- Largeur.com - https://largeur.com -

Les hackers s’enrichissent

La cyberpiraterie est devenue un marché qui peut rapporter gros. Catalogue de méthodes et liste des prix.

Largeur_edition_19052015_hacker.jpg

Il y eut un temps où les hackers menaient des actions idéologiques, par exemple en attaquant une industrie ou un gouvernement. A la rigueur, ils s’en tenaient à un vandalisme bon enfant. Les temps changent. Pour le pirate informatique contemporain, «la motivation est très majoritairement financière; les attaques militantes ou la simple destruction de données deviennent rares», explique Eric Freyssinet, chef de la division chargée de la question au sein de la gendarmerie française. Et si le cybercrime paie, il coûte encore plus: chaque année, il fait perdre 445 milliards de dollars à l’économie mondiale, à en croire l’étude récemment signée par le Center for Strategic and International Studies et le fournisseur de logiciels de sécurité McAfee. Très médiatisées, les opérations de grande envergure comme celle menée contre Sony en décembre 2014 masquent une réalité plus variée: celle d’un réseau où tout se vend et tout s’échange. Tour d’horizon des méthodes les plus populaires.

Données d’une carte de crédit
8€ à 40€
La vente de données bancaires a explosé l’an dernier, à en croire le récent rapport publié par SecureNetworks, une filiale du groupe Dell spécialisée en cyberdéfense. Code confidentiel, plafond de retrait, cha­que détail compte. «Un numéro de carte de crédit peut se négocier de 8 à 40 euros, confirme Eric Freyssinet. Plus les informations sont précises, plus la transaction est profitable.» Et les hackers professionnels proposent désormais des garanties qui s’inspirent du commerce traditionnel. «C’est une forme de service après-vente, ajoute l’expert. Certains pirates s’enga­gent auprès de l’acheteur à remplacer gratuitement les numéros de carte bleue invalides».

100’000 adresses mail
15€ à 180€
La vente d’adresses de courrier électronique constitue le marché de gros du cybercrime. Des listes, vendues autant à des sociétés spécialisées dans le marketing et la vente à distance qu’à des imposteurs, jouent sur l’effet de masse: 100’000 adresses se négocient entre 15 et 180 euros. Un tarif suffisamment bas pour rendre les tentatives d’escroquerie rentables. Sur de tels volumes, la probabilité de récupérer sa mise en piégeant quelques internautes convaincus d’avoir affaire à une banque ou à une administration bien réelle est élevée.

Cryptage et demande de rançon
500€ à 800’000€
Les ransomwares sont des virus capables de crypter les données d’un ordinateur personnel. Sans la clé de décryptage, l’utilisateur n’a plus aucun moyen d’accéder au contenu de ses fichiers. Ces outils de chantage et d’extorsion peuvent coûter plusieurs milliers de dollars à développer mais s’avèrent vite rentables. Les rançons payées atteignent des sommes record: la municipalité de Détroit a accepté de payer 800’000 dollars pour récupérer ses données. La facture est plus modeste pour les particuliers à qui les pirates n’hésitent pas à fournir un mode d’emploi détaillé expliquant la marche à suivre pour payer le montant en bitcoins. Et les autorités ont beau jeu de conseiller aux victimes de porter plainte. Le bureau du shérif d’un comté du Tennessee par exemple, lui aussi infecté par le programme CryptoWall, avait dû céder et payer une rançon pour pouvoir accéder à nouveau à 72’000 rapports d’autopsie, déclarations de témoins et photographies de scènes de crime.

RAT
15€ à 40€
DarkComet, Cybergate, DarkDDoser sont à ranger dans la catégorie des RAT, les Remote Administration Tools. Ces chevaux de Troie permettent de contrôler un ordinateur à distance, et leur prix a chuté: les tarifs tournaient entre 40 et 200 euros en 2013, mais la plupart de ces malwares sont maintenant disponibles pour quelques dizaines d’euros. Une baisse expliquée par des codes sources récemment rendus publics gratuitement pour les RAT les plus courants. Le marché s’est aussitôt adapté: les RAT à la vente sont de plus en plus souvent accompagnés de crypters qui les rendent indétectables aux systèmes antivirus.

Ordinateurs zombies
90€ en Asie, 1000€ aux Etats-unis
Des blocs entiers d’ordinateurs «zombies» sont aussi proposés par les pirates. Tout en masquant leur propre identité, les acheteurs n’ont plus qu’à utiliser ces PC infec­tés à l’insu de leurs propriétaires pour démultiplier l’effet d’une attaque noyant un site sous les demandes d’accès, et demander ensuite une rançon pour que tout rentre dans l’ordre. Le contrôle de 5’000 PC infectés se négocie en fonction de leur localisation: peu élevés en Asie, les prix grimpent aux Etats-Unis, un pays dont les adresses IP sont recherchées: elles seules permettent l’accès aux sites réservés à des clients américains.

Mercenariat
A partir de 150$
Si un criminel n’a pas les compétences requises, des mercenaires sont prêts à proposer des services personnalisés à des tarifs modestes. A en croire Erwan Keraudy, le fondateur de CybelAngel, une start-up spé­cialisée en cyberdéfense, «on peut s’offrir les services d’un hacker à partir de 150 dollars pour qu’il sabote une messagerie électro­nique ou lance une attaque par déni de services sur tel ou tel site». Le Graal? Les program­mes capables d’exploiter les «Zero Day», ces failles encore inconnues des fabricants de logiciels. Ces virus peuvent valoir plusieurs centaines de milliers de dollars lorsqu’ils s’attaquent à un logiciel répandu.

Manuels de formation
1$ à 30$
Loin d’être réservées à une élite, les techniques de piratage se démocratisent: les tutoriels de hacking pour débutants font fureur sur les sites de discussion spécialisés. Les fiches pratiques se négocient autour de un dollar et des manuels plus complets avoisinent les 30 dollars. Des infor­mations largement à la portée des pirates débutants qui y trouvent les recettes nécessaires pour racketter des particuliers ou des PME. C’est plus leur nombre que leur expertise qui représente une menace.
_______

«Chaque pays a des priorités différentes»

D’après Udo Helmbrecht, directeur de l’Agence européenne chargée de la sécurité des réseaux et de l’information (Enisa), les pays de l’Union doivent mieux se coordonner.

Quel est actuellement le principal défi en termes de sécurité sur internet?
Le crime organisé, car il ne cesse de progresser et c’est lui qui fait le plus de dégâts. Malheureusement, le phishing et les fraudes à la carte bancaire n’ont rien de compliqué: les logiciels sont en vente libre sur internet. Et le fait que les attaques émanent souvent de pays qui n’ont pas d’accord avec l’Europe complique les choses. Nous savons repérer des criminels en Russie ou dans certaines régions d’Asie, mais il est très difficile de les arrêter.

Que faites-vous contre ces menaces?
Tous les deux ans, nous organisons un exercice baptisé «Cyber Europe», destiné à tester la résistance des systèmes informatiques et notre capacité à répondre aux menaces. Il réunit plus de 200 entités (dont des opérateurs de télécommunications et des banques) et plus de 400 représentants de tous les pays de l’Union européenne. Depuis un centre situé à Essen, en Allemagne, ils doivent gérer plusieurs simulations d’incidents de cybersécurité.

Quels types d’incidents?
Des attaques par déni de service ou des problèmes techniques. Il y a quelques années, un câble sous-marin a été coupé lors de travaux à Alexandrie, en Egypte, interrompant 20 à 40% du trafic internet vers l’Asie. Si un nœud était endommagé, internet pourrait être coupé dans une grande partie de l’Europe.

Comment l’Europe peut-elle s’améliorer?
Il nous faut une approche verticale de la prise de décision, qui aille du problème technique jusqu’au niveau politique. Tous les Etats ont des ministères chargés des stratégies en cas de propagation d’Ebola ou de menace financière. Mais nous n’avons pas de procédure de transmission bien établie en cas de problème informatique. Ces questions sont traitées par une myriade de ministères, de départements et d’agences en Europe, et chaque pays a des priorités différentes.

Quelles sont les nouvelles menaces?
De plus en plus d’appareils sont connectés à internet. Par exemple, les premiers compteurs électriques n’étaient pas protégés: nous avons donc encouragé les sociétés de services collectifs à investir. Les constructeurs automobiles commencent à produire des voitures connectées, ce qui signifie qu’ils devront se poser la question de la sécurité informatique. Une seule règle: ne connectez jamais vos infrastructures clés au Web.

Interview réalisée par Mark Peplow
_______

Une version de cet article est parue dans le magazine Technologist.