« Comment les cybercriminels s’organisent-ils ? » Telle est l’une des principales questions auxquelles la CEIS (Compagnie européenne d’intelligence économique), cabinet d’intelligence économique installé à Paris, se propose de répondre dans une étude intitulée « Les marchés noirs de la cybercriminalité » (1). Elle a été présentée par le directeur des risques opérationnels de la CEIS à l’Assemblée nationale, devant une cinquantaine de directeurs de la sécurité des systèmes d’informations des entreprises publiques, mercredi 15 juin 2011. Ces marchés noirs permettent aux individus malintentionnés « de s’organiser. Ils y nouent des contacts et opèrent une division des tâches à travers un mode opératoire plus ou moins bien ficelé ». Ils leur permettent également « de vendre, de louer et d’acheter. Sur les ‘black markets’ […] sont mis en vente toutes sortes de produits et de services, qu’il s’agisse d’outils de piratage (malwares…) ou de résultats de ces malversations (numéros de cartes bancaires, de comptes de jeux en ligne, faux papiers, données à caractère personnel en tous genres…) », décrit la CEIS. « Cette étude contribuera sans aucun doute à la prise de conscience des pouvoirs publics mais aussi des acteurs économiques qui sont en première ligne dans la lutte contre ce fléau », se félicite le général de gendarmerie Marc Watin-Augouard dans sa préface.
Location de serveurs « zombies » pour lancer une attaque, achat de « kits de phishing usurpant l’identité de grandes banques » ou de logiciels malveillants avec « service après-vente de six mois » : l’étude décrit la face cachée de la cybercriminalité. « Les ‘black markets’ jouent un rôle essentiel, tant en amont pour la préparation des attaques qu’en aval, pour la monétisation des bénéfices réalisés par les cybercriminels. »
Les « black markets » sont, d’après l’étude, de deux types principaux : « Les forums sont le lieu de rencontre des cybercriminels débutants ou aguerris qui peuvent lire les dernières nouvelles et innovations du milieu, demander conseil sur tout type de sujet, proposer leur service ou collaboration pour des opérations illicites. » Des sites commerciaux semblables aux sites marchands traditionnels permettent pour leurs part à l’utilisateurs de procéder à des « achats selon ses besoins. » L’étude décrit notamment les différents types de « black markets », et souligne l’existence d’arnaques dans ce secteur : des cybercriminels « doublement malhonnêtes […] se font passer pour des vendeurs légitimes ou montent de faux sites de black markets et disparaissent une fois l’argent encaissé. »
PROFITS IMPORTANTS
« Les profits générés par la cybercriminalité sont difficilement quantifiables car l’activité d’un certain nombre de black markets est tout simplement impossible à évaluer, tant en termes de bénéfices réalisés que de volume de clientèle », soulignent les auteurs de l’étude. Les sommes en jeu sont vraisemblablement importantes, comme le rapporte la CIES dans deux exemples. « En 2007, Maksim Yastremskiy, plus connu sous le pseudonyme de Maksik, est arrêté en Turquie, rapportent les auteurs de l’étude. Cet Ukrainien se fournissait régulièrement en numéros de cartes bancaires auprès d’un hacker américain, Gonzalez […]. Maksik revendait ensuite ces données en gros ou au détail sur son site. Maksik et Gonzalez opéraient selon une clé de répartition 50/50 : environ chaque semaine, suivant la progression des ventes, la moitié des bénéfices était envoyée à Gonzalez. En quatre ans, Maksik a pu générer un revenu de 11 millions de dollars à lui seul ».
Les auteurs ont également observé un site de vente de numéros de cartes bancaires « de taille moyenne durant un mois. » Et de constater : « 30 180 numéros de cartes ont été vendus pour un chiffre d’affaires total de 193 752 dollars ». L’étude décrit les modes de transaction des cybercriminels, qui doivent être rapides et assurer leur anonymat.
RENFORCEMENT DE LA COOPÉRATION INTERNATIONALE
L’étude dresse par ailleurs la liste des principales autorités nationales et internationales en charge de la lutte contre le cybercrime et précise que « la Convention sur la cybercriminalité de Budapest du 21 novembre 2001 constitue aujourd’hui le texte de référence en matière de coopération internationale dans la lutte contre la cybercriminalité » avec « quelques dispositions essentielles » (AISG n°90). Néanmoins, ce texte « a une portée limitée et les moyens de coopération policière et judiciaire sont encore insuffisants. Au 17 mars 2011, seuls 29 pays l’ont ratifiée. »
Parmi les mesures possibles de renforcement de la coopération internationale, les auteurs du document évoquent l’élargissement de la Convention de Budapest, scénario néanmoins « peu probable aujourd’hui », la conclusion d’accords bilatéraux ou encore un « système similaire au droit de poursuite et au droit d’observation prévu par la Convention de Schengen » pour le secteur de la cybercriminalité. « Le droit d’observation (article 40) permet sous certaines conditions de poursuivre une filature sur le territoire d’un autre État membre sur la base d’une entraide judiciaire », détaille le document (AISG n°3561). L’Onu pourrait également être davantage impliquée sur la question.
(1) Elle a été réalisée sous la direction de Guillaume Tissier par Marie Garbez, Barbara Louis-Sidney, Félix Aimé, Louis Vatier et Nicolas Caproni de l’équipe de CEIS.
Contact : CEIS, Nicolas Caproni, Consultant en cybercriminalité et sécurité des systèmes d’information, +33 (0)1 45 55 58 67, +33 (0)6 21 22 66 16, ncaproni@ceis-strat.com