soient lgitimes ou criminels.
Figure 29 : illustration d'un rseau avec des AS. Si seul l'ASXXX2 est malveillant, il fait transiter de nombreux flux lgitimes, en particulier tout ceux mis par, et destination de l'ASXXX5
Pour dtecter ces AS corrompus, les mieux arms sont les FAI qui les grent. Ceux-ci peuvent par exemple surveiller les flux et dtecter toute augmentation anormale du trafic vers des plages dIP qui appartiendraient lun deux.
Figure 30 : localisation des serveurs malveillants identifis par Malware Domain List durant le mois davril 2011
Mais aprs la dtection et lidentification, toute la difficult est de pouvoir dconnecter lAS malveillant. Couper simplement les connexions des AS bulletproof identifis aurait en effet une double consquence. D'une part, cela bloquerait tous les flux entrants et sortants de cet AS, y compris les flux lgitimes. Dautre part, pour permettre aux flux lgitimes datteindre la bonne destination, il faudrait revoir les tables de routage de chaque routeur afin de contourner lAS qui aurait t banni dInternet. Une telle opration gnrerait donc des cots trs importants et risquerait de provoquer un ralentissement du trafic Internet mondial avec dinvitables pertes de paquets, faute de table de routage jour. De surcrot, les AS bulletproof hbergeant aussi bien des contenus malveillants que lgaux, la mesure aurait galement pour consquence de rendre dfinitivement inaccessibles certains contenus licites.
D'un autre ct, la cybercriminalit cherche aussi la discrtion et le secret. La moindre question fera redouter la prsence dun policier infiltr et les sites seront ferms, rompant toute possibilit de prise de contact. Voici par exemple quelques unes des recommandations dun administrateur de black market ses membres : ne communiquer personne ladresse du site et ne pas parler de son existence, indiquer ladministrateur tout site Internet o un commentaire serait fait sur son black market ainsi que le nom de lauteur du message .
Ce comportement paradoxal ne sexplique pas simplement par la division existant entre les pirates novices, traditionnellement plus bavards, et la criminalit organise, par essence plus discrte. Les cybercriminels aguerris aiment aussi sexposer aussi bien pour vendre leurs trouvailles au grand public que pour recruter des dbutants pour certaines oprations. Vaste rseau, la cybercriminalit fait appel de multiples protagonistes mais le rle et limportance de certains dentre eux sont mconnus. En matire de carding, on oublie ainsi souvent le rle cl jou par certains individus dans le vol physique de donnes bancaires. Les liens entre cybercriminels et organisations mafieuses nont galement jamais pu tre tablis avec certitude. De mme quil est difficile de prouver le lien entre certaines attaques informatiques et les services tatiques de tel ou tel pays rgulirement montr du doigt.
Les facteurs motivant les choix des cybercriminels dans leurs partenariats sont multiples et complmentaires.
Le facteur de comptences
Mme des actions simples requirent de multiples comptences. Or un cybercriminel ne peut pas matriser tous les savoir-faire : piratage informatique, hbergement de serveurs, cration de faux documents et de sites web, blanchiment dargent, etc. Les cybercriminels se spcialisent donc dans lune ou lautre de ces activits et prfrent partager leurs gains dans une opration russie plutt que de courir un risque dchec en tentant de matriser toute la chane. Dans une affaire rcemment juge aux Etats-Unis, un cybercriminel nomm Gonzalez faisait ainsi appel au dnomm Maksik pour vendre les numros de cartes quil avait pirates. Il avait galement acquis un sniffer auprs de Stephen Watt (programmeur
Morgan Stanley) et avait collabor durant deux ans avec des pirates dEurope de lEst afin de dchiffrer des codes PIN. Quant la partie blanchiment dargent, elle tait gre par un Amricain du nom de Zaman.
Le facteur temps
Le fait que chaque cybercriminel soit affect un rle prcis diminue fortement la dure de ralisation de linfraction. Cette rapidit dexcution est indispensable pour ne pas laisser le temps aux socits ou particuliers viss de prendre conscience quils ont t victimes dune attaque informatique. Elle permet de plus de dplacer des liquidits en un temps minimal, ce qui rduit le risque de voir les autorits bloquer ces circuits financiers illgaux.
Le facteur risque
La rponse pnale peut tre trs variable selon lactivit laquelle sadonne un cybercriminel, comme en tmoignent les peines trs htrognes prononces aux tats-Unis lencontre de Gonzalez et de ses complices. Stephen Watt, le crateur du sniffer ayant permis Gonzalez de pirater des millions de numros de cartes de crdit, na t condamn qu deux ans de prison. Cet ingnieur informatique travaillait pourtant pour la banque dinvestissement Morgan Stanley, ce qui aurait pu tre considr comme une circonstance aggravante. Il ne pouvait en outre ignorer lutilisation qui serait faite de son sniffer. Gonzalez a t condamn 20 ans de prison. Le hacker tait dj bien connu des autorits et cette lourde peine ne fait que traduire la tolrance zro des tats-Unis envers le piratage de donnes bancaires. Zaman, charg de blanchir largent de Gonzalez, a t condamn 46 mois de prison. Celui-ci bnficiait dune commission de 10% sur tous les bnfices de Gonzalez et travaillait lui aussi dans le secteur bancaire (Barclays Bank).
Les risques encourus expliquent que certains cybercriminels se refusent raliser euxmmes des oprations simples comme des retraits despces avec des cartes bancaires falsifies. Le risque dtre identifi par les camras de vidosurveillance des distributeurs automatiques est lev. Do le recours des mules charges de recevoir des virements bancaires ou des mandats Western Union. Ces dernires sont dailleurs souvent prsentes comme des victimes malgr les larges commissions quelles peroivent.
Il nexiste donc pas forcment de corrlation entre limportance du risque pnal et le montant des bnfices reus. Chacun value le risque quil est prt courir et le montant de cette prise de risque mme si des pourcentages-type peuvent tre dfinis. Pour recevoir un virement bancaire sur son compte, le partage est ainsi gnralement fix 50 %.
Pour les transferts provenant de Western Union ou Money Gram, les mules employes peroivent une commission de 8 10 % du montant total de la transaction. Pour le retrait despces un distributeur automatique, la commission est, elle, comprise entre 50 et 75 %.
Ces pourcentages peuvent cependant tre trs variables selon la frquence des transactions entre les deux parties et le montant des oprations.
Le facteur gographique
Les cybercriminels ne sont limits par aucune frontire et peuvent viser le pays de leur choix. La distance gographique ne constitue pas un frein mais un avantage car elle permet de se protger dventuelles poursuites, la coopration internationale tant encore restreinte en matire de lutte anti-cybercriminalit. Il est cependant souvent ncessaire de faire appel un complice dans le pays vis pour certaines actions impliquant une prsence physique (rception de marchandises, retrait en liquide de virements bancaires,etc.). Dans chaque forum, des rubriques sont ainsi consacres aux offres et recherches demplois .
Les forums Internet jouent donc clairement un rle de facilitateur dans ces associations internationales de malfaiteurs . Gonzalez a ainsi li connaissance avec tous ses complices dans les forums, lexception de Stephen Watt quil connaissait dans le monde rel .
Avantage cl : dans le shop, les numros de cartes mis en vente ne seront que ceux ngocis entre les administrateurs et les vendeurs dj connus du forum. Le risque de ripping est nul et il nest pas ncessaire de partir la recherche de vendeurs de cartes bas prix. Le forum compte plus de 3 800 membres qui sont autant de clients potentiels pour le nouveau shop. Un tel dveloppement tmoigne dun vritable savoir-faire marketing.
Il est aussi possible de sadresser directement ladministrateur pour acheter des quantits importantes de numros sans passer par le site. Lappt du gain a mme amen les dirigeants se franchiser en proposant la vente le script de leur site pour des personnes dsirant ouvrir leur propre shop.
Cette organisation artisanale ne signifie pas pour autant moins de bnfices. Ce dernier shop est trs populaire et les utilisateurs lui ont donn bonne rputation.
ctait lun des dix meilleurs sites dans le monde mais il y en a plus dune centaine que nous connaissons et une autre centaine que nous navons pas encore dcouvert.
Ils ne font en fait que profiter des failles inhrentes au commerce lectronique : toutes les transactions seffectuent entre des personnes qui ne se connaissent pas dans le monde rel .
Ce black market proposant la vente des donnes bancaires est ainsi un faux. Aprs avoir pay 100 $ dinscription, le client saperoit quil est impossible daccder au site. Ce cas est loin dtre isol et de nombreux sites svissent ainsi sur la Toile.
Les rippers sont prsents tous les stades de la cybercriminalit. Mais une solution a t mise en uvre1 pour scuriser les transactions : le recours aux escrow services . Un escrow peut tre dfini comme un tiers de confiance qui va permettre de finaliser une transaction entre deux personnes nayant jamais trait ensemble auparavant. Exemple : un hacker propose de vendre des numros de cartes de crdits un individu. Le hacker ne veut pas envoyer les numros de cartes le premier car il a peur de ne pas tre pay. Quant au client, il ne veut pas payer dabord car il redoute que le hacker ne lui envoie pas les numros de cartes attendus. Afin dviter des discussions sans fin et minimiser les risques de part et dautre, lescrow va prendre part aux termes de lchange : le hacker va lui envoyer les numros de cartes, le client largent. Lescrow sassure alors que les conditions de la transaction sont respectes. Une fois les vrifications termines, il procde aux changes. Dans la majorit des forums, des services descrow sont recommands directement par les administrateurs. Dans lexemple ci-dessous, le tiers de confiance se rmunre par un prlvement de 5 % sur le montant total de lchange.
1 : Les membres dun forum ont gnralement diffrents statuts, ce qui permet thoriquement de reconnatre les personnes dignes de confiance . La majorit des membres des forums possdant le statut dinvits, cela ne permet cependant pas de rsoudre le problme des rippers.
Figure 42 : Exemple dun escrow service recommand dans un forum. LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 39 sur 73
Maksik est-il une exception ? De nombreux administrateurs de shops peuvent-ils faire des bnfices aussi considrables ? Les lments ci-dessous rsultent de lobservation dun shop de taille moyenne durant un mois. La mthode a consist relever le nombre de cartes proposes au dbut du mois de janvier 2011 et la fin du mois, calculer combien de cartes avaient t vendues et relever leur prix, celui-ci dpendant la fois du pays et du type de carte (Visa, Mastercard, AMEX).
En un mois, 30 180 numros de cartes ont t vendus pour un chiffre daffaires total de 193 752 $, soit 1 006 numros achets quotidiennement. Lexistence de ce site remontant au minimum au 15 novembre 2009, il est possible dvaluer les profits dj raliss par le ou les propritaires. Sur une dure de quatre ans, le site aurait donc pu gnrer 9 300 096 dollars, soit un revenu proche de celui de Maksik.
Tous les sites nont cependant pas le mme niveau dactivit, certains proposant la vente un nombre bien infrieur de numros de cartes. Un nouveau shop peut toutefois crotre trs vite. Lhistorique du site ci-dessous permet par exemple dobserver sa progression. Ouvert depuis le 10 dcembre 2010, le site ne proposait ses dbuts que 1 745 numros de cartes. Le 27 janvier 2011, 4 570 numros sont ajouts, lactivit du site commenant se dvelopper. Le succs a ensuite t rapide car deux semaines plus tard, 27 872 numros supplmentaires taient mis en ligne.
Autre exemple de niche cybercriminelle : la fraude aux compagnies ariennes. Certains individus proposent de rserver en ligne des billets davion avec des numros de cartes obtenus frauduleusement. Les voyageurs rmunrent le cybercriminel selon un pourcentage du prix total du billet (dans lexemple ci-dessous pour 20 30 % du prix).
Quels sont les revenus gnrs par ces activits ? Sont-ils plus levs que ceux provenant de la vente de donnes bancaires ? La difficult de lexercice rside dans le fait quune part importante de ces transactions se fait gnralement par ICQ, Jabber ou courrier lectronique et quaucune trace de cette activit napparat ainsi sur le site web proprement dit. Le faible nombre denqute complique encore singulirement les choses. La relative impunit dont jouissent certains de ces sites est dailleurs inquitante. Mais elle traduit une ralit : nombre de ces dlits ne font lobjet daucune poursuite. Plusieurs raisons peuvent tre avances : les victimes ne portent pas plainte ; le cot des enqutes est parfois suprieur celui de la fraude ; la coopration internationale est insuffisante ; faute de disposer des moyens adquats, les pouvoirs publics ont dautres priorits, etc.
Dfinition
QuestQuest - ce que la monnaie virtuelle ? - La monnaie virtuelle utilise dans les marchs noirs de la cybercriminalit ne pas confondre avec la monnaie virtuelle servant dans les jeux multi-joueurs en ligne sur Internet ou des simulations comme Second Life (qui utilise le Linden Dollar) est une solution qui permet, grce au porte-monnaie virtuel qui sy rattache, de raliser des achats en ligne sans communiquer ses coordonnes bancaires.
Le succs de la monnaie virtuelle sur les black markets - Initialement prvue pour simplifier les transactions - lgales - sur Internet (pour les internautes ne disposant pas de carte bancaire ou ne voulant pas lutiliser), son utilisation prsente des avantages non-ngligeables pour le cybercriminel : simplicit, anonymat et opacit, fiabilit et scurit.
La monnaie virtuelle la plus rencontre actuellement dans les Black Markets est Liberty Reserve. Son importance est telle que lorsque le site de la socit ne fonctionne plus, cest toute lconomie cybercriminelle qui sen retrouve perturbe. Dans le commentaire ci-dessous, un carder voque ainsi la rcente panne de Liberty Reserve du 31 mars au 5 avril 2011 et le manque gagner que cela reprsente pour lui. Je ne suis pas inquiet du tout de ne pas retrouver mon compte (Liberty Reserve) comme je lai laiss mais perdre du temps dans notre profession cest perdre de largent.
LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 43 sur 73
Cest une leon pour moi que de ne compter que sur une seule monnaie virtuelle. Je vais retirer mon argent ds que possible et garder uniquement dans mon compte le montant ncessaire pour des oprations quotidiennes. Pour moi, carder, si je ne peux pas me servir de Liberty Reserve pour acheter des dumps, cela va reprsenter dici le weekend une perte de 3000 4000$.
Liberty Reserve - Avec le changement dorientation stratgique de Webmoney, Liberty Reserve est dsormais lunique monnaie de rfrence. La socit est localise au CostaRica, pays trs peu coopratif et faisant partie de la liste noire des paradis fiscaux de
LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 44 sur 73
lOCDE. Ladresse du sige de la socit indique sur le site Internet serait dailleurs fausse et peu dinformations sont disponibles sur son fonctionnement. Les deux propritaires de la socit oprent en outre sous de faux noms. Le propritaire officiel, Amed Mekovar, se nommerait en ralit Ahmed Yassin, citoyen marocain poursuivi dans son pays pour des dlits relatifs au scam. Le vritable propritaire serait en fait Ragnar Danneskojold, de son vrai nom Vladimir Kats. Ce dernier est bien connu dans le monde des monnaies virtuelles et de la justice amricaine car il a t arrt en 2006 pour blanchiment dargent et exercice de la profession dintermdiaire financier sans licence. Alors quil tait la tte de Goldage, site Internet dchange de monnaies virtuelles, il aurait transfr globalement au moins trente millions de dollars sans effectuer aucune vrification didentit1. Sauf difficults imprvues, Liberty Reserve va trs certainement simposer comme monnaie de rfrence pour les cybercriminels pour une longue priode. Ses dirigeants ont en effet pour stratgie de refuser dimposer une quelconque contrainte leurs clients, que ce soit en termes de vrification didentit ou dinformations sur lorigine des fonds. Liberty Reserve a dailleurs toutes les faveurs de son pays daccueil qui bnficie en retour de ses largesses. En tmoignent un don de plus de 80 000 dollars vers lEtat en 2009 pour aider la reconstruction du pays aprs un tremblement de terre, le sponsoring dune quipe locale pour un marathon et le soutien apport aux orphelins et enfants dfavoriss en 2010. Un parallle peut tre effectu avec les mafias classiques qui se proccupent souvent des problmatiques sanitaires et sociales afin davoir une meilleure implantation.
1 : Source : http://bit.ly/iQCgX4
Paiements automatiss
Sur le site de Liberty Reserve (cf. copie dcran ci-dessous), une application gratuite permet de doter son site web dun systme de paiement automatique.
Les achats de donnes frauduleuses ainsi que leur remboursement lorsque celles-ci sont dfectueuses se font automatiquement. Il nest en aucun cas ncessaire de faire appel ladministrateur du shop.
Ce systme a donc permis la cybercriminalit de se dvelopper rapidement puisquil rend possible des ventes massives un nombre important dutilisateurs. Webmoney propose dailleurs exactement la mme application pour son service mais la socit a fini par bloquer les comptes relis directement des shops. Il est en effet trs ais pour ces socits de contrler le caractre frauduleux ou non des sites sur lesquels leur application est installe. Seuls quelques sites continuent de proposer Webmoney comme monnaie dachat comme ce shop qui propose daccepter uniquement les paiements par Webmoney pour les clients importants.
Paiements manuels
Lorsque des cybercriminels se rencontrent dans des forums, ils prennent par la suite contact sans intermdiaire par ICQ ou Jabber. Si une transaction doit se concrtiser, le cybercriminel qui dsire vendre une donne ou fournir un service indiquera lacheteur son numro de compte Liberty Reserve et ce dernier pourra, en se connectant de son propre compte, lui transfrer largent manuellement. Ces transactions sont plus ponctuelles et concernent des oprations prcises. En cas dassociation de cybercriminels pour une fraude prcise, chaque intervenant sera par exemple rmunr sur son compte Liberty Reserve sil le souhaite.
Analyse du processus
La cration de compte
Opacit - Crer un compte sur Liberty Reserve est rapide, simple et nexige aucune vrification didentit. Lanonymat et lopacit sont de rigueur. Liberty Reserve est trs pris des cybercriminels parce que ces critres se retrouvent toutes les tapes dutilisation du service, de la cration de compte son approvisionnement, jusqu la ralisation dun achat en ligne. Lutilisation dun VPN ou autre moyen danonymisation de la connexion permet de ne laisser aucune trace de son point de connexion. Les informations requises pour linscription ne sont pas vrifies par les administrateurs du site. Les champs First Name et Last Name peuvent tre remplis avec des alias. Ladresse mail exige pourra tre cre pour loccasion. Cette adresse servira de point de contact avec Liberty Reserve qui y enverra des courriels de vrification, des codes, etc.
Une fois le compte valid, lutilisateur obtient un numro de compte (par exemple : U3346079) qui lui permettra deffectuer des transactions avec dautres individus disposant eux-mmes dun compte Liberty Reserve.
Scurit - Liberty Reserve enregistre les adresses IP des terminaux accdant au compte. Ainsi lutilisateur peut surveiller lhistorique de ses connexions et ragir toute tentative dintrusion. Une option permet de bloquer automatiquement le compte lorsquune IP inhabituelle est dtecte. En cas de piratage, il est aussi possible de faire appel un service durgence qui va geler le compte et viter lutilisateur de perdre ses gains par un transfert frauduleux. En effet, tous les virements effectus par Liberty Reserve sont instantans, dfinitifs et non remboursables. Par consquent, toutes les oprations se feront avec demande rgulire dauthentification, combinant mot de passe, code PIN et master key (cf. copie dcran ci-dessous). Ces mesures visent rassurer lutilisateur sur la scurit de son compte car, tant enregistr de faon anonyme, toute usurpation du compte ne pourra pas tre prouve et donner lieu un ddommagement.
Lapprovisionnement - Pour effectuer des achats, le compte Liberty Reserve devra tre approvisionn mais le site de Liberty Reserve ne permet pas dalimenter son compte directement. Pour ce faire, il faudra passer par un site Internet appel socit dchange qui alimentera le compte Liberty Reserve du client directement par un virement de son propre compte Liberty Reserve. Le moyen le plus usit est de payer directement la socit dchange par un voucher ou une carte prpaye. Il existe pour ce faire des services comme Ukash qui permettent, aprs paiement sur un site dchange, dobtenir un virement quivalent sur le compte Liberty Reserve. Dautres options sont galement disponibles mais intressent moins les cybercriminels en raison de leur lenteur.
Trs rapide, la conversion dun bon Ukash en Liberty Reserve est dans la majorit des cas instantane. Le site effectuant lopration rcupre une commission sur le montant chang. Exemple dun site dchange automatique : le client saisit le numro du bon Ukash quil a achet (voucher code) ainsi que sa valeur (voucher value). Il indique ensuite son numro de compte Liberty Reserve et la socit procde un virement instantan.
Laffaire Gonzalez a mis en vidence le rle de ces socits dchange : Maksik revendait directement les donnes voles par Gonzalez dans son shop. Ce dernier proposait de payer automatiquement par Webmoney ou E-gold. Ces deux comptes de monnaies virtuelles taient donc la proprit de Maksik. Afin de reverser une partie des bnfices Gonzalez, Maksik transfrait une partie des sommes contenues dans ses comptes E-gold et Webmoney une socit dchange. Cette socit reversait ensuite des mules employes par Gonzalez aux tats-Unis la somme change sous forme de virement bancaire, mandat Western Union ou chque postal.
Un march florissant
Le march des monnaies virtuelles sest dvelopp trs rapidement sans que la rglementation ne suive. Les internautes sont dailleurs de plus en plus nombreux utiliser ces monnaies sur le web pour des achats tout fait lgaux, certains estimant le procd plus sr que la carte bancaire. Cest tout naturellement que ces nouveaux paiements anonymes ont attir les criminels. Certaines socits dchange sont parfois poursuivies par la justice pour blanchiment dargent. Dans la pratique, cette incrimination est cependant fragile, une socit dchange pouvant difficilement contrler lorigine des fonds qui lui sont transfrs. Entre 2002 et 2005, la socit dchange Western Express International cre New York avait par exemple sduit une clientle dorigine russe qui sest rvle tre compose pour sa majeure partie de cybercriminels. En quatre ans, 35 millions de dollars ont ainsi circul travers les comptes de la socit. Provenant de multiples fraudes, cet argent tait renvoy par la socit en Russie par E-gold ou Webmoney. Les dirigeants de Western Express ont refus dtre considrs comme les responsables de ces fraudes, arguant du fait quils ne connaissaient personnellement aucun des clients ayant eu recours leur site1.
1 : Source : http://bit.ly/iXFSf7
Conclusion
La monnaie virtuelle joue donc un rle central dans le fonctionnement des black markets. Elle est insaisissable, difficile tracer et permet aux cybercriminels, en leur garantissant lanonymat, deffectuer leurs transactions sans risque. Mais les bnfices des ventes sur les marchs noirs de la cybercriminalit ne restent pas longtemps virtuels. Le vendeur devra, pour rcuprer le rsultat de ses ventes, faire appel diffrents acteurs (mules, etc.). Ces derniers lui permettront, aprs plusieurs opraLES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 50 sur 73
tions financires, de passer de la monnaie virtuelle la monnaie relle et de renouer avec la criminalit classique. Si elles sont fondamentales pour lconomie de la cybercriminalit, les monnaies virtuelles ne suffisent donc pas. Lorsquil faut convertir cet argent virtuel en monnaie relle, les cybercriminels ont recours Western Union et aux virements bancaires. La cybercriminalit rejoint ds lors la criminalit classique qui utilise aussi majoritairement ces deux procds afin de blanchir largent issu dactivits frauduleuses.
Western Union
Western Union est une socit financire base aux Etats-Unis. Disposant denviron 270 000 points de prsence dans plus de 200 pays, elle permet lenvoi instantan dargent liquide travers le monde. Le fonctionnement de la socit est simple : une personne rsidant dans un pays A se rend dans un point Western Union et indique le nom, prnom et pays du bnficiaire. Elle remet lagent Western Union le montant en liquide quelle dsire faire parvenir au bnficiaire rsidant dans un pays B. Le bnficiaire peut immdiatement se rendre dans une agence de son pays pour y retirer ce montant en liquide. Chaque agent doit normalement vrifier lidentit de ses clients et il existe des restrictions lenvoi et la rception (pour un envoi ou une rception, la limite en France est denviron 7 600 euros par jour et par personne). Dans la pratique, ces rgles ne sont pas toujours respectes car Western Union permet nimporte quel commerant de devenir un agent agr, les seules conditions imposes par la socit tant de disposer dun ordinateur et dune connexion Internet.
LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 51 sur 73
Western Union a cependant pris soin de se dgager de toute responsabilit quant aux activits de ses agents. En matire de lutte contre le blanchiment dargent, chaque point de vente est ainsi personnellement responsable, Western Union nimposant aucune contrainte ni surveillance. La socit lexplique clairement sur son site Internet :
Figure 57: Politique de Western Union en matire de lutte contre le blanchiment d'argent
Avec une politique si permissive, certains agents Western Union ne respecteraient donc pas toutes les rgles et deviendraient donc complices volontaires ou involontaires des cybercriminels. Dans ce shop, il est par exemple possible dacheter des numros de cartes bancaires par Liberty Reserve ou Western Union. Il suffit dindiquer sur la page ci-dessous le montant que lon dsire envoyer par Western Union.
Le site redirige alors automatiquement le visiteur vers les coordonnes dun bnficiaire au Vietnam.
Depuis de nombreux mois, cette personne est lunique destinataire de tous les envois par Western Union des clients du shop. Les transferts sont tous encaisss en moins dune heure, ce qui laisse supposer la complicit directe dun agent sur place. Les vrifications didentits, en thorie obligatoires, ne sont pas non plus respectes. Dans le forum ci-dessous, un Ukrainien propose ainsi dencaisser des mandats Western
Union sous nimporte quel nom, rel ou fictif. Cette personne a donc potentiellement corrompu un agent Western Union, sauf imaginer quil en soit lui-mme un.
Figure 60 : Proposition dencaissement de mandats WU sans nimporte quel nom, rel ou fictif
noter quil nest pas indispensable de bnficier de la complicit directe dun agent Western Union. Un cybercriminel indique par exemple sur le forum ci-dessous avoir t interdit dans une agence car il avait dpass la limite lgale autorise pour des transferts. Il lui a suffit de se rendre dans une autre agence et de continuer ses transferts mais avec un faux passeport. Les agences Western Union ntant pas astreintes aux mmes rgles, il suffirait donc de se rendre dans les plus permissives.
Sur les onze millions de bnfices de Maksik, plus de 4 800 000 dollars taient issus de mandats Western Union
Ces socits crans sont lgalement enregistres par un agent sur place qui nest astreint aucune responsabilit, que ce soit en termes de surveillance dventuelles activits illicites ou de signalement aux autorits en cas de soupons. Quatorze tats, du fait de leurs lgislations, permettent ces socits fictives de garder secret le nom de leurs membres ou propritaires. Une fois la socit enregistre, lagent ouvre un compte bancaire aux Etats-Unis pour son client. Ce compte bancaire ne sert gnralement que de relais : beaucoup des virements effectus transitent par la suite vers des succursales de banques internationales New York puis sont rapatris vers ltranger (la Russie et la Lettonie sont les principaux pays bnficiaires). Une fois arriv destination finale, largent est totalement blanchi : la socit cran permet de faire passer ces numraires pour des revenus issus dune activit conomique relle et la succession de virements bancaires internationaux ne permet pas de remonter la source. Maksik, le vendeur de numros de cartes bancaires ukrainien, possdait ainsi des comptes bancaires en Lettonie dont lun contenait une partie des bnfices revenant Gonzalez. Il permettait en effet ses clients de confiance de le payer directement par virements bancaires, les autres tant astreints payer par monnaie virtuelle. Gonzalez, pour rapatrier ses fonds aux tats-Unis, faisait appel Humza Zaman. Cet homme tait charg douvrir plusieurs comptes en banques aux tats-Unis sous des identits fictives puis, une fois les ordres de virements effectus par Maksik de son compte letton, Zaman allait retirer cet argent en liquide des distributeurs automatiques. Tous les retraits effectus par Zaman nont pas pu tre dcels. Il sest rendu plusieurs fois San Francisco et New York pour y rcuprer de largent liquide appartenant Gonzalez (50 000 et 370 000 $) mais les autorits nont pas pu dterminer la traabilit de ces fonds. La situation en Europe apparat beaucoup moins chaotique. Un projet du Conseil europen des paiements risque pourtant de dstabiliser lquilibre existant. Baptis Single Euro Payments Area ou SEPA, ce texte vise harmoniser les moyens de paiements dans une Europe largie 32 tats. Deux mesures apparaissent particulirement proccupantes : La nouvelle faon dont les prlvements automatiques seront autoriss fait craindre un important risque de fraude internationale, quivalent celui inhrent aux cartes bancaires. Le dbiteur perdra en effet linitiative dautoriser une demande de prlvement : cest le crancier qui, sur simple requte, demandera sa banque deffectuer le prlvement en dbit immdiat. La seule information ncessaire pour raliser cette opration sera de connatre le numro IBAN (International Bank Account Number) et BIC (Bank Identifier Code) du compte
LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 54 sur 73
du dbiteur. De nombreuses associations de consommateurs jugent cette information insuffisante en termes de scurit. Cette mesure sera dfinitivement mise en place en 2014 mais les responsables europens devraient se proccuper fortement de cette question car les cybercriminels sintressent dj de prs au SEPA. La future activit nouvelle des black markets pourrait bien tre la vente de numros IBAN et BIC. Le virement SEPA est une autre mesure permettant de faciliter les transferts bancaires en Europe. Dj oprationnel, ce virement peut tre effectu en ligne sur plusieurs sites Internet de banques franaises (LCL, Monabanq, Boursorama). En 2012, chaque virement devra tre trait en 24h. Or le SEPA regroupe plusieurs tats considrs comme des paradis fiscaux ou des centres financiers offshores : le Luxembourg, Malte, la Suisse, Monaco et Chypre. Le fait quil soit trs ais de crer une socit ou douvrir un compte bancaire sur Internet dans ces pays europens risque de multiplier les fraudes concernant le secteur bancaire mais aussi de faciliter le blanchiment dargent. noter que le virement SEPA est dj utilis par les cybercriminels qui se tiennent trs informs des nouvelles rglementations. Ces nouvelles mesures pourraient donc contribuer un essor rapide de la cybercriminalit en Europe. La dmatrialisation du contact entre client et banque et lacclration des flux financiers gnrent un phnomne boule de neige qui est en contradiction totale avec les rgles de bon sens prconises par les experts conomiques depuis des annes.
Synthse
La cybercriminalit est entretenue et facilite par un ensemble doutils. Au plan technique, les hbergeurs bulletproof fournissent les moyens logistiques. Au plan financier, les systmes de monnaie virtuelle et les socits dchange font le lien entre conomie virtuelle et conomie relle. Les flux financiers de la cybercriminalit
black markets
Shops et forums : vritables plaques tournantes de la cybercriminalit
Economie relle
Cybercriminels
conomie virtuelle
QUELLES REPONSES ?
Au plan franais
Panorama des acteurs
LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre par le dcret n 2009-834 du 7 juillet 2009, succdant ainsi au Service central de la scurit des systmes dinformation (SCSSI) puis la Direction centrale de la scurit des systmes dinformation (DCSSI) institue en 2001. Elle est, depuis le dcret n 2011-170 du 11 fvrier 2011, lautorit nationale en matire de dfense des systmes dinformation franais et elle dcide les mesures que l'Etat met en uvre pour rpondre aux crises affectant ou menaant la scurit des systmes d'information des autorits publiques et des oprateurs d'importance vitale 1. La Commission nationale de l'informatique et des liberts (CNIL) est une autorit administrative indpendante garante du respect de la vie prive et des liberts sur Internet. Cre par la loi n 78-17 du 6 janvier 1978 relative l'informatique, aux fichiers et aux liberts, cette autorit dispose dun pouvoir de contrle, de sanction, dalerte et de conseil des particuliers, des entreprises et des administrations. LOCLCTIC (lOffice Central de Lutte contre la Criminalit lie aux Technologies de lInformation et de la Communication), cr par dcret interministriel du 15 mai 2000 au sein de la DCPJ, remplit deux missions oprationnelles : mener des enqutes en matire de crime numrique (surtout en matire de piratage, de fraudes aux cartes bancaires et descroqueries) et assurer une assistance technique des autres services de police et de gendarmerie. cot de ces missions oprationnelles, lOffice assure des missions qualifies de stratgiques telles que la veille documentaire continue en matire de nouvelles menaces, la formation denquteurs spcialiss, les Investigateurs en Cybercriminalit (ICC), et la coopration internationale. LOffice gre galement les signalements de contenus illicites grce la plateforme PHAROS (qui sera bientt coordonne lchelle europenne par Europol et ses homologues du Royaume-Uni, des PaysBas, de lItalie et de la Roumanie) et ralise les interceptions judiciaires. LOCRVP (Office Central de Rpression des Violences aux Personnes) joue un rle essentiel dans la lutte contre la diffusion dimages pdopornographiques sur Internet. La BEFTI (Brigade dEnqute sur les Fraudes aux Technologies de lInformation), unit dpendant de la Direction rgionale de la police judiciaire de Paris, assure deux missions principales : lassistance technique des autres services denqute et la ralisation denqutes grce la prsence de nombreux ICC. Si sa comptence se limite en thorie Paris et sa petite couronne, certaines affaires lui sont attribues par dfaut, lorsque la comptence territoriale est incertaine. La DCRI (Direction Centrale du Renseignement Intrieur) dispose dun ple consacr la cybercriminalit. Ses policiers, habilits secret dfense, peuvent traiter daffaires exigeant lhabilitation secret dfense ou confidentiel dfense (ministres, administrations, etc.). Ce ple est rgulirement amen travailler tant avec lOCLCTIC quavec lIRCGN.
1 : Dcret n 2011-170 du 11 fvrier 2011 modifiant le dcret n 2009-834 du 7 juillet 2009 portant cration d'un service comptence nationale dnomm Agence nationale de la scurit des systmes d'information
LIRCGN (Institut de Recherche Criminelle de la Gendarmerie Nationale), laboratoire de police scientifique de la gendarmerie, et le STRJD (Service Technique de Recherches Judiciaires et de Documentation), mnent laction de la gendarmerie en matire de lutte contre la cybercriminalit. LIRCGN ralise trois missions principales : Examens et expertises dans le cadre dinvestigations judiciaires, la demande de la gendarmerie ou de magistrats, Formation des techniciens et des enquteurs, Veille technologique et recherche en matire de dveloppement et damlioration des techniques dinvestigation.
Le STRJD possde pour sa part une division spcialise dans la lutte contre la cybercriminalit, la DLC, et centralise les donnes qui lui sont transmises par les units de gendarmerie nationale. Il est, depuis 1994, charg de la police du rseau Internet et de la lutte contre la cybercriminalit. La cyberdouane - Depuis 2009, la Douane dispose dun service, la cellule cyberdouane agissant pour la lutte contre la fraude sur Internet Les JIRS - Les magistrats se spcialisent eux aussi dans la lutte contre la cybercriminalit. Certaines affaires (concernant les atteintes aux STAD, mais aussi quelques atteintes au Code montaire et financier) sont confies des Juridictions Interrgionales Spcialises, les JIRS. Leur activit est importante : dans leur premier bilan1, plus du tiers des affaires conomiques et financires concernent des escroqueries complexes lies la falsification de cartes bancaires. Et 82% des affaires traites disposent dun lment dextranit. L'Observatoire L'Observat oire de la scurit des cartes de paiement a t cr par la loi n 2001-1062 du 15 novembre 2001 relative la scurit quotidienne. Cet observatoire assure non seulement une veille technologique mais est galement charg de mettre en uvre des mesures de renforcement de la scurit des cartes bancaires et dtablir des statistiques en matire de fraude2. Le Club de la Scurit de l'Information Franais (CLUSIF) est une association indpendante dentreprises et de collectivits agissant pour la promotion de la scurit de linformation. Cette association sorganise en groupes de rflexions portant sur la gestion des incidents, la cybercriminalit ou encore, plus gnralement, les politiques de scurit.
Cadre juridique
Le Droit pnal - Le droit pnal franais bnficie dun large panel de textes incriminant les comportements des cybercriminels. La loi Godfrain - Pour permettre au droit pnal d'apprhender les phnomnes de piratage informatique, la France s'est dote le 5 janvier 1988 de la loi relative la fraude informatique dite loi Godfrain . Cette loi, codifie aux articles 323-1 et suivants du nouveau code pnal, permet de sanctionner plusieurs comportements placs en amont ou en aval de l'iter criminis de l'acte de piratage.
L'article 323-1 sanctionne le simple accs frauduleux un Systme de Traitement Automatis de Donnes. Ce mme article sanctionne ensuite de faon autonome le maintien frauduleux dans un STAD (de cette faon, mme si l'accs est rgulier, le maintien peut revtir un caractre irrgulier en lui-mme). Sont sanctionns les actes prparatoires, travers l'article 323-3-1 du Code pnal, visant la dtention dun virus ou la fourniture de moyens permettant la commission de l'une des infractions prvues par le dispositif Godfrain. Est ensuite sanctionne la simple participation un groupe criminel en vue de la prparation d'une de ces infractions. Le commencement d'excution interrompu involontairement est expressment vis par l'article 323-7 du mme code qui sanctionne la tentative des dlits d'atteinte un systme de traitement automatis de donnes (STAD). Enfin, sont sanctionnes l'introduction et la suppression de donnes dans un STAD, que l'accs qui les a prcd ait t frauduleux ou pas.
bancaire La fraude la carte b ancaire est une source majeure dapprovisionnement des black markets. Cet acte est sanctionn par larticle L163-4 du code montaire et financier qui prvoit sept ans demprisonnement et 750 000 euros damende pour le fait de contrefaire ou de falsifier une carte de paiement ou de retrait, de faire ou de tenter de faire usage, en connaissance de cause, dune carte bancaire contrefaisante ou falsifie, et enfin le fait daccepter dlibrment de recevoir un paiement au moyen dune de ces cartes. La collecte frauduleuse de donnes caractre personnel - Larticle 226-18 du code pnal vise le fait de collecter des donnes caractre personnel par un moyen frauduleux, dloyal ou illicite et sanctionne cet acte par cinq annes demprisonnement et 300 000 euros damende. Cet article pourra concerner la collecte de donnes bancaires (cartes bancaires, comptes bancaires en ligne), de pices didentit, didentifiants de messagerie lectronique, et de toute autre donne ds lors quelle peut tre considre comme une donne caractre personnel. Ncessit de rciprocit dincrimination - Mais pour que ces textes soient applicables, il faut que la juridiction franaise soit clairement comptente. La cybercriminalit, en raison de son caractre transfrontalier et mondial bouleverse le principe de la territorialit de la loi pnale. Selon larticle 113-2 du code pnal, la loi franaise est applicable ds lors que lun des faits constitutifs de linfraction a lieu sur le territoire franais. Et la localisation des serveurs partir desquels sont diffuss les lments susceptibles de constituer une infraction a un impact moindre sur la comptence juridictionnelle franaise. En effet, dans un arrt du 29 mars 2011, la chambre commerciale de la Cour de cassation a pu affirmer que le juge franais nest comptent que lorsque le contenu du site concern est orient vers un public franais . Cette dcision sinscrit dans le droit fil de larrt dit Hugo Boss 1 qui prvoit quatre critres permettant de retenir la comptence du juge franais : le site doit tre en langue franaise, accessible depuis la France, doit explicitement viser les internautes franais et doit proposer la livraison de ses produits sur le territoire franais. Larticle 113-6 du code pnal prvoit une autre condition lapplicabilit de la loi franaise : que le crime ou dlit commis ltranger soit puni la fois par la loi franaise et par la loi du pays o il a t commis.
personnes suspectes de commettre un crime ou un dlit en se faisant passer, auprs de ces personnes, comme un de leurs coauteurs, complices ou receleurs . Ce procd ne
peut tre utilis que pour les enqutes concernant les infractions listes par larticle 70673 du mme code. Utilise dans la lutte contre les black markets, elle autoriserait lenquteur recourir une fausse identit et, par exemple, acqurir ou vendre des produits tels que ceux que lon retrouve sur les marchs noirs de la cybercriminalit. Les honeypots - Dans le cadre de la lutte contre les cybercriminels, il est possible de sinterroger sur la pertinence de lutilisation de honeypots ou pots de miel . Ces honeypots sont des leurres : ordinateurs, serveurs, ou programme laisss volontairement vulnrables afin dattirer et de piger les hackers. Ce leurre permet dobserver le mode opratoire du hacker et, par la mme, de rcuprer ses coordonnes. La lgalit de lutilisation de ce procd par lenquteur est toutefois discutable. En effet, en vertu du principe de loyaut de la preuve pnale, le policier ne peut provoquer la commission dune infraction. Tout lment de preuve obtenu de cette faon sera irrecevable. Ce principe a t rappel par la Chambre criminelle de Cour de cassation dans un arrt du 4 juin 2008 (Bulletin criminel 2008, n141). En lespce, un ressortissant franais avait t identifi suite sa connexion un site contenant des images pdopornographiques. Or ce site avait t mont de toutes pices par lunit de criminalit informatique de la police de New York dans le but dattirer les pdophiles. Dans cette affaire, la Cour a dclar irrgulires et donc irrecevables ces preuves, considrant quelles avaient t obtenues par provocation policire. Ce raisonnement peut trouver sappliquer dans le cas du honeypot. Il faut rappeler que seul lofficier de police judiciaire est soumis au principe de lgalit de la preuve. La partie prive bnficie quant elle dune jurisprudence clmente. Dans un rcent arrt du 27 janvier 2010 (pourvoi n09-83.395), la Cour de cassation a rappel qu aucune disposition lgale ne permet aux juges rpressifs dcarter des moyens de
preuve remis par un particulier aux services denqute, au seul motif quils auraient t obtenus de faon illicite ou dloyale .
Les interceptions de communication - Il est possible pour lofficier de police judiciaire de procder linterception de communications sur Internet. Ce procd, visant les correspondances prives, est dcrit aux articles 100 et suivants du code de procdure pnale. Au moyen dune drivation sur la ligne de linternaute suspect ou avec le concours de loprateur Internet ou de tlphonie mobile, lenquteur interposera un procd denregistrement des conversations. Ce procd pourra par exemple tre un sniffer. La capture de donnes informatiques distance - La Loppsi a insr dans le code de procdure pnale un nouvel article 706-102-1 permettant la capture de donnes informatiques distance. Ainsi, lofficier de police judiciaire pourra sans le consentement des intresss , accder aux donnes informatiques telles qu'elles s'affichent sur un
LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 59 sur 73
cran pour l'utilisateur d'un systme de traitement automatis de donnes ou telles qu'il les y introduit par saisie de caractres . La perquisition et la saisie informatiques - Dans la plupart des enqutes, quelles soient classiques ou quelles relvent de la cybercriminalit pure, les policiers et gendarmes seront rgulirement amens perquisitionner et saisir des ordinateurs ou des priphriques de stockage. Ce sera dautant plus ncessaire pour les enqutes impliquant des black markets. Leurs utilisateurs, sils ne se sont pas anonymiss via des techniques spcifiques, laissent en effet des traces de leur passage sur ces sites. Des traces qui ne sont souvent accessibles que suite la perquisition et saisie de terminaux informatiques (ordinateurs, tablettes, smartphones). Cest larticle 56 al. 5 du code de procdure pnale qui permet la perquisition de donnes informatiques. Lenquteur procdera la saisie des donnes informatiques n-
cessaires la manifestation de la vrit en plaant sous main de la justice soit le support physique de ces donnes, soit une copie ralise en prsence des personnes qui assistent la perquisition . Ainsi, la saisie informatique pourra tre complte par la saisie du
support physique des donnes (disque dur, etc.). Le droit de perquisitionner a d sadapter aux volutions de linformatique, et le dveloppement constant du cloud computing, ou informatique dans le nuage , oppose ce droit sa seule limite lgale. Le cloud computing consiste pour lutilisateur externaliser le stockage de ses donnes. Elles ne sont plus sur le disque dur de son ordinateur personnel, mais sur des serveurs distants dont la localisation est souvent secrte voire vague. Face ce cas prcis, lenquteur peut procder une perquisition en ligne (article 57-1 CPP pour lenqute de flagrance, 76-3 pour lenqute prliminaire, 97-1 sous commission rogatoire). Et ce droit de perquisitionner connat une limite importante : laccs des donnes stockes sur des serveurs situs hors du territoire national. Si les donnes accessibles en ligne sont stockes en France, aucun problme ne se posera. La perquisition seffectuera selon la procdure ordinaire dfinie larticle 56 al. 2 du code de procdure pnale. Si les donnes sont localises ltranger, larticle 57-1 du code indique qu elles sont recueillies par lofficier de police judiciaire, sous rserve des conditions daccs prvues par les engagements internationaux en vigueur . Ainsi, lune des solutions est louverture dune information judiciaire afin dobtenir une commission rogatoire internationale. La coopration internationale est donc au cur de lenqute en matire cybercriminelle.
Au plan international
Panorama des acteurs
La cybercriminalit tant par nature transnationale, les autorits nationales sont rgulirement amenes collaborer avec les entits internationales suivantes : Interpol Interpol a pour mission premire dassurer la rception, conservation et transmission des informations sur la cybercriminalit tous ses pays membres. Le canal principal de communication est I-24/7, systme mondial de communication policire assurant son service 24 heures sur 24 et sept jours sur sept. Assurant la fluidit de la circulation de linformation, Interpol amliore la coopration internationale. Europol centralise les informations et a un rle similaire celui dInterpol, mais lchelle europenne. Afin de mieux lutter contre la cybercriminalit, Europol :
Participe au dveloppement de lEuropean Cybercrime Task Force, groupe dexperts compos de reprsentants dEuropol, dEurojust et de la Commission Europenne ; Enrichit rgulirement sa base de donnes consacre la cybercriminalit ; Procde des analyses stratgiques sur les tendances de la cybercriminalit ; Dveloppe deux projets : ICROS (Internet Crime Reporting Online System) et IFOREX (Internet & Forensic Expert Forum). Ces deux projets permettront une meilleure centralisation des donnes, des formations ainsi que des rflexions sur lamlioration des textes de loi.
Eurojust, Eurojust lunit de coopration judiciaire de lUnion Europenne, coordonne les actions des autorits judiciaires charges dinvestigations concernant au moins trois pays et renforce ainsi leur coopration. LENISA (Agence europenne charge de la scurit des rseaux et de linformation) a pour mission, en partenariat avec les entits nationales et europennes, de promouvoir et assurer la scurit des rseaux dinformation dans lUnion europenne.
Partie dordonner ou dimposer dune autre faon la conservation rapide de donnes stockes au moyen dun systme informatique se trouvant sur le territoire de cette autre Partie, et au sujet desquelles la Partie requrante a lintention de soumettre une demande dentraide en vue de la perquisition [], de la saisie [], ou de la divulgation desdites donnes .
Les canaux de coopration - la demande de gel des donnes pourra tre effectue par commission rogatoire internationale ou par demande dentraide. Elle pourra aussi tre ralise travers le canal dinformation Interpol. En France, cest lOffice Central de Lutte contre la Criminalit lie aux Technologies de lInformation et de la Communication (OCLCTIC) qui est le point de contact InLES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 61 sur 73
terpol en matire de cybercriminalit (voir dcret n75-431 du 26 mai 1975). Lofficier de police judiciaire enverra sa demande via le canal BCN (Bureau Central National) situ lOffice. Les points de contact peuvent tre joints 24 heures sur 24 et sept jours sur sept pour recevoir et fournir toute information, ou excuter les demandes dassistance. Cette mesure qui exige la conservation et la communication des donnes est sans conteste la plus importante de la Convention. Mais elle est aussi celle qui suscite le plus de rticence de la part des tats. La Russie a notamment considr quelle constituait une atteinte la souverainet nationale1.
1 : Pedro Verdelho, The Effectiveness of International Cooperation against Cybercrime: Examples of Good Practice, Discussion Paper (Draft), Project on Cybercrime, Council of Europe, March 12, 2008, http://bit.ly/jL0kG6
Quelques pistes
Vers un renforcement de la coopration internationale ?
Llargissement de la Convention de Budapest
Lune des solutions, notamment encourage par les rcentes conclusions du Conseil de lUnion Europenne relatives un plan d'action visant mettre en uvre la stratgie concerte de lutte contre la cybercriminalit , serait la ratification gnrale de la Convention de Budapest par une majorit dtats, permettant ainsi lharmonisation des lgislations et une coopration optimale. Mais ce scnario semble peu probable aujourdhui, bien que les pays rflchissant lamlioration de la coopration soient nombreux. 17 pays de lAmrique du Sud, 14 pays de la zone Carabe et 10 pays asiatiques ont ainsi t invits par le Conseil de lEurope afin de contribuer lvolution de la lgislation. La Convention sur la cybercriminalit de Budapest reste le texte de rfrence : elle a une vocation internationale et plus de 100 pays sen inspirent afin de faire voluer leur lgislation en la matire.
Un Schengen du numrique ?
Une solution consisterait permettre, lchelle europenne, un systme similaire au droit de poursuite et au droit dobservation prvu par la Convention de Schengen1. Le droit dobservation (article 40) permet sous certaines conditions de poursuivre une filature sur le territoire dun autre tat membre sur la base dune entraide judiciaire. Le droit de poursuite (article 41) permet sous certaines conditions de continuer la poursuite sans autorisation pralable sur le territoire dun tat voisin. tendre ces possibilits la lutte contre la cybercriminalit reviendrait permettre lofficier de police judiciaire de raliser, sans autorisation pralable, des actes denqute sur des serveurs et espaces de stockage situs dans lun des pays ayant intgr les acquis Schengen. On parlerait alors de Schengen du numrique . Une telle solution prsenterait cependant les mmes lacunes que le systme actuel. En effet, comment savoir si les donnes sont dans ou hors de lespace Schengen ? De plus, il y a toujours restriction de la marge de manuvre de lofficier de police judiciaire. Ce dernier est toujours contraint de sadapter aux frontires de lespace Schengen, alors
LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 63 sur 73
1 : Les Accords de Schengen (l'Accord sign le 14 juin 1985, ses protocoles ainsi que les accords d'adhsion des Etats) ont donn lieu l'adoption d'une Convention d'application (Convention Schengen du 19 juin 1990) puis diffrentes mesures de mise en uvre. L'ensemble de ces textes constitue l'Acquis de Schengen.
que ces frontires nont souvent quune ralit concrte trs relative, dans le cyberespace. En fvrier dernier, a t voque, au cours dune runion du LEWP (Law Enforcement Working Party, groupe de travail au sein du Conseil Justice et affaires intrieures de l'Union europenne), la cration d'une frontire virtuelle Schengen . Dans ce projet, les FAI joueraient le rle de douaniers en bloquant tout contenu jug illicite provenant de lextrieur. Ce projet na cependant pas t accueilli favorablement par la critique qui la rapidement compar aux procds employs par la Chine. Mais surtout, cest limpossibilit de mise en uvre du projet qui a t souligne.
1 : Vers une cyber-ONU Entretien avec Christian AGHROUM, commissaire divisionnaire, ancien chef de lOCLCTIC . Bulletin de l'ILEC, n404., Octobre 2009, p. 13.
un rglement du diffrend par la ngociation ou par tout autre moyen pacifique de leur
choix ; mais ils pourront aussi opter pour larbitrage, ou encore pour la Cour internationale de Justice. De ce fait, et plus concrtement, un tat signataire ne respectant pas lobligation de larticle 31 de la convention de Budapest imposant la coopration entre tats signataires par la conservation et lautorisation daccs des donnes numriques localises sur son territoire commettrait un acte qui pourrait tre qualifi dinternationalement illicite. Sa responsabilit pourrait tre ainsi engage, notamment s'il tolre lactivit dentreprises qui proposent des serveurs bulletproof se vantant explicitement de la non-conservation des logs de connexion et contribuant ainsi au dveloppement de la cybercriminalit. Ce principe dengagement de la responsabilit internationale dun tat pour tout fait illicite a notamment t affirm par la Cour permanente de Justice internationale dans un arrt du 26 juillet 1927 relatif laffaire de lusine de Chorzow (CPJI, Srie A, n9, p21), mais aussi par le tribunal arbitral dans laffaire du Rainbow Warrior. Le Tribunal avait considr en effet que toute violation par un tat dune obligation, quelle quen soit lorigine, engage la responsabilit de cet tat et entrane, par consquent, le devoir de rparer (Nouvelle Zlande/France, Recueil des sentences arbitrales, vol XX (1990), p. 251, 75).
Le renforcement des capacits denqute des services spcialiss tant travers des moyens supplmentaires que grce lamnagement dun cadre juridique appropri ; Le dveloppement, ncessairement discret, de capacits militaires, tant en matire de lutte informatique dfensive quoffensive.
Certaines de ses actions relvent logiquement des missions rgaliennes de ltat. Dautres, en revanche incombent aux entreprises qui sont en premire ligne dans cette lutte.
Aprs plus dune dcennie de croissance ininterrompue et harmonieuse, la gopolitique est quon le veuille ou non en train de reprendre ses droits sur Internet.
GLOSSAIRE
Autonomous System - Ensemble de rseaux appartenant une plage dadresses IP particulire sous le contrle dune seule entit, souvent un Fournisseur dAccs Internet (FAI). Les AS sont interconnects entre eux, ce qui forme le rseau Internet. Attaque DDoS (Distributed Denial of Service) - Attaque informatique ayant pour finalit de rendre indisponible laccs un service en le saturant de requtes. Banker Logiciel malveillant permettant la rcupration dinformations bancaires par un pirate informatique. Black Market - Plateforme marchande illgale sur laquelle schange biens, services et renseignements destins la commission dacte cybercriminel. Botnet - Rseau dordinateurs corrompus contrls par un ou plusieurs cybercriminel(s) pouvant tre utilis pour diffrentes finalits : mission de spam, diffusion de phishing ou de malware, fraude au clic, puissance de calcul, attaque DDoS, opration de commerce illicite, etc. Captchas Systmes de contrle visuel ou audio permettant de diffrencier un humain dun programme automatique lors de la validation de formulaires sur internet. Carding - Ce terme anglophone dsigne lensemble des techniques de piratage et de ventes illgales de cartes bancaires. Checkers - Programme informatique qui permet de vrifier la validit dune carte bancaire en effectuant une transaction en gnrale dun faible montant. Cheval de Troie - Un cheval de Troie (appel galement Troyen ou Trojan) est un programme informatique, souvent dapparence lgitime, conu pour excuter subrepticement des actions distance linsu de lutilisateur infect. CMS (Content Management System) - Un CMS est une famille de programme informatique destine la conception et ladministration de plateforme Web ou dapplication multimdia. CVV (Card Verification Value) - Il sagit du cryptogramme visuel situ en gnral au dos dune carte de paiement qui a pour rle de renforcer la scurisation des transactions bancaires. Escrow - Tiers de confiance qui va permettre de finaliser une transaction entre deux personnes nayant jamais trait ensemble auparavant. Exploit Programme permettant un pirate dautomatiser lexploitation dune vulnrabilit dans un programme existant. Exploit kit - Un exploit kit est un pack de programme malicieux qui est principalement utilis pour mener bien des attaques automatises afin de propager des programmes malveillants. ICQ - ICQ est un systme propritaire de messagerie instantane, de VoIP et de visioconfrence dvelopp par la socit Mirabilis. Ce service se distingue notamment par le fait
LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 67 sur 73
que les utilisateurs sont identifis par des numros UIN (Universal Internet Number) dlivrs par ordre dinscription, offrant par la mme, une garantie danonymat aux utilisateurs. Iframe - Contraction de Inline frame, lIframe est une balise HTML qui permet d'afficher au sein d'une page Web des informations stockes sur un serveur diffrent. Iter criminis (Chemin du crime) - Processus, tapes franchies par la personne souhaitant commettre une infraction. JABBER - Jabber est un systme dcentralis, libre et gratuit de messagerie instantane fond sur le protocole XMPP (Extensible Messaging and Presence Protocol) permettant de chiffrer les conversations, de crer des serveurs ou encore de naviguer sur des milliers de serveurs Jabber travers le monde. Malware - Contraction de lexpression anglophone malicious et software, un malware est un terme gnrique dsignant un programme malveillant (code, scripts, contenu actif) qui effectue des actions linsu de son utilisateur. Ce terme gnraliste peut aussi bien dsigner un virus, un vers, un spywares, un keylogger, un cheval de Troie, etc. MBR (Master Boot Record) - Egalement appel zone amorce, le MBR est le premier secteur adressable dun disque dur. Il intgre une routine damorage dont la finalit est de charger le systme dexploitation. Money Mule - La Money Mule est une personne qui transfre ou rcupre de largent ou des marchandises pour le compte dautrui, dans le cadre descroquerie dont elle nest souvent pas conscience. Ordinateur Zombie - Cette appellation dsigne un ordinateur contrl distance par un pirate informatique. PABX - Autocommutateur tlphonique priv qui gre de manire automatique les communications entre plusieurs postes tlphoniques. Phishing - Egalement appel hameonnage ou filoutage , le phishing est une technique de fraude reposant sur lingnierie sociale qui vise obtenir les donnes caractre personnel ou bancaires de la victime en se faisant passer pour un tiers de confiance. Le phishing peut employer diffrents canaux de diffusion : sites Web, e-mails, SMS (SMiShing), tlphone, etc. Ransomware - Un ransomware est un type de malware qui vise empcher lutilisateur davoir accs ses donnes ou son systme dexploitation notamment par le biais de techniques de chiffrement des donnes ou par blocage du MBR. Rippers - Le ripper est un cybercriminel qui se fait passer pour un vendeur lgitime sur un site de Black Market ou qui cre de faux sites de Black Market, afin de rcuprer le montant de ces transactions illgales, sans offrir de relles contreparties. SCADA (Supervisory Control and Data Acquisition) Systme informatique permettant la surveillance et le contrle de systmes industriels (nergie, transports, usines, etc.) Serveur Bulletproof - Service dhbergement littralement lpreuve des balles , o le prestataire ne vrifie pas lutilisation faite de lespace allou et garantit la disponibilit du service en dpit des plaintes et/ou injonctions quil pourrait recevoir. Gnralement, le prestataire ne conserve aucunes donne relative lidentification du client.
Serveur C&C - Serveur utilis par un pirate pour contrler distance des ordinateurs quil aura infect. Ces serveurs lui permettent de renforcer son anonymat. Shops - Sites de vente automatise de produits cybercriminels. Ce type de Black Market est gnralement daccs limit et implique un ou plusieurs parrainages. Spam - Selon la CNIL, le spam se caractrise par lenvoi massif et souvent rpt de courriers lectroniques des personnes avec lesquelles lexpditeur na jamais eu de contact et dont il a rcupr les adresses lectroniques de faon irrgulire . Injection SQL - Ukne injection SQL exploite une faille de scurit dune application web en introduisant une requte SQL non prvue. Cette injection permet dinteragir avec la base de donnes de lapplication et ainsi de compromettre sa scurit. Voucher - Systme de paiement lectronique pouvant se prsenter sous la forme dun code PIN reprsentant une valeur montaire. VPN (Virtual Private Network) - Interconnexion de rseaux locaux scurise via tunnel. Ce dernier assure la scurisation du rseau par des algorithmes de chiffrement. Zombie (ordinateur) Ordinateur pralablement infect afin dtre sous le contrle dun pirate informatique, un Botnet est compos de milliers dordinateurs zombies.
PRESENTATION DE CEIS
Cre en 1997, CEIS est une socit de conseil en stratgie et en management des risques qui compte aujourdhui 80 consultants en France. CEIS dispose en outre de plusieurs implantations internationales : Bruxelles, Beijing, Abu Dhabi, Kiev, Astana et Moscou. CEIS s'organise autour de 4 grands ples d'activit : Risques oprationnels : intelligence conomique et financire, management des risques et gestion de crise, scurit des systmes dinformation et business intelligence ; Prospective stratgique : tudes stratgiques et analyse des menaces ; Intelligence publique et territoriale : lobbying, communication, marketing territorial ; Innovation 128 : gestion de linnovation et veille technologique.
Pour dvelopper ses activits en matire de scurit des systmes dinformation et de lutte anti-cybercriminalit, CEIS a cr lquipe Secu Insight qui regroupe aujourdhui une dizaine de personnes : ingnieurs spcialiss en scurit des systmes dinformation, juristes en droit des nouvelles technologies et analystes multilingues. Cette quipe ralise des missions de veille, danalyse et de conseil dans le domaine de la scurit des systmes d'information et de la lutte contre la cybercriminalit. Elle anime galement le site Secu-Insight.fr, un portail d'informations ddi la scurit des systmes dinformation et aux cyber-risques.
Anticipation
Comprhension des enjeux techniques Veille technologique
Analyse
Tests d'intrusion
Conseil
Recommandations techniques
Veille oprationnelle
Etudes darchitectures
Veille stratgique
Politique de scurit
CONTACTS
Pour toute raction cette tude, pour obtenir plus d'informations sur ce sujet, pour en savoir plus sur nos offres, n'hsitez pas nous contacter. Guillaume TISSIER Directeur du ple Risques Oprationnels 01 45 55 60 29 - gtissier@ceis.eu Nicolas CAPRONI Consultant spcialis en cybercriminalit et scurit des systmes d'information 01 45 55 58 67 - ncaproni@ceis.eu Barbara Louis-Sidney Consultante spcialise en cybercriminalit et scurit des systmes d'information 01 45 55 58 72 - blouis@ceis.eu
Stratgies et oprations
La France et lquation Rafale Le retour de la stratgie indirecte Les drones : lexemple amricain Les systmes de systmes
Technologies de linformation
Les marchs noirs de la cybercriminalit
Compagnie Europenne dIntelligence Stratgique (CEIS) Socit Anonyme au capital de 150 510 - SIRET : 414 881 821 APE : 741 G 280 boulevard Saint Germain 75007 Paris - Tl. : 01 45 55 00 20 Fax : 01 45 55 00 60 Tous droits rservs