Académique Documents
Professionnel Documents
Culture Documents
INCURSION DANS LE
BLACKMARKET
LES EXPERTS DU G DATA SECURITYLABS DEVOILENT LES
DESSOUS DES MARCHES CYBERCRIMINELS.
I.
CYBERCRIMINALITE ...................................................................................................................... 5
II.
A.
B.
Forums .............................................................................................................................................................................. 7
B.
C.
Tor....................................................................................................................................................................................... 7
D.
E.
F.
IRC ....................................................................................................................................................................................... 8
G.
Messagerie mobiles...................................................................................................................................................... 8
WebStore ......................................................................................................................................................................... 8
B.
C.
DeepBay ........................................................................................................................................................................... 9
D.
Pandora ............................................................................................................................................................................ 9
E.
Agora ................................................................................................................................................................................. 9
V.
A.
Grams ............................................................................................................................................................................. 10
B.
OnionCity ...................................................................................................................................................................... 10
C.
Surfwax .......................................................................................................................................................................... 11
D.
Torsearch....................................................................................................................................................................... 11
E.
Logiciels malveillants................................................................................................................................................ 12
1. Ransomware/Crypter ............................................................................................................................................. 13
2. Exploits ........................................................................................................................................................................ 13
B.
C.
B.
C.
D.
B.
Attaques DDoS............................................................................................................................................................ 18
B.
Spam ............................................................................................................................................................................... 18
C.
D.
E.
F.
Multi Scanner............................................................................................................................................................... 19
X.
A.
B.
XI.
XII.
I.
CYBERCRIMINALIT
Lconomie numrique a considrablement volu au cours de cette dernire dcennie, la cybercriminalit a suivi.
Ainsi, alors quen 2000 deux tudiants philippins concevaient le vers I Love You par simple jeu (infection de 3
millions dordinateurs en quelques jours), en 2012 ce sont par exemple 39 personnes qui taient juges pour avoir
infect plus de 13 millions d'ordinateurs et drob 100 millions de dollars avec le Botnet Zeus. Cette montisation
de la cybercriminalit repose aujourdhui sur des systmes dchanges parallles parfaitement structurs.
Les principales plates-formes cybercriminelles sont des forums lapparence peu diffrente des sites lgaux. Mais
dans la partie prive, seulement accessible aux membres, se cachent des places de march (blackmarket) o
chaque membre propose produits et services. Failles, donnes de cartes de crdit, adresses email, location de
botnet, etc. sont proposes. Mais aussi dautres produits de la vie relle : faux passeport, drogues, armes, etc. tout
sachte et se vend. De
vritables boutiques
spcialises sont aussi
disponibles sur Internet.
Annonces par bannires
publicitaires sur les forums, elles
proposent lachat en gros de
donnes (numro de carte
bancaire, compte PayPal). Des
achats qui disposent mme
dune garantie de retour en cas
de non-validit des donnes.
le plus connu (voir chapitre III.C.). Mais dautres outils tels quI2P permettent galement daccder et de crer des
rseaux anonymes dans le darknet.
A. Forums
Les forums du blackmarket fonctionnent comme les sites de petites annonces du
Clear Web. Les offres de vente sont postes directement dans les rubriques
thmatiques du forum. Si les annonces sont consultables par tous les utilisateurs
enregistrs du forum, une fois le contact tabli, les changes seffectuent le plus
souvent via les canaux de messagerie instantane (voir chapitre III.E.), jugs plus
discrets. Certaines offres (numros de carte, programmes malveillants, services) sont
diffuses simultanment sur plusieurs forums. Langlais et le russe sont les langues
les plus couramment utilises sur ces Forums.
C. Tor
Le rseau dcentralis Tor rpond lui aussi au besoin danonymisation recherch par les cybercriminels. Ce rseau
Internet superpos dit en Oignon se compose de plusieurs couches, appeles nuds, ayant pour principe de
transmettre de manire anonyme les flux TCP : aprs un nud, il est dans quasi impossible de remonter ladresse
IP dune connexion Internet. Cette capacit danonymisation fait du rseau Tor une plateforme de choix pour le
cybercrime, si bien que la plupart des espaces de ventes et des forums utilisent ce rseau.
D. Serveurs bulletproof
Ces serveurs sont, si lon sen rfre la traduction littrale, lpreuve des balles. Ils proposent des hbergements
sans prendre en considration le type de donnes qui seront stockes ou lusage qui en sera fait. Des contenus
illgaux allant de productions rgies par le droit dauteur (film, musiques) aux images pdopornographiques y
sont stocks. Ces serveurs exploitent certaines failles de larchitecture DNS pour associer plusieurs adresses IP
une URL parmi lesquelles la technique fast flux qui rend trs difficile lidentification de ces serveurs. Le second
usage courant de ces serveurs bulletproof, cest la mise en place de serveurs de C&C (contrle et commande) qui
permettent de prendre le contrle dordinateurs infects par un trojan dans le cadre de cration de rseaux botnet
(voir chapitre VIII.).
Copyright 2015 G DATA Software AG
E. Messageries instantanes
Trs utilise il y a quelques annes, la messagerie instantane ICQ a aujourdhui t supplante par des solutions
concurrentes (Skype, Talk, etc.). Elle reste toutefois ouverte tous et certains aficionados continuent utiliser cette
plateforme pour discuter entre amis. La plateforme est aussi trs utilise par les cybercriminels. Dans la plupart des
annonces postes sur les forums, les cybercriminels indiquent leur identifiant de messagerie instantane ICQ afin
de discuter plus librement des conditions et de raliser la transaction. Certains vendeurs ont mme dvelopp des
boutiques spcifiques travers cette plateforme. Des protocoles automatiss, fonctionnant par codes numriques,
permettent de passer des commandes sans mme sortir dICQ.
ICQ nest pas la seule messagerie utilise. Elle subit la concurrence de diffrents autres outils comme Jabber.
Jabber peut galement agir en complment dICQ : il exploite le protocole XMPP (le standard de la messagerie
instantane, galement utilis par la majorit des autres acteurs) et, en y ajoutant le module OTR (off the record),
permet de chiffrer lensemble des conversations.
F. IRC
Acronyme dInternet Relay Chat, lIRC est un autre protocole de communication qui a connu ses heures de gloire
dans les annes 2000. Ce systme de communication prend principalement la forme de groupes de discussion sur
lesquels les intervenants se connectent travers un canal spcifique. Conversation individuelle et transfert de
fichiers sont aussi possibles. Fortement concurrenc par la simplicit des messageries instantanes, lIRC est moins
utilis aujourdhui dans les usages courants. Mais compte tenu des possibilits danonymisation et de
communication de groupe, cest encore un systme particulirement apprci des cybercriminels.
G. Messagerie mobile
Le ct pratique des messageries instantanes sur mobiles gagne galement le secteur cybercriminel. Afin de
communiquer en toute impunit, notamment pour finaliser des transactions commences en ligne, un nombre
croissant de cybercriminels optent pour les messageries cryptes disponibles sur mobile. Plusieurs solutions, telle
que par exemple la messagerie Threema, sont proposes par loffreur dans ses annonces afin de pouvoir le
contacter plus directement.
A. WebStore
Les Shops sont lquivalent des sites de commerce lectronique du clear web. On peut distinguer les shops
professionnels qui sont dvolus lachat de numros de cartes bancaires (carding) et dont les offres sont
structures, des shops amateurs par nature plus volatiles. Les shops voluent trs rapidement et quelques
semaines suffisent pour voir exploser loffre disponible.
B. SilkRoad Reloaded
Sans doute lun des plus importants blackmarket au monde connu comme le supermarch de la drogue et des
armes. Il a succd SilkRoad et SilkRoad 2.0, successivement ferms par le FBI. On y trouve des kits de piratage
informatique, de faux permis de conduire, passeports, documents dassurance ainsi que des services cl en main
de piratage ou de voies de faits et violences physiques. SilkRoad Reloaded a fait son apparition en janvier 2015,
non plus via Tor, mais via le rseau anonyme I2P.
C. DeepBay
Concurrent de SilkRoad, DeepBay est accessible via Tor. Supermarch de la drogue, cest une place de march trs
active qui utilise notamment Twitter pour racoler de nouveaux clients. Drogues, mtaux, donnes, armes, tabac ou
encore contrefaons, les rubriques sont aisment accessibles.
D. Pandora
Cette place de march particulirement rpute offre un large ventail de produits et services illicites. Pandora est
sans doute lun des espaces sur lequel les drogues et produits stupfiants circulent le plus. Mais nul nest prophte
en son pays et Pandora a subi une attaque en 2014 et a vu senvoler prs de 250 000 $ en bitcoins.
E. Agora
Agora est lune des places de march les plus populaires du deep web avec prs de 9000 rfrences disponibles.
Seulement accessible par invitation, cette plateforme est aussi rgulirement hors ligne
(https://dnstats.net/market/Agora).
A. Grams
Grams est un moteur de recherche qui a vu le jour en 2014. Il est conu pour mener des recherches sur les
diffrents lieux dchanges. Grams indexe notamment les produits disponibles sur Agora, Pandora, et Silk Road 2.
Les listings de contenus indexs sont actualiss toutes les 72 heures.
B. OnionCity
Onion.City est un moteur de recherche destin au DarkNet et aliment par le proxy Tor2Web. Ce dernier lui permet
daccder en profondeur au rseau danonymisation TOR. Il dtecte et indexe ainsi des sites .onion en agrgeant
les services undergrounds pour les rendre ensuite disponibles via un simple navigateur Web.
10
C. Surfwax
Conu pour afficher les rsultats de plusieurs moteurs de recherche en mme temps, Surfwax est un mtamoteur
qui autorise la cration des searchsets. Lutilisateur peut ainsi composer ses propres ensembles personnaliss
(listes) des sources qui peuvent alors tre enregistres. Surfwax est un outil particulirement adapt la recherche
deep web, car il rcupre des informations manant de sources que les moteurs de recherche classiques ne
prennent pas en considration.
D. Torsearch
Vritable porte dentre sur le rseau TOR, ce moteur de recherche est un passage incontournable pour pntrer
sur les blackmarkets et sites illicites du deep web. Considr comme le Google du deep web, Tor Search fait figure
de rfrence.
11
A. Logiciels malveillants
Lappellation gnrale de logiciel malveillant regroupe au sens large lensemble des codes malveillants dvelopp
dans le but de contrler ou dinfecter les machines.
Les places de march tant multiples et les moyens dchanges opaques, quantifier le volume des codes
malveillants changs sur ces plateformes est impossible. Mais en se basant, non pas sur les ventes des codes,
mais sur leur utilisation, il est possible davoir une vision assez prcise des typologies de codes changs. Les
donnes du G DATA Security Labs bases sur le nombre de signatures antivirales gnres montrent la rpartition
des grandes familles de codes nuisibles. Le graphique 1 montre ainsi que les trojan constituent la principale
catgorie de codes utiliss, et donc probablement changs sur les places de march. De fait, le trojan est la bote
outils du cybercriminel. Beaucoup plus cibls sur lactivit mercantile, les adwares connaissent une forte
croissance. Ces codes enregistrent les activits et les processus d'un ordinateur (habitudes de navigation, par
exemple) et affichent des
publicits dans les fentres des
navigateurs. Les adwares ont de
plus lavantage dtre souvent
dans la zone grise, autrement dit
la limite de la lgalit, si bien que
les risques pour leurs utilisateurs
sont quasi nuls. Les tlchargeurs
(downloader) ont pour mission de
charger ou de copier un fichier sur
l'ordinateur infect. En tant que
module indispensable toute
infection, ils sont eux aussi trs
prsents sur les places de march
cybercriminels.
Graphique 1 : volution des catgories de logiciels malveillants depuis 2012
12
1. Ransomware/Crypter
Bien que faisant partie de la grande famille des
malware, les ransomware constituent une
catgorie part sur les sites de vente. Ces logiciels
malveillants bloquent lordinateur et exigent le
paiement dune ranon pour en rendre le contrle
son propritaire. Les plus volus chiffrent les
documents contenus sur le disque dur,
empchant toute tentative de rcupration. Ces
programmes, camoufls dans des documents, soidisant lgitimes (fichier bureautique, conomiseur
dcran), sont massivement diffuss par envoi de
spam. Lattaquant na alors plus qu attendre que
les destinataires tombent dans le pige.
2. Exploits
Les exploits sont des programmes informatiques qui mettent en uvre l'exploitation d'une vulnrabilit, dune
faille, dans un logiciel. Chaque exploit est spcifique une version du logiciel et permet den exploiter une
vulnrabilit. Lexploitation dune faille dans un logiciel vulnrable offre des possibilits daugmentation de
privilges dans le systme dexploitation et ainsi lexcution de code malveillant. La finalit de ce type dattaque
est gnralement la prise de contrle de la machine attaque. En tant que porte dentre pour linfection, lexploit
est un des outils les plus recherchs sur le blackmarket. Les tarifs de ces exploits voluent en fonction du logiciel
cibl et de sa nouveaut. Ainsi, un exploit 0day (non diffus sur Internet et non corrig par lditeur) touchant
Windows (le systme dexploitation majoritairement utilis) peut se ngocier pour plusieurs milliers, voire
plusieurs dizaines de milliers deuros. Dernirement, la boutique ddie TheRealDeal a vu le jour sur le rseau
anonyme Tor. Cette nouvelle place de march se prsente comme le lieu de vente privilgi pour les exploits
techniquement avancs et forte valeur.
La commercialisation dexploit est une activit lucrative qui flirte bien souvent entre lgalit et illgalit. Des
socits ayant pignon sur rue se sont galement spcialises dans la recherche et la commercialisation dexploit
0day. Les grands diteurs souhaitant limiter les failles dans leurs programmes, ils sont prts dpenser beaucoup
dargent pour acheter ces exploits.
Rcemment, G DATA Software a dtect
une campagne de malvertising (malware
dans des bannires) qui dtourne le
systme AdSense de Google. Elle touche
les bannires publicitaires de Google Ads,
trs utilises par les sites Internet et les
annonceurs. Le principe de cette attaque
consiste charger dans les bannires de
publicit Google Ads une balise IFrame
pointant vers une adresse compromise.
Cette balise IFrame est charge et saffiche
sur le site Internet. Le visiteur du site
Internet est alors expos au risque que
Graphique 2 : dtection des attaques via lexploit kit Nuclear.
reprsente le code malveillant. Dans le cas
Copyright 2015 G DATA Software AG
13
de cette attaque, il sagit de lexploit kit Nuclear. Ce kit est disponible sur le march cybercriminel pour environ
1500 dollars.
C. Matriel la vente
Le blackmarket ne se rsume pas des places de march ddies aux programmeurs. Un pan entier est galement
consacr aux changes mafieux et criminels. Faux papiers, armes, drogues, mdicaments et matriels divers sont
proposs en toute impunit.
14
3. Carding et skimming
Gnrer des revenus par le piratage de cartes bancaires est une des activits privilgies des rseaux mafieux
cybercriminels. Ceci passe en premier lieu par lutilisation dinformations de cartes bancaires (numro, date
dexpiration et code de vrification) voles sur des plateformes de commerce lectronique lgales, mais
galement par la cration et lutilisation de fausses cartes dans des magasins ou distributeurs de billets physiques.
Mais crer de tels systmes ncessite du matriel. Parce que de tels achats ne sont pas aiss dans le commerce et
parce quils pourraient galement alerter les autorits, loffre est disponible sur les marchs parallles. Lecteurs de
bandes magntiques, imprimantes de cartes, systme de collecte poser sur les distributeurs automatiques de
billets, tout le matriel ncessaire au vol et piratage des cartes est disponible. Bien entendu, ce matriel est
galement disponible dans des boutiques lgales, mais elles ne permettent pas lanonymat propos sur le
blackmarket.
A. Adresses email
Lemail est une des ressources ncessaires pour les activits cybercriminelles. Mme si
les attaques par infection de sites Internet (drive by) se gnralisent, les tentatives
dinfection et hameonnages par email restent prsentes. Dans cette optique,
disposer dune base email valide est un atout. Pour la collecte, plusieurs mthodes
existent. La plus simple consiste scanner les forums et pages web la recherche dadresse
email. Une autre consiste pntrer les systmes de base de donnes de web marchands ou de
fournisseurs daccs Internet. Enfin, il est galement possible de rcuprer une base email plus ou moins
grande dans lordinateur infect dune victime.
15
Pour se procurer des comptes email, plusieurs solutions sont possibles. Les attaquants ayant pour finalit la
revente de ces donnes ralisent des campagnes dhameonnage ddies. Les bases email en poche, ils ralisent
des campagnes spcifiques. Qui na pas reu de faux emails manant dOrange, Free ou SFR les invitant
confirmer leur identifiant et mot de passe ? Dautres cyberdlinquants, dont la finalit est dutiliser les comptes
emails pour leurs activits illgales, peuvent opter pour lachat. Les tarifs proposs voluent en fonction du pays
cibl et du degr de validation des informations (compte valid). titre dexemple, 40 000 comptes email
(identifiants et mot de passe) non valids se ngocient environ 20 dollars
C. Cartes bancaires
Acheter frauduleusement des biens et des services sur Internet est une activit
courante pour les cyberdlinquants. Pour cela, lutilisation de cartes bancaires voles
est ncessaire. Inutile de disposer de vritables connaissances techniques pour
acqurir ce type de donnes personnelles. Les places de march regorgent de cartes
bancaires voles. Sur les sites de vente, les cartes disponibles sont tries en fonction du
type de carte, de la date de validit, du pays dmission, etc. le paiement se fait en ligne. Les prix
varient de 1 100 et dpendent des places de marchs, du volume dachat, du type de carte ou du pays
dmission. Bien sr, le processus de validation de la carte joue un rle important sur le tarif. En moyenne une
carte bancaire internationale franaise est vendue aux alentours des 50 .
A. Le botnet : dfinition
Un botnet (robot network) est un ensemble dordinateurs infects et contrls distance par une personne dans
le but de les utiliser des fins dlictueuses. Larchitecture dun botnet (la connexion Internet de chaque ordinateur
contrl) peut tre utilise pour de multiples actions : envoi de spam, campagne dhameonnage, distribution de
codes malveillants, DDoS (Distributed Denial of Service qui sature les serveurs informatiques de la cible et le rend
indisponible pour un temps donn), etc. Mais le contenu des ordinateurs contrls peut aussi tre utilis : donnes
Copyright 2015 G DATA Software AG
16
bancaires, identifiants demail ou de boutique en ligne collecte sur les postes des utilisateurs peuvent faire lobjet
dune exploitation dlictueuse ou dune revente.
B. cosystme du botnet
En tant que systme complexe, le botnet requiert diffrentes comptences, et implique linteraction de plusieurs
intervenants qui commercent sur les places de marchs parallles. Les codes malveillants ncessaires linfection
et au contrle (incluant le serveur de contrle et de commande) sont les points de dpart de cette action
cyberdlinquante : sans code adapt, pas dinfection possible. Cest ce niveau quinterviennent les
programmeurs : des milliers de codes malveillants de tout type sont disponibles lachat sur les forums
spcialiss. Une fois le code en poche, il sagit alors de le diffuser au plus grand nombre. Sans comptence interne,
le dlinquant peut faire appel des services ddis. Il faut compter entre 20 et 100 pour linfection de 1000
ordinateurs, le prix est en fonction de la localisation des systmes. Plusieurs lments entrent en compte pour
dfinir le tarif des clients infects. Les pays disposant de connexion rseau plus rapide sont plus intressants. Les
habitants des pays les plus riches sont aussi les plus recherchs : leurs cartes bancaires et donnes personnelles
assurent une plus grande rentre dargent lattaquant.
Au final, il aura fallu dbourser plusieurs milliers deuros pour constituer le botnet. Il est alors temps de le
rentabiliser. Son propritaire va alors pouvoir compter sur les donnes quils renferment. En fonction de la qualit
des internautes infects, il va rcuprer sur les machines infectes les identifiants demails, de rseaux sociaux
voire de comptes bancaires. Autant de donnes valorisables sur les places de marchs. Lillustration 2 nest bien
entendu quune vision limite de lcosystme cybercriminel global. Fournisseurs dinfrastructures (serveurs
bulletproof), structures spcialises dans le blanchiment dargent (conversion de bitcoin en monnaie relle),
dlinquants spcialiss dans lachat frauduleux sur des sites de commerce lectronique, etc. une multitude
dautres acteurs du blackmarket bnficieront directement ou indirectement de ce botnet.
17
A. Attaques DDoS
Lorsquun cybercriminel souhaite mener une attaque sur une ou plusieurs cibles sans
disposer ncessairement du savoir-faire ou des outils ncessaires, il peut passer une
annonce spcifique sur le blackmarket, ou bien encore rpondre une offre dun pirate
sur ces mmes rseaux. Lorsque lon souhaite acheter une attaque DDoS par exemple,
la prestation est facture le plus souvent au volume dattaque par heure, par jour ou par
semaine. Pour une attaque cible sur un site, les tarifs varient lheure entre 10 et 200 .
B. Spam
Envie dinonder le web dun message publicitaire ou subversif ? Sur le blackmarket, il
suffit de souscrire un service denvoi, le plus souvent hberg sur un serveur
bulletproof, afin dviter que la source de la campagne soit traable. Plusieurs facteurs
influent sur le tarif : le volume de message adress, mais aussi la qualit du service denvoi
et sa capacit dtourner des dispositifs de protection comme les Captchas.
C. Installation de Bot
Les botnets sont des outils privilgis pour les cybercriminels. Mais comme dans la
plupart des cas sur le blackmarket, chaque tape de cration fait appel des soustraitants. Le dploiement du code malveillant fait partie des tapes incontournables.
Des acteurs spcialiss vendent ce service ceux souhaitant agrandir ou constituer un
botnet. Ce type de prestataires facture entre 20 et 100 pour du bot sur 1000 ordinateurs
situs en Europe. Un tarif aussi bas dmontre que la procdure est rapide. Linfection de site
Internet vulnrable par lutilisation dexploit kits est privilgie. Elle permet de rapidement toucher des
internautes non protgs.
D. Attaques dhameonnage
Sur le blackmarket, une campagne dhameonnage peut se mettre en place assez
simplement. Avec les kits cls en main, inutile dtre un spcialiste. Il est possible de
crer une page Internet falsifie en quelques minutes sans connaissances particulires.
En fonction de la notorit des tablissements cibls et de la qualit des kits (soin
graphique, orthographe soigne, etc.), les prix fluctuent entre 10 et 30 par page cre. Cette
page cre et stocke sur des serveurs web pirats, il suffit au cybercriminel dattirer les victimes
potentielles. L encore pas besoin de grandes connaissances et de matriel. Il suffit dacheter une base dadresse
email et de la diffuser par des systmes denvoi ddis. Lattaque complte naura finalement cot que quelques
centaines deuros.
Copyright 2015 G DATA Software AG
18
F. Multi Scanner
Toute cration dun nouveau code malveillant passe par une ultime tape : la
vrification de sa non-dtection par les logiciels antivirus. Pour un usage lgal, un multi
scanner tel que VirusTotal fait lunanimit. Mais avec cette solution, tout code scann
non dtect est automatiquement envoy aux diteurs pour analyse. Autant dire quil
est hors de question pour un programmeur de codes nuisibles dutiliser une telle solution.
Cest pourquoi des sites spcialiss de multi scanners anonymes sont disponibles. Pour moins dun
euro, il est possible de faire scanner anonymement et simultanment son code avec 35 antivirus. Pour les gros
consommateurs, un paiement mensuel 30 est propos.
X. DU VIRTUEL AU REEL
Sil existe bien des rseaux de cyberterroristes qui souhaitent avant tout dstabiliser le systme et lopinion, ce sont
bien des motivations crapuleuses qui animent le blackmarket. Largent est donc le nerf de la guerre sur le Web
profond et les trafics en tous genres finissent toujours par se solder par une transaction financire. Ce passage du
virtuel au rel est ltape la plus dangereuse pour les cybercriminels, car elle peut permettre aux autorits dtablir
un lien avec le dlinquant. Mais plusieurs solutions existent pour viter les risques. Monnaies virtuelles et ingnieux
systmes de blanchiment sont disponibles.
19
1. WebMoney
Parmi les stars des paiements sur le blackmarket, Webmoney fait office de
figure historique. Cette solution a vu le jour en 1998 en Russie. Elle
revendique aujourdhui 28 millions dutilisateurs dans le monde. Ce systme
de transferts permet de raliser des transactions et deffectuer des
paiements en ligne. Diffrents porte-monnaie sont disponibles chez
Webmoney en fonction des pays/zones gographiques (WMZ pour les tatsUnis, WME pour lEurope, etc.). Chaque porte-monnaie offre des taux de
conversion en fonction des zones et permet plus ou moins de passages dans
lconomie relle (en fonction des lgislations en vigueur).
20
2. Bitcoin
Bitcoin est la monnaie en vogue depuis ces dernires annes. Bitcoin est parfaitement anonyme. Ce systme qui a
vu le jour en 2009 repose sur le principe dune unit de compte. Chaque Bitcoin est identifi par son histoire depuis
sa cration jusqu' la date prsente o un agent le dtient, travers toutes les transactions dans lesquelles ce Bitcoin
est impliqu et qui sont reconnues par les signatures cryptographiques qui ainsi l'avalisent. Le 9 fvrier 2011, la
valeur du Bitcoin atteignait la parit avec le dollar. En juin 2011, le taux de change dpasse les 31 $, avant de
retomber sous les 4 $ en dcembre. Le 29 novembre 2013, la valeur d'un Bitcoin dpasse celle de l'once d'or. Au
cours actuel, un Bitcoin vaut environ 211 $. Les Bitcoins figurant dans les transactions dont un compte est
bnficiaire peuvent tre rutiliss par le titulaire de ce compte dans des transactions dont il est l'metteur,
condition qu'il puisse justifier de son identit au moyen de sa signature cryptographique, les comptes eux-mmes
tant anonymes. Les Bitcoins ainsi changs constituent une monnaie cryptographique, qui a vocation tre
utilise en tant que moyen de paiement. En juillet 2013, la Thalande a t le premier pays interdire le Bitcoin,
rejoint ensuite par la Chine, et la Russie.
21
pouvant alerter les autorits financires, les dlinquants optent pour des comptes bancaires de personnes dupes
(mules), ou ouverts laide de fausses identits. Avec les Bitcoins, il existe de puissants rseaux de change comme
Zipzap (qui revendique 25 000 implantations au Royaume-Uni, 240 000 en Russie). Des distributeurs de monnaies
prenant en charge les Bitcoins font galement leur apparition. Ils permettent de retirer des euros en change de la
monnaie virtuelle.
4. Virements bancaires
Mme sils ont recours aux monnaies virtuelles et portefeuilles lectroniques, les cybercriminels finissent toujours
par montiser ce capital pour en disposer dans le monde physique. La solution la plus frquemment exploite par
les malfrats consiste publier des annonces sur le blackmarket (ou parfois par le biais de spams) afin de recruter
des mules . Ces dernires acceptent de recevoir des sommes quelles redistribuent ensuite sur dautres comptes
aprs avoir prlev une pitre commission. La promesse repose sur un travail facile et excut domicile
22
Prix min
Gratuit
Gratuit
Gratuit
Gratuit
Gratuit
Gratuit
50 $
Prix max
300 $
150 $
150 $
10 000 $
15 000 $
50 $
2 000 $
Services
Service de chiffrement (FUD)/programme
Attaques DDoS / heure
Installations de bot pour 1000 (Europe)
2$
10 $
20 $
20 $
200 $
100 $
Donnes
Fullz (Europe)
American Express (Europe)
Mastercard Gold (France)
Carte Visa Premier (France)
Passeport (Europe)
Carte d'assur social (tats-Unis)
Permis de conduire (tats-Unis)
Un million d'adresses email
20 $
Gratuit
Gratuit
Gratuit
150 $
150 $
150 $
10 $
70 $
50 $
50 $
50 $
2 000 $
2 000 $
2 000 $
150 $
Comptes
Compte Steam
Accs compte bancaire
Compte PayPal
Gratuit
Gratuit
Gratuit
150 $
50 $
50 $
23
24
est impossible de supprimer ou de fermer. Les navigateurs Internet hijackers utilisent souvent les failles
de scurit et les points faibles des systmes pour sy implanter profondment. La suppression de ces
fonctions de commande est souvent trs difficile.
Internet Relay Chat (IRC) : protocole permettant deux personnes ou plus de communiquer par crit de
manire instantane via Internet.
Keylogger : un keylogger (enregistreur de frappe) permet denregistrer les entres sur le clavier et de les
envoyer le cas chant. Les mots de passe et donnes personnelles peuvent ainsi tre extorqus.
Messagerie instantane : communication directe entre deux ou plusieurs personnes. Les messages
crits sont envoys immdiatement (Instant) et apparaissent dans linstant chez linterlocuteur. Tous les
participants doivent gnralement tre connects chez le mme prestataire.
VPN : un VPN permet dtablir des connexions encodes avec dautres ordinateurs ou dans dautres
rseaux. Il est possible de dissimuler lintgralit de son trafic Internet via une connexion VPN. Dans ce
cas, seul lIP de lordinateur qui permet dtablir une connexion est mis.
Payload : il image en anglais la fonction destructrice dun virus. Lactivation de cette action peut tre lie
une condition, un lment dclencheur (payload trigger).
PC zombie : ordinateur contrlable distance partir dune porte drobe (backdoor). La machine
zombie obit son matre qui la contrle partir dun serveur de commandes et de contrle (C&C). La
plupart du temps, les PC Zombies sont runis sous forme de rseaux appels botnet.
Proxy : il sert dintermdiaire entre lexpditeur et le destinataire, sachant que le destinataire ne connat
pas ladresse de lexpditeur, mais seulement celle du proxy.
RAT (Remote Administration Tool) : outils permettant aux fraudeurs de commander distance
lordinateur des victimes.
Skimming : attaque consistant copier les informations de cartes bancaires dutilisateurs par la
transformation ou la manipulation de distributeurs automatiques de billets ou de moyens de paiement
(distributeurs dessence).
Social Engineering : tactiques de recherche utilises par un pirate informatique pour obtenir des
informations dune personne ou dune structure, quil pourra utiliser ensuite pour lui nuire.
Spyware : logiciel qui enregistre les activits et les processus excuts sur un ordinateur et qui transmet
ces informations des tiers. Souvent, les Spyware sont exploits pour des encarts publicitaires ou
analyser le comportement de navigation.
25