Vous êtes sur la page 1sur 24

G DATA WHITEPAPER CYBERCRIME / 2015

INCURSION DANS LE
BLACKMARKET
LES EXPERTS DU G DATA SECURITYLABS DEVOILENT LES
DESSOUS DES MARCHES CYBERCRIMINELS.

Copyright 2015 G DATA Software AG

G DATA WHITEPAPER CYBERCRIME / 2015

I.

CYBERCRIMINALITE ...................................................................................................................... 5

II.

LE BLACKMARKET, PLACE DES ECHANGES ................................................................................. 6

A.

Un march de plusieurs milliards deuros ............................................................................................................ 6

B.

Le deep web nest pas le darknet ............................................................................................................................ 6

III. STRUCTURES TECHNIQUES .......................................................................................................... 7


A.

Forums .............................................................................................................................................................................. 7

B.

Proxy et VPN anonymes .............................................................................................................................................. 7

C.

Tor....................................................................................................................................................................................... 7

D.

Serveurs bulletproof .................................................................................................................................................... 7

E.

Messageries instantanes .......................................................................................................................................... 8

F.

IRC ....................................................................................................................................................................................... 8

G.

Messagerie mobiles...................................................................................................................................................... 8

IV. LIEUX DECHANGES ...................................................................................................................... 8


A.

WebStore ......................................................................................................................................................................... 8

B.

SilkRoad Reloaded ........................................................................................................................................................ 9

C.

DeepBay ........................................................................................................................................................................... 9

D.

Pandora ............................................................................................................................................................................ 9

E.

Agora ................................................................................................................................................................................. 9

V.

RESEAUX ANONYMES ET RESEAUX PUBLICS .............................................................................. 9

A.

Grams ............................................................................................................................................................................. 10

B.

OnionCity ...................................................................................................................................................................... 10

C.

Surfwax .......................................................................................................................................................................... 11

D.

Torsearch....................................................................................................................................................................... 11

E.

Memex, le moteur deep web officiel .................................................................................................................. 11

VI. PRODUITS DISPONIBLES ............................................................................................................ 12


A.

Logiciels malveillants................................................................................................................................................ 12
1. Ransomware/Crypter ............................................................................................................................................. 13
2. Exploits ........................................................................................................................................................................ 13

B.

Tutoriels pour les nouveaux................................................................................................................................... 14

C.

Matriel la vente ..................................................................................................................................................... 14


1. Faux papiers, pour tous les usages .................................................................................................................... 14
2. Armes et drogue en libre-service ...................................................................................................................... 14

Copyright 2015 G DATA Software AG

G DATA WHITEPAPER CYBERCRIME / 2015

3 Carding et skimming ............................................................................................................................................. 15


VII. DONNEES DISPONIBLES : DESCRIPTION ET TARIFS.................................................................. 15
A.

Adresses email ............................................................................................................................................................ 15

B.

Donnes de comptes email.................................................................................................................................... 15

C.

Cartes bancaires ......................................................................................................................................................... 16

D.

Fullz : lidentit complte ........................................................................................................................................ 16

VIII. BOTNET OUTIL DE CHOIX DU CYBERCRIMINEL ...................................................................... 16


A.

Le botnet : dfinition ................................................................................................................................................ 16

B.

cosystme du botnet ............................................................................................................................................. 17

IX. SERVICES A LA DEMANDE .......................................................................................................... 18


A.

Attaques DDoS............................................................................................................................................................ 18

B.

Spam ............................................................................................................................................................................... 18

C.

Installation de Bot ...................................................................................................................................................... 18

D.

Attaques dhameonnage ...................................................................................................................................... 18

E.

Chiffrement la demande (FUD).......................................................................................................................... 19

F.

Multi Scanner............................................................................................................................................................... 19

X.

DU VIRTUEL AU REEL .................................................................................................................. 19

A.

Le systme de monnaies virtuelles...................................................................................................................... 20


1. WebMoney ................................................................................................................................................................. 20
2. Bitcoin .......................................................................................................................................................................... 21

B.

Blanchiment des gains ............................................................................................................................................. 21


1. Achat sur le commerce lectronique............................................................................................................... 21
2. Blanchiment des monnaies virtuelles ............................................................................................................. 21
3. Jeux en ligne comme passerelle........................................................................................................................ 22
4. Virements bancaires ............................................................................................................................................... 22

XI.

LES TARIFS DU BLACKMARTKET....................................................................................................................... 23

XII.

LES TERMES DE LA CYBERCRIMINALITE........................................................................................................ 24

Copyright 2015 G DATA Software AG

G DATA WHITEPAPER CYBERCRIME / 2015

I.

CYBERCRIMINALIT

Lconomie numrique a considrablement volu au cours de cette dernire dcennie, la cybercriminalit a suivi.
Ainsi, alors quen 2000 deux tudiants philippins concevaient le vers I Love You par simple jeu (infection de 3
millions dordinateurs en quelques jours), en 2012 ce sont par exemple 39 personnes qui taient juges pour avoir
infect plus de 13 millions d'ordinateurs et drob 100 millions de dollars avec le Botnet Zeus. Cette montisation
de la cybercriminalit repose aujourdhui sur des systmes dchanges parallles parfaitement structurs.
Les principales plates-formes cybercriminelles sont des forums lapparence peu diffrente des sites lgaux. Mais
dans la partie prive, seulement accessible aux membres, se cachent des places de march (blackmarket) o
chaque membre propose produits et services. Failles, donnes de cartes de crdit, adresses email, location de
botnet, etc. sont proposes. Mais aussi dautres produits de la vie relle : faux passeport, drogues, armes, etc. tout
sachte et se vend. De
vritables boutiques
spcialises sont aussi
disponibles sur Internet.
Annonces par bannires
publicitaires sur les forums, elles
proposent lachat en gros de
donnes (numro de carte
bancaire, compte PayPal). Des
achats qui disposent mme
dune garantie de retour en cas
de non-validit des donnes.

Illustration 1 : lcosystme cybercriminel

Comme toute conomie


parallle, la non-traabilit des
flux dargent est une priorit.
Cest l quintervient la monnaie
virtuelle, et bitcoin comme fer
de lance ! Avec les monnaies
anonymes, les cybercriminels
peuvent alors commercer en
toute tranquillit.

Si commercer virtuellement est


simple et sans grand risque, convertir sa monnaie virtuelle en argent rel est plus compliqu compte tenu des
contrles oprs par les services judiciaires et fiscaux. Mais comme pour tout problme, des solutions existent
Une lutte efficace contre le cybercrime, et les infections digitales qui en dcoulent, passe par une bonne
connaissance de ses rouages. Tout au long de ce dossier, les experts du G DATA SecurityLabs livrent un aperu de
cette nbuleuse quest le blackmarket.

Copyright 2015 G DATA Software AG

G DATA WHITEPAPER CYBERCRIME / 2015

II. LE BLACKMARKET, PLACE DES CHANGES


Parmi les infractions cybercriminelles, on peut recenser le vol ou le dtournement de donnes personnelles, le vol
didentifiants bancaires, la falsification de papiers didentit, lespionnage, lorganisation dactes de piratages
destins dsorganiser des entreprises, des mdias, ou encore la diffusion de logiciels malveillants.
Pour raliser ce type de mfaits, il est rare de disposer de toutes les comptences et ressources requises. Pour cela,
les cybercriminels peuvent se reposer sur la puissance du web. Mais ils nutilisent pas les acteurs classiques du web
pour commercer entre eux, ils nexploitent pas les rseaux courants pour mener leurs transactions dlictueuses. Le
dcor de leurs agissements est communment appel blackmarket. Sous ce terme gnrique sont recenss des
rseaux spcialiss sur lesquels il est possible de vendre, louer, ou acheter des produits ou services dlictueux.
Hormis laccs qui est logiquement plus confidentiel, les caractristiques de ces places de march diffrent peu
des forums et sites de ventes grand public. Sur ces espaces, certains offreurs utilisent publicits et offres spciales
pour attirer le client. Ces plateformes ont galement opt pour des systmes de notation inspirs des forums ou
sites denchres lgaux. Ainsi, lacheteur est assur de la qualit du vendeur. En cas de doute sur le produit, le
risque reste limit : beaucoup sont garantis. Un numro de carte bancaire qui ne fonctionne pas, un code qui pose
problme, avec certains fournisseurs et sur certains forums, cest du satisfait ou rembours !

A. Un march de plusieurs milliards deuros


Difficile de disposer de donnes tangibles sur ces rseaux par nature opaques.
chaque nouveau dmantlement de trafic, chaque intervention des autorits pour fermer une de ces places de
march occultes, ce sont des prjudices de centaines milliers deuros qui sont rvls.
la fin de lanne 2014, le FBI a par exemple tent de mettre un terme Silk Road 2.0. Ce site exclusivement
accessible depuis le rseau anonyme Tor, avait russi fdrer en une anne dexistence prs de 100 000 clients
(entre fin 2013 et fin 2014). En septembre, les ventes ralises sur le site auraient gnr environ huit millions de
dollars. Silk Road prlevait une commission de 8 15% sur chaque transaction. Un exemple parmi tant dautres
des volumes dargent changs en toute illgalit

B. Le deep web nest pas le darknet


Afin de comprendre quelles sont les sources dapprovisionnement du blackmarket, il convient de diffrencier deux
termes frquemment utiliss : deep web et darknet. Tous deux associs la cybercriminalit, ils nen restent pas
moins totalement diffrents dans leur approche et leur fonctionnement.
Le deep web englobe tous les contenus web non indexs. Bien quils ne soient pas protgs en accs, ils ne
peuvent pas tre trouvs par lintermdiaire dun moteur de recherche classique. Cest loppos du clear Web : la
partie visible du Web et facilement accessible partir dun moteur de recherche.
Le darknet est un rseau encore plus profond dans lequel ses utilisateurs ne se connectent qu' des personnes de
confiance. La plupart du temps, ces rseaux sont de petite taille et gnralement lents. Un darknet peut tre cr
par n'importe quelle personne et pour n'importe quel objectif. Mais la technique est le plus souvent utilise
spcifiquement pour crer des rseaux de partage de fichiers. Le dark web est quant lui la partie Web
(composes de pages web) du darknet. Le dark web est accessible via des systmes danonymisation, dont Tor est
Copyright 2015 G DATA Software AG

G DATA WHITEPAPER CYBERCRIME / 2015

le plus connu (voir chapitre III.C.). Mais dautres outils tels quI2P permettent galement daccder et de crer des
rseaux anonymes dans le darknet.

III. STRUCTURES TECHNIQUES


Pour changer, commercer, et sorganiser, le tout anonymement, les cybercriminels ont besoin de structures
techniques ddies. Vous trouverez ci-dessous la base technique du systme.

A. Forums
Les forums du blackmarket fonctionnent comme les sites de petites annonces du
Clear Web. Les offres de vente sont postes directement dans les rubriques
thmatiques du forum. Si les annonces sont consultables par tous les utilisateurs
enregistrs du forum, une fois le contact tabli, les changes seffectuent le plus
souvent via les canaux de messagerie instantane (voir chapitre III.E.), jugs plus
discrets. Certaines offres (numros de carte, programmes malveillants, services) sont
diffuses simultanment sur plusieurs forums. Langlais et le russe sont les langues
les plus couramment utilises sur ces Forums.

B. Proxy et VPN anonymes


Naviguer sur les rseaux de manire anonyme est une ncessit pour les cyberdlinquants. Deux techniques sont
principalement utilises pour masquer ladresse IP de leur machine. Les proxys anonymes sont une premire
possibilit. Mais compte tenu de leur limitation technique, les connexions VPN anonymes leur sont gnralement
privilgies. La technologie VPN englobe lensemble des connexions de la machine, ce qui garantit lanonymat de
toutes les actions que peut entreprendre lattaquant. Bien entendu, proxys et VPN anonymes sont proposs par
des fournisseurs localiss dans des pays peu enclins aux cooprations judiciaires.

C. Tor
Le rseau dcentralis Tor rpond lui aussi au besoin danonymisation recherch par les cybercriminels. Ce rseau
Internet superpos dit en Oignon se compose de plusieurs couches, appeles nuds, ayant pour principe de
transmettre de manire anonyme les flux TCP : aprs un nud, il est dans quasi impossible de remonter ladresse
IP dune connexion Internet. Cette capacit danonymisation fait du rseau Tor une plateforme de choix pour le
cybercrime, si bien que la plupart des espaces de ventes et des forums utilisent ce rseau.

D. Serveurs bulletproof
Ces serveurs sont, si lon sen rfre la traduction littrale, lpreuve des balles. Ils proposent des hbergements
sans prendre en considration le type de donnes qui seront stockes ou lusage qui en sera fait. Des contenus
illgaux allant de productions rgies par le droit dauteur (film, musiques) aux images pdopornographiques y
sont stocks. Ces serveurs exploitent certaines failles de larchitecture DNS pour associer plusieurs adresses IP
une URL parmi lesquelles la technique fast flux qui rend trs difficile lidentification de ces serveurs. Le second
usage courant de ces serveurs bulletproof, cest la mise en place de serveurs de C&C (contrle et commande) qui
permettent de prendre le contrle dordinateurs infects par un trojan dans le cadre de cration de rseaux botnet
(voir chapitre VIII.).
Copyright 2015 G DATA Software AG

G DATA WHITEPAPER CYBERCRIME / 2015

E. Messageries instantanes
Trs utilise il y a quelques annes, la messagerie instantane ICQ a aujourdhui t supplante par des solutions
concurrentes (Skype, Talk, etc.). Elle reste toutefois ouverte tous et certains aficionados continuent utiliser cette
plateforme pour discuter entre amis. La plateforme est aussi trs utilise par les cybercriminels. Dans la plupart des
annonces postes sur les forums, les cybercriminels indiquent leur identifiant de messagerie instantane ICQ afin
de discuter plus librement des conditions et de raliser la transaction. Certains vendeurs ont mme dvelopp des
boutiques spcifiques travers cette plateforme. Des protocoles automatiss, fonctionnant par codes numriques,
permettent de passer des commandes sans mme sortir dICQ.
ICQ nest pas la seule messagerie utilise. Elle subit la concurrence de diffrents autres outils comme Jabber.
Jabber peut galement agir en complment dICQ : il exploite le protocole XMPP (le standard de la messagerie
instantane, galement utilis par la majorit des autres acteurs) et, en y ajoutant le module OTR (off the record),
permet de chiffrer lensemble des conversations.

F. IRC
Acronyme dInternet Relay Chat, lIRC est un autre protocole de communication qui a connu ses heures de gloire
dans les annes 2000. Ce systme de communication prend principalement la forme de groupes de discussion sur
lesquels les intervenants se connectent travers un canal spcifique. Conversation individuelle et transfert de
fichiers sont aussi possibles. Fortement concurrenc par la simplicit des messageries instantanes, lIRC est moins
utilis aujourdhui dans les usages courants. Mais compte tenu des possibilits danonymisation et de
communication de groupe, cest encore un systme particulirement apprci des cybercriminels.

G. Messagerie mobile
Le ct pratique des messageries instantanes sur mobiles gagne galement le secteur cybercriminel. Afin de
communiquer en toute impunit, notamment pour finaliser des transactions commences en ligne, un nombre
croissant de cybercriminels optent pour les messageries cryptes disponibles sur mobile. Plusieurs solutions, telle
que par exemple la messagerie Threema, sont proposes par loffreur dans ses annonces afin de pouvoir le
contacter plus directement.

IV. LIEUX DCHANGES


Pour commercer, des places de marchs spcifiques sont cres. Elles utilisent les techniques de stockage et
danonymisation prsentes plus haut. Ces lieux dchanges utilisent les monnaies virtuelles pour toutes les
transactions (voir chapitre X.).

A. WebStore
Les Shops sont lquivalent des sites de commerce lectronique du clear web. On peut distinguer les shops
professionnels qui sont dvolus lachat de numros de cartes bancaires (carding) et dont les offres sont
structures, des shops amateurs par nature plus volatiles. Les shops voluent trs rapidement et quelques
semaines suffisent pour voir exploser loffre disponible.

Copyright 2015 G DATA Software AG

G DATA WHITEPAPER CYBERCRIME / 2015

B. SilkRoad Reloaded
Sans doute lun des plus importants blackmarket au monde connu comme le supermarch de la drogue et des
armes. Il a succd SilkRoad et SilkRoad 2.0, successivement ferms par le FBI. On y trouve des kits de piratage
informatique, de faux permis de conduire, passeports, documents dassurance ainsi que des services cl en main
de piratage ou de voies de faits et violences physiques. SilkRoad Reloaded a fait son apparition en janvier 2015,
non plus via Tor, mais via le rseau anonyme I2P.

C. DeepBay
Concurrent de SilkRoad, DeepBay est accessible via Tor. Supermarch de la drogue, cest une place de march trs
active qui utilise notamment Twitter pour racoler de nouveaux clients. Drogues, mtaux, donnes, armes, tabac ou
encore contrefaons, les rubriques sont aisment accessibles.

D. Pandora
Cette place de march particulirement rpute offre un large ventail de produits et services illicites. Pandora est
sans doute lun des espaces sur lequel les drogues et produits stupfiants circulent le plus. Mais nul nest prophte
en son pays et Pandora a subi une attaque en 2014 et a vu senvoler prs de 250 000 $ en bitcoins.

E. Agora
Agora est lune des places de march les plus populaires du deep web avec prs de 9000 rfrences disponibles.
Seulement accessible par invitation, cette plateforme est aussi rgulirement hors ligne
(https://dnstats.net/market/Agora).

V. RSEAUX ANONYMES ET RSEAUX PUBLICS


Pour se dplacer sur le web parallle, il nest pas question de recourir aux outils de recherche classiques. Ces
derniers, norms, standardiss, nindexent pas les contenus illicites et quand bien mme ils le feraient, ils
conservent dans leurs logs et historiques, lensemble des traces laisses par les requtes des internautes. Ds lors,
pour naviguer dans le web profond et raliser des transactions sur le blackmarket, les cybercriminels se sont dots
doutils spcifiques.

Copyright 2015 G DATA Software AG

G DATA WHITEPAPER CYBERCRIME / 2015

A. Grams
Grams est un moteur de recherche qui a vu le jour en 2014. Il est conu pour mener des recherches sur les
diffrents lieux dchanges. Grams indexe notamment les produits disponibles sur Agora, Pandora, et Silk Road 2.
Les listings de contenus indexs sont actualiss toutes les 72 heures.

B. OnionCity
Onion.City est un moteur de recherche destin au DarkNet et aliment par le proxy Tor2Web. Ce dernier lui permet
daccder en profondeur au rseau danonymisation TOR. Il dtecte et indexe ainsi des sites .onion en agrgeant
les services undergrounds pour les rendre ensuite disponibles via un simple navigateur Web.

Copyright 2015 G DATA Software AG

10

G DATA WHITEPAPER CYBERCRIME / 2015

C. Surfwax
Conu pour afficher les rsultats de plusieurs moteurs de recherche en mme temps, Surfwax est un mtamoteur
qui autorise la cration des searchsets. Lutilisateur peut ainsi composer ses propres ensembles personnaliss
(listes) des sources qui peuvent alors tre enregistres. Surfwax est un outil particulirement adapt la recherche
deep web, car il rcupre des informations manant de sources que les moteurs de recherche classiques ne
prennent pas en considration.

D. Torsearch
Vritable porte dentre sur le rseau TOR, ce moteur de recherche est un passage incontournable pour pntrer
sur les blackmarkets et sites illicites du deep web. Considr comme le Google du deep web, Tor Search fait figure
de rfrence.

E. Memex, le moteur deep web officiel


Memex est un moteur de recherche qui permet dinspecter la partie invisible de la Toile, que les autres moteurs de
recherche nindexent pas. Ce moteur de recherche a t dvelopp par le DARPA (Defense Advanced Research
Projects Agency) qui est un laboratoire de recherche de larme amricaine. Memex nest pas utilis par les
cybercriminels, mais il permet de mesurer limportance du deep web, mais galement du darknet ! Ainsi, son
inventeur Chris White avance lhypothse que ce nouveau moteur pourrait devenir un outil destination des
forces de police, capables ds lors de rechercher sur le dark web les ventes de produits illgaux
(http://www.cbsnews.com/news/new-search-engine-exposes-the-dark-web/).
Copyright 2015 G DATA Software AG

11

G DATA WHITEPAPER CYBERCRIME / 2015

VI. PRODUITS DISPONIBLES


Sur le blackmarket, tout sachte et tout se vend, surtout si cest illgal ! Trois grandes catgories de biens
coexistent : les outils logiciels ou matriels dattaque (logiciels malveillants, matriel de skimming, etc.), les biens
lis au banditisme classique (drogue, arme, faux papiers didentit, matriels de cration de fausses cartes
bancaires), et les donnes utilisateurs voles (email, numro de carte bancaire, etc.), autrement dit les cibles
potentielles.

A. Logiciels malveillants
Lappellation gnrale de logiciel malveillant regroupe au sens large lensemble des codes malveillants dvelopp
dans le but de contrler ou dinfecter les machines.
Les places de march tant multiples et les moyens dchanges opaques, quantifier le volume des codes
malveillants changs sur ces plateformes est impossible. Mais en se basant, non pas sur les ventes des codes,
mais sur leur utilisation, il est possible davoir une vision assez prcise des typologies de codes changs. Les
donnes du G DATA Security Labs bases sur le nombre de signatures antivirales gnres montrent la rpartition
des grandes familles de codes nuisibles. Le graphique 1 montre ainsi que les trojan constituent la principale
catgorie de codes utiliss, et donc probablement changs sur les places de march. De fait, le trojan est la bote
outils du cybercriminel. Beaucoup plus cibls sur lactivit mercantile, les adwares connaissent une forte
croissance. Ces codes enregistrent les activits et les processus d'un ordinateur (habitudes de navigation, par
exemple) et affichent des
publicits dans les fentres des
navigateurs. Les adwares ont de
plus lavantage dtre souvent
dans la zone grise, autrement dit
la limite de la lgalit, si bien que
les risques pour leurs utilisateurs
sont quasi nuls. Les tlchargeurs
(downloader) ont pour mission de
charger ou de copier un fichier sur
l'ordinateur infect. En tant que
module indispensable toute
infection, ils sont eux aussi trs
prsents sur les places de march
cybercriminels.
Graphique 1 : volution des catgories de logiciels malveillants depuis 2012

Copyright 2015 G DATA Software AG

12

G DATA WHITEPAPER CYBERCRIME / 2015

1. Ransomware/Crypter
Bien que faisant partie de la grande famille des
malware, les ransomware constituent une
catgorie part sur les sites de vente. Ces logiciels
malveillants bloquent lordinateur et exigent le
paiement dune ranon pour en rendre le contrle
son propritaire. Les plus volus chiffrent les
documents contenus sur le disque dur,
empchant toute tentative de rcupration. Ces
programmes, camoufls dans des documents, soidisant lgitimes (fichier bureautique, conomiseur
dcran), sont massivement diffuss par envoi de
spam. Lattaquant na alors plus qu attendre que
les destinataires tombent dans le pige.

2. Exploits
Les exploits sont des programmes informatiques qui mettent en uvre l'exploitation d'une vulnrabilit, dune
faille, dans un logiciel. Chaque exploit est spcifique une version du logiciel et permet den exploiter une
vulnrabilit. Lexploitation dune faille dans un logiciel vulnrable offre des possibilits daugmentation de
privilges dans le systme dexploitation et ainsi lexcution de code malveillant. La finalit de ce type dattaque
est gnralement la prise de contrle de la machine attaque. En tant que porte dentre pour linfection, lexploit
est un des outils les plus recherchs sur le blackmarket. Les tarifs de ces exploits voluent en fonction du logiciel
cibl et de sa nouveaut. Ainsi, un exploit 0day (non diffus sur Internet et non corrig par lditeur) touchant
Windows (le systme dexploitation majoritairement utilis) peut se ngocier pour plusieurs milliers, voire
plusieurs dizaines de milliers deuros. Dernirement, la boutique ddie TheRealDeal a vu le jour sur le rseau
anonyme Tor. Cette nouvelle place de march se prsente comme le lieu de vente privilgi pour les exploits
techniquement avancs et forte valeur.
La commercialisation dexploit est une activit lucrative qui flirte bien souvent entre lgalit et illgalit. Des
socits ayant pignon sur rue se sont galement spcialises dans la recherche et la commercialisation dexploit
0day. Les grands diteurs souhaitant limiter les failles dans leurs programmes, ils sont prts dpenser beaucoup
dargent pour acheter ces exploits.
Rcemment, G DATA Software a dtect
une campagne de malvertising (malware
dans des bannires) qui dtourne le
systme AdSense de Google. Elle touche
les bannires publicitaires de Google Ads,
trs utilises par les sites Internet et les
annonceurs. Le principe de cette attaque
consiste charger dans les bannires de
publicit Google Ads une balise IFrame
pointant vers une adresse compromise.
Cette balise IFrame est charge et saffiche
sur le site Internet. Le visiteur du site
Internet est alors expos au risque que
Graphique 2 : dtection des attaques via lexploit kit Nuclear.
reprsente le code malveillant. Dans le cas
Copyright 2015 G DATA Software AG

13

G DATA WHITEPAPER CYBERCRIME / 2015

de cette attaque, il sagit de lexploit kit Nuclear. Ce kit est disponible sur le march cybercriminel pour environ
1500 dollars.

B. Tutoriels pour les nouveaux


Inutile dtre un spcialiste pour bnficier des facilits du blackmarket. Comme sur le
clear web, les tutoriels ont le vent en poupe sur les rseaux parallles. Pour savoir
comment utiliser un proxy, utiliser tel ou tel exploit kit, ou tout savoir sur les diffrents
systmes de protection des cartes bancaires, des tutoriels sont disponibles la vente.
Ces modes demploi en anglais sont vendus accompagns de leurs captures dcrans
lgendes, limage de ce que lon peut trouver dans la presse spcialise pour apprendre configurer
un logiciel ordinaire. Certains tutoriels (au format PDF) sont gratuitement mis disposition dans des forums du
blackmarket, dautres sont vendus une trentaine deuros. Les thmatiques sont varies et les tarifs augmentent en
fonction de la technicit de lexercice.

C. Matriel la vente
Le blackmarket ne se rsume pas des places de march ddies aux programmeurs. Un pan entier est galement
consacr aux changes mafieux et criminels. Faux papiers, armes, drogues, mdicaments et matriels divers sont
proposs en toute impunit.

1. Faux papiers, pour tous les usages


Les faux papiers (passeport et pices didentit), sont des produits courants sur les
marchs parallles et largement utiliss dans les milieux criminels. La cration de faux
papiers reste une pratique onreuse. Une fausse carte didentit dun pays europen
se ngocie aux alentours des 1000 sur les sites spcialiss. Quant au passeport, il faut
compter environ 4000 . Il est noter que les tarifs diffrent en fonction du pays.

2. Armes et drogue en libre-service


Bien quils soient rels, les liens entre blackmarket et banditisme sont difficilement faits par le grand public.
Limage strotype des filires mafieuses colle difficilement celle des rseaux informatiques pirates. Mais deux
catgories de produits que sont les armes et la drogue remettent la finalit du blackmarket en
perspective. Internet constitue ainsi une plateforme de commerce privilgie pour la drogue. Des commerces plus
ou moins organiss ont t crs sur des places de march accessibles via le rseau Tor. Cocane, hrone, ecstasy,
marijuana sachtent par
exemple en Bitcoin (BTC). Du
ct des armes, le constat est
galement identique. Il est
ainsi ais de se procurer un
revolver sur des sites de vente
en ligne.

Copyright 2015 G DATA Software AG

14

G DATA WHITEPAPER CYBERCRIME / 2015

3. Carding et skimming
Gnrer des revenus par le piratage de cartes bancaires est une des activits privilgies des rseaux mafieux
cybercriminels. Ceci passe en premier lieu par lutilisation dinformations de cartes bancaires (numro, date
dexpiration et code de vrification) voles sur des plateformes de commerce lectronique lgales, mais
galement par la cration et lutilisation de fausses cartes dans des magasins ou distributeurs de billets physiques.
Mais crer de tels systmes ncessite du matriel. Parce que de tels achats ne sont pas aiss dans le commerce et
parce quils pourraient galement alerter les autorits, loffre est disponible sur les marchs parallles. Lecteurs de
bandes magntiques, imprimantes de cartes, systme de collecte poser sur les distributeurs automatiques de
billets, tout le matriel ncessaire au vol et piratage des cartes est disponible. Bien entendu, ce matriel est
galement disponible dans des boutiques lgales, mais elles ne permettent pas lanonymat propos sur le
blackmarket.

VII. DONNES DISPONIBLES : DESCRIPTION ET


TARIFS
Les donnes personnelles sont lessence mme du commerce cybercriminel. Sur ce domaine, le march se
segmente entre ceux qui volent les donnes, ceux qui les vendent et ceux qui les utilisent. Un email, une pice
didentit, un compte de rseau social ou encore un numro de carte bancaire, toute donne est valorisable.

A. Adresses email
Lemail est une des ressources ncessaires pour les activits cybercriminelles. Mme si
les attaques par infection de sites Internet (drive by) se gnralisent, les tentatives
dinfection et hameonnages par email restent prsentes. Dans cette optique,
disposer dune base email valide est un atout. Pour la collecte, plusieurs mthodes
existent. La plus simple consiste scanner les forums et pages web la recherche dadresse
email. Une autre consiste pntrer les systmes de base de donnes de web marchands ou de
fournisseurs daccs Internet. Enfin, il est galement possible de rcuprer une base email plus ou moins
grande dans lordinateur infect dune victime.

B. Donnes de comptes email


Disposer daccs des comptes email est une ressource trs intressante pour un
cybercriminel. Lespace de stockage propos dans les Webmail tant croissant,
beaucoup dutilisateurs y laissent la totalit de leur correspondance. Avoir accs cet
espace ouvre donc un large ventail dattaques et de fraudes. Lune des plus
courantes consiste usurper lidentit de la victime en envoyant un email ses
contacts. Sous prtexte dun voyage ltranger qui se passe mal, le dlinquant demande
aux contacts denvoyer une somme dargent dans un pays tranger. Une campagne dinfection
ciblant les contacts de la victime est galement envisageable : la probabilit quune cible ouvre un document
provenant dun de ses contacts est plus importante. Laccs aux autres comptes de la victime est galement
envisager : via les emails de rcupration, il est ais de rcuprer identifiants et mots de passe de sites marchands,
rseaux sociaux, et systme de paiement (PayPal). Autant dinformations pouvant ensuite tre utilises pour
dautres mfaits ou revendues sur le blackmarket.
Copyright 2015 G DATA Software AG

15

G DATA WHITEPAPER CYBERCRIME / 2015

Pour se procurer des comptes email, plusieurs solutions sont possibles. Les attaquants ayant pour finalit la
revente de ces donnes ralisent des campagnes dhameonnage ddies. Les bases email en poche, ils ralisent
des campagnes spcifiques. Qui na pas reu de faux emails manant dOrange, Free ou SFR les invitant
confirmer leur identifiant et mot de passe ? Dautres cyberdlinquants, dont la finalit est dutiliser les comptes
emails pour leurs activits illgales, peuvent opter pour lachat. Les tarifs proposs voluent en fonction du pays
cibl et du degr de validation des informations (compte valid). titre dexemple, 40 000 comptes email
(identifiants et mot de passe) non valids se ngocient environ 20 dollars

C. Cartes bancaires
Acheter frauduleusement des biens et des services sur Internet est une activit
courante pour les cyberdlinquants. Pour cela, lutilisation de cartes bancaires voles
est ncessaire. Inutile de disposer de vritables connaissances techniques pour
acqurir ce type de donnes personnelles. Les places de march regorgent de cartes
bancaires voles. Sur les sites de vente, les cartes disponibles sont tries en fonction du
type de carte, de la date de validit, du pays dmission, etc. le paiement se fait en ligne. Les prix
varient de 1 100 et dpendent des places de marchs, du volume dachat, du type de carte ou du pays
dmission. Bien sr, le processus de validation de la carte joue un rle important sur le tarif. En moyenne une
carte bancaire internationale franaise est vendue aux alentours des 50 .

D. Fullz : lidentit complte


Tout connatre dune personne est possible et sur le blackmarket ce type
dinformation cote moins 100 ! Les fullz comprennent toutes les informations dun
individu. Lidentit complte comprend les noms et prnoms, la date et le lieu de
naissance, ladresse postale, les numros de tlphone, les comptes emails (et leurs
identifiants) ou encore les numros de carte bancaires. Certains fullz peuvent mme contenir
les identifiants daccs au compte bancaire de lindividu. Avec ces donnes, les possibilits de
nuisances sont infinies. Usurpation didentit en ligne, transfert bancaire, extorsion, attaque cible dans
lentreprise de lindividu, sont possibles. Cela peut aussi aller jusqu la location de voiture, de chambres dhtel ou
dappartements jusqu la cration de socits. Autant de dmarches qui impliquent juridiquement lindividu en
cas de non pays ou de poursuites.

VIII. BOTNET OUTIL DE CHOIX DU CYBERCRIMINEL


Face de nombreuses actions internationales visant arrter les serveurs de commandes et de contrle, les
rseaux botnet connaissent depuis ces dernires annes une dcroissance notable. Mais ils ne restent pas moins
un outil de choix pour les cybercriminels. Contrler un rseau de PC zombies offre un large choix dactivits
cybercriminelles. Revue de dtail.

A. Le botnet : dfinition
Un botnet (robot network) est un ensemble dordinateurs infects et contrls distance par une personne dans
le but de les utiliser des fins dlictueuses. Larchitecture dun botnet (la connexion Internet de chaque ordinateur
contrl) peut tre utilise pour de multiples actions : envoi de spam, campagne dhameonnage, distribution de
codes malveillants, DDoS (Distributed Denial of Service qui sature les serveurs informatiques de la cible et le rend
indisponible pour un temps donn), etc. Mais le contenu des ordinateurs contrls peut aussi tre utilis : donnes
Copyright 2015 G DATA Software AG

16

G DATA WHITEPAPER CYBERCRIME / 2015

bancaires, identifiants demail ou de boutique en ligne collecte sur les postes des utilisateurs peuvent faire lobjet
dune exploitation dlictueuse ou dune revente.

B. cosystme du botnet
En tant que systme complexe, le botnet requiert diffrentes comptences, et implique linteraction de plusieurs
intervenants qui commercent sur les places de marchs parallles. Les codes malveillants ncessaires linfection
et au contrle (incluant le serveur de contrle et de commande) sont les points de dpart de cette action
cyberdlinquante : sans code adapt, pas dinfection possible. Cest ce niveau quinterviennent les
programmeurs : des milliers de codes malveillants de tout type sont disponibles lachat sur les forums
spcialiss. Une fois le code en poche, il sagit alors de le diffuser au plus grand nombre. Sans comptence interne,
le dlinquant peut faire appel des services ddis. Il faut compter entre 20 et 100 pour linfection de 1000
ordinateurs, le prix est en fonction de la localisation des systmes. Plusieurs lments entrent en compte pour
dfinir le tarif des clients infects. Les pays disposant de connexion rseau plus rapide sont plus intressants. Les
habitants des pays les plus riches sont aussi les plus recherchs : leurs cartes bancaires et donnes personnelles
assurent une plus grande rentre dargent lattaquant.
Au final, il aura fallu dbourser plusieurs milliers deuros pour constituer le botnet. Il est alors temps de le
rentabiliser. Son propritaire va alors pouvoir compter sur les donnes quils renferment. En fonction de la qualit
des internautes infects, il va rcuprer sur les machines infectes les identifiants demails, de rseaux sociaux
voire de comptes bancaires. Autant de donnes valorisables sur les places de marchs. Lillustration 2 nest bien
entendu quune vision limite de lcosystme cybercriminel global. Fournisseurs dinfrastructures (serveurs
bulletproof), structures spcialises dans le blanchiment dargent (conversion de bitcoin en monnaie relle),
dlinquants spcialiss dans lachat frauduleux sur des sites de commerce lectronique, etc. une multitude
dautres acteurs du blackmarket bnficieront directement ou indirectement de ce botnet.

Illustration 2 : cosystme des botnet

Copyright 2015 G DATA Software AG

17

G DATA WHITEPAPER CYBERCRIME / 2015

IX. SERVICES A LA DEMANDE


Il ne faut pas imaginer que les cybercriminels soient tous de fins techniciens, des informaticiens avertis. Dans le
banditisme classique, chacun a ses spcialits. Sur le secteur cybercriminel, il en est de mme. Lorsquils ne
matrisent pas une technique, les rseaux organiss sapprovisionnent en services et en comptences.

A. Attaques DDoS
Lorsquun cybercriminel souhaite mener une attaque sur une ou plusieurs cibles sans
disposer ncessairement du savoir-faire ou des outils ncessaires, il peut passer une
annonce spcifique sur le blackmarket, ou bien encore rpondre une offre dun pirate
sur ces mmes rseaux. Lorsque lon souhaite acheter une attaque DDoS par exemple,
la prestation est facture le plus souvent au volume dattaque par heure, par jour ou par
semaine. Pour une attaque cible sur un site, les tarifs varient lheure entre 10 et 200 .

B. Spam
Envie dinonder le web dun message publicitaire ou subversif ? Sur le blackmarket, il
suffit de souscrire un service denvoi, le plus souvent hberg sur un serveur
bulletproof, afin dviter que la source de la campagne soit traable. Plusieurs facteurs
influent sur le tarif : le volume de message adress, mais aussi la qualit du service denvoi
et sa capacit dtourner des dispositifs de protection comme les Captchas.

C. Installation de Bot
Les botnets sont des outils privilgis pour les cybercriminels. Mais comme dans la
plupart des cas sur le blackmarket, chaque tape de cration fait appel des soustraitants. Le dploiement du code malveillant fait partie des tapes incontournables.
Des acteurs spcialiss vendent ce service ceux souhaitant agrandir ou constituer un
botnet. Ce type de prestataires facture entre 20 et 100 pour du bot sur 1000 ordinateurs
situs en Europe. Un tarif aussi bas dmontre que la procdure est rapide. Linfection de site
Internet vulnrable par lutilisation dexploit kits est privilgie. Elle permet de rapidement toucher des
internautes non protgs.

D. Attaques dhameonnage
Sur le blackmarket, une campagne dhameonnage peut se mettre en place assez
simplement. Avec les kits cls en main, inutile dtre un spcialiste. Il est possible de
crer une page Internet falsifie en quelques minutes sans connaissances particulires.
En fonction de la notorit des tablissements cibls et de la qualit des kits (soin
graphique, orthographe soigne, etc.), les prix fluctuent entre 10 et 30 par page cre. Cette
page cre et stocke sur des serveurs web pirats, il suffit au cybercriminel dattirer les victimes
potentielles. L encore pas besoin de grandes connaissances et de matriel. Il suffit dacheter une base dadresse
email et de la diffuser par des systmes denvoi ddis. Lattaque complte naura finalement cot que quelques
centaines deuros.
Copyright 2015 G DATA Software AG

18

G DATA WHITEPAPER CYBERCRIME / 2015

E. Chiffrement la demande (FUD)


La cration dun code malveillant passe par une tape incontournable qui consiste
masquer le contenu du programme. Ce masquage (obfuscation), bas sur lutilisation
dun packer , permet de rendre plus difficile le code nuisible indtectable aux
solutions de scurit et aux analyses. Mais parce que masquer les composants dun
programme est une tche techniquement complexe, les programmeurs peuvent faire appel
des services de chiffrement la demande travers des sites spcialiss : contre moins de 10 euros, le
code transmis travers un formulaire est automatiquement chiffr. Le tarif de cette prestation dpend du
prestataire, et donc de la qualit du chiffrement, mais galement du volume demand, une dcote tant ralise en
fonction du volume. Une analyse multi scanner, comme explique dans le paragraphe suivant, finalise la procdure
en montrant au client que le camouflage est effectif. Il peut alors rcuprer son code par tlchargement.

F. Multi Scanner
Toute cration dun nouveau code malveillant passe par une ultime tape : la
vrification de sa non-dtection par les logiciels antivirus. Pour un usage lgal, un multi
scanner tel que VirusTotal fait lunanimit. Mais avec cette solution, tout code scann
non dtect est automatiquement envoy aux diteurs pour analyse. Autant dire quil
est hors de question pour un programmeur de codes nuisibles dutiliser une telle solution.
Cest pourquoi des sites spcialiss de multi scanners anonymes sont disponibles. Pour moins dun
euro, il est possible de faire scanner anonymement et simultanment son code avec 35 antivirus. Pour les gros
consommateurs, un paiement mensuel 30 est propos.

X. DU VIRTUEL AU REEL
Sil existe bien des rseaux de cyberterroristes qui souhaitent avant tout dstabiliser le systme et lopinion, ce sont
bien des motivations crapuleuses qui animent le blackmarket. Largent est donc le nerf de la guerre sur le Web
profond et les trafics en tous genres finissent toujours par se solder par une transaction financire. Ce passage du
virtuel au rel est ltape la plus dangereuse pour les cybercriminels, car elle peut permettre aux autorits dtablir
un lien avec le dlinquant. Mais plusieurs solutions existent pour viter les risques. Monnaies virtuelles et ingnieux
systmes de blanchiment sont disponibles.

Copyright 2015 G DATA Software AG

19

G DATA WHITEPAPER CYBERCRIME / 2015

A. Le systme de monnaies virtuelles


Quelle que soit la monnaie virtuelle considre, cest
dans la volatilit du dispositif que rsident les germes
de la cybercriminalit. Mme si ces monnaies nont a
priori jamais t penses pour contrevenir la
lgalit, elles prsentent toutes les caractristiques
susceptibles de faciliter les transactions illgales. Des
dizaines de monnaies numriques, existant pour
certaines depuis plus d'une dcennie, sont en
concurrence sur Internet. Pour la plupart chiffres,
elles peuvent servir tous types dchanges (lgaux
et illgaux) en se substituant des services de
paiement rguls. En thorie, la cration dun compte
permettant dutiliser un systme de monnaie
virtuelle implique que lauthenticit de lutilisateur
soit vrifie et quil justifie de son identit avec des
documents officiels. Mais nous lavons vu : il est ais
de se procurer ce type de documents sur le
blackmarket. Lorsque le cybercriminel dispose enfin
de son propre compte, il peut recevoir des sommes. Il
peut bien entendu utiliser cet argent virtuel pour
acheter produits et services sur le blackmarket, ou
toute autre place qui reconnat ces monnaies.
Mais la plus grande difficult rside dans linjection
de ces monnaies dans le systme conomique lgal.
Autorits financires et services fiscaux sont attentifs
aux mouvements financiers suspects. Mais l encore,
les cybercriminels peuvent compter sur des pays peu
regardants sur les lgislations financires.

1. WebMoney
Parmi les stars des paiements sur le blackmarket, Webmoney fait office de
figure historique. Cette solution a vu le jour en 1998 en Russie. Elle
revendique aujourdhui 28 millions dutilisateurs dans le monde. Ce systme
de transferts permet de raliser des transactions et deffectuer des
paiements en ligne. Diffrents porte-monnaie sont disponibles chez
Webmoney en fonction des pays/zones gographiques (WMZ pour les tatsUnis, WME pour lEurope, etc.). Chaque porte-monnaie offre des taux de
conversion en fonction des zones et permet plus ou moins de passages dans
lconomie relle (en fonction des lgislations en vigueur).

Copyright 2015 G DATA Software AG

20

G DATA WHITEPAPER CYBERCRIME / 2015

2. Bitcoin
Bitcoin est la monnaie en vogue depuis ces dernires annes. Bitcoin est parfaitement anonyme. Ce systme qui a
vu le jour en 2009 repose sur le principe dune unit de compte. Chaque Bitcoin est identifi par son histoire depuis
sa cration jusqu' la date prsente o un agent le dtient, travers toutes les transactions dans lesquelles ce Bitcoin
est impliqu et qui sont reconnues par les signatures cryptographiques qui ainsi l'avalisent. Le 9 fvrier 2011, la
valeur du Bitcoin atteignait la parit avec le dollar. En juin 2011, le taux de change dpasse les 31 $, avant de
retomber sous les 4 $ en dcembre. Le 29 novembre 2013, la valeur d'un Bitcoin dpasse celle de l'once d'or. Au
cours actuel, un Bitcoin vaut environ 211 $. Les Bitcoins figurant dans les transactions dont un compte est
bnficiaire peuvent tre rutiliss par le titulaire de ce compte dans des transactions dont il est l'metteur,
condition qu'il puisse justifier de son identit au moyen de sa signature cryptographique, les comptes eux-mmes
tant anonymes. Les Bitcoins ainsi changs constituent une monnaie cryptographique, qui a vocation tre
utilise en tant que moyen de paiement. En juillet 2013, la Thalande a t le premier pays interdire le Bitcoin,
rejoint ensuite par la Chine, et la Russie.

B. Blanchiment des gains


1. Achat sur le commerce lectronique
Dans les cas les plus simples, et pour les petits volumes, les cybercriminels se rmunrent par lachat de produits
sur les sites dcommerce lectronique classiques. Ceux-ci peuvent tre raliss partir de monnaies virtuelles (sur
les boutiques qui prennent en charge ces moyens de paiement), mais galement partir de cartes bancaires ou de
comptes Paypal vols. Pour acheter en toute scurit les dlinquants se font livrer les produits achets dans des
drop zones . Des intermdiaires, gnralement enrls via des spams comme messagers ou personnes qualifies
en logistique, sont chargs de transfrer les produits. Lintermdiaire est bien rtribu pour sa prestation, souvent
sous forme de produits commands en mme temps que ceux du fraudeur. Maisons et appartements vides
peuvent galement tre utiliss, ce sont les House drop.

2. Blanchiment des monnaies virtuelles


Si linjection dans le systme conomique lgal de sommes dargent provenant de systmes de monnaies virtuelles
est techniquement possible, elle reste juridiquement complique pour ceux les ayant acquis par des actions
douteuses. Certaines plateformes telles que
WebMoney propose un panel de solutions afin
de disposer de sa monnaie virtuelle dans la vie
relle. Il est par exemple possible dinjecter de
largent dans des cartes prpayes, compatibles
avec les systmes de cartes les plus courants, ce
qui constitue la mthode offrant le plus grand
anonymat. Les transferts bancaires sont
Source : http://bitcoinatmmap.com
galement possibles. Mais ces mouvements
Copyright 2015 G DATA Software AG

21

G DATA WHITEPAPER CYBERCRIME / 2015

pouvant alerter les autorits financires, les dlinquants optent pour des comptes bancaires de personnes dupes
(mules), ou ouverts laide de fausses identits. Avec les Bitcoins, il existe de puissants rseaux de change comme
Zipzap (qui revendique 25 000 implantations au Royaume-Uni, 240 000 en Russie). Des distributeurs de monnaies
prenant en charge les Bitcoins font galement leur apparition. Ils permettent de retirer des euros en change de la
monnaie virtuelle.

3. Jeux en ligne comme passerelle


Les jeux dargent sont des moyens de blanchiment intressants pour
les rseaux mafieux. Par le jeu des moyens de dpts et de transferts,
il est possible de transformer des monnaies virtuelles en monnaies
relles. Sur certains portails ddis, il est par exemple possible de
trier les casinos en fonction des mthodes de dpt proposes. Une
fois largent sur ces espaces de jeux, il est possible aprs quelques
parties de rcuprer son argent travers un virement sur un compte
bancaire. Sous prtexte de gain, les sommes sont alors blanchies.
Dans ce contexte, il est noter que les casinos en ligne utiliss pour
ces transactions sont l encore domicilis dans des pays aux
lgislations financires lgres, ce qui empche toute remonte
dinformation par les autorits financires.

4. Virements bancaires
Mme sils ont recours aux monnaies virtuelles et portefeuilles lectroniques, les cybercriminels finissent toujours
par montiser ce capital pour en disposer dans le monde physique. La solution la plus frquemment exploite par
les malfrats consiste publier des annonces sur le blackmarket (ou parfois par le biais de spams) afin de recruter
des mules . Ces dernires acceptent de recevoir des sommes quelles redistribuent ensuite sur dautres comptes
aprs avoir prlev une pitre commission. La promesse repose sur un travail facile et excut domicile

Copyright 2015 G DATA Software AG

22

G DATA WHITEPAPER CYBERCRIME / 2015

XI. LES TARIFS DU BLACKMARTKET


Produits
RAT
Stealer
Crypter
Bot (programme)
Bot (code source)
Tutoriel
Kit exploit (location au mois)

Prix min
Gratuit
Gratuit
Gratuit
Gratuit
Gratuit
Gratuit
50 $

Prix max
300 $
150 $
150 $
10 000 $
15 000 $
50 $
2 000 $

Services
Service de chiffrement (FUD)/programme
Attaques DDoS / heure
Installations de bot pour 1000 (Europe)

2$
10 $
20 $

20 $
200 $
100 $

Donnes
Fullz (Europe)
American Express (Europe)
Mastercard Gold (France)
Carte Visa Premier (France)
Passeport (Europe)
Carte d'assur social (tats-Unis)
Permis de conduire (tats-Unis)
Un million d'adresses email

20 $
Gratuit
Gratuit
Gratuit
150 $
150 $
150 $
10 $

70 $
50 $
50 $
50 $
2 000 $
2 000 $
2 000 $
150 $

Comptes
Compte Steam
Accs compte bancaire
Compte PayPal

Gratuit
Gratuit
Gratuit

150 $
50 $
50 $

Copyright 2015 G DATA Software AG

23

G DATA WHITEPAPER CYBERCRIME / 2015

XII. LES TERMES DE LA CYBERCRIMINALIT


Adresse IP : adresse Internet Protocol, adresse numrique servant lidentification des ordinateurs dans
un rseau TCP/IP. Cette adresse comprend quatre chiffres (par exemple, 193.98.145.50). Elle se compose
de deux parties : 1. Adresse du rseau logique 2. Adresse de lhte lintrieur du rseau logique. Puisque
nous ne sommes pas capables de retenir des adresses IP, nous utilisons normalement des noms de
domaine pour naviguer sur Internet.
Packer : ils servent encoder des fichiers afin de compliquer la dtection des logiciels malveillants aux
logiciels antivirus.
Carding : le trafic de numro de carte bancaire est une des activits privilgies sur le blackmarket.
DoS (Denial of Service) : attaque qui consiste bombarder un ordinateur (le plus souvent un serveur
web) avec un nombre de requtes trs important. Ainsi, il devient incapable dassurer son service et
scroule sous la charge.
DDoS (Distributed Denial of Service) : une attaque Distributed-Denial-of-Service repose sur le mme
principe quune attaque DoS normale, la seule diffrence quil sagit ici dune attaque rpartie. Ces
attaques sont souvent effectues laide de milliers de PC zombies.
Dump : un dump est une image de quelque chose, par exemple une copie dune base de donnes.
Exploit : code permettant dexploiter une faille de scurit dans un ordinateur cible pour excuter un
code de programmation.
Flooding : terme gnrique dsignant diffrentes possibilits de surcharger ou de bloquer certains
ordinateurs dun rseau par un afflux massif de requtes.
File Transfer Protocol : protocole de transmission pour lchange de donnes entre deux ordinateurs. Le
FTP ne dpend pas du type du systme dexploitation et du mode de transfert. Contrairement au HTTP, le
FTP construit une connexion et la conserve durant tout le processus de transfert.
FTP server : serveur mettant disposition des internautes des fichiers et des rpertoires tlcharger. Le
plus souvent, le nom dutilisateur Anonymous et une adresse lectronique personnelle permettent de
se connecter aux serveurs FTP publics. Certains virus et trojan installent leur propre serveur FTP, sur
lequel on peut tlcharger des fichiers sur des ordinateurs infects.
FUD (Fully UnDectable) : Fully UnDetectable signifie que les donnes (qui ont t cres avec le
packer), ne peuvent tre dtectes par aucun logiciel antivirus.
Hameonnage : tentative de collecter des donnes personnelles, comme les identifiants, mots de
passe, numros de carte de crdit, codes daccs aux comptes bancaires, etc., par le biais de faux sites
web ou de messages lectroniques falsifis.
Hijacker : programme qui sinstalle de manire invisible et qui modifie les paramtrages du navigateur
(par exemple, la page de dmarrage) et de ses fonctions (par exemple, la fonction de recherche). Les
hijackers entrent donc dans la catgorie des trojan. En dtournant la page de dmarrage ou la fonction
de recherche, les navigateurs Internet hijackers conduisent lutilisateur vers des pages web (souvent
pornographiques). Parfois, ils font apparatre des barres de menu ou des fentres supplmentaires quil
Copyright 2015 G DATA Software AG

24

G DATA WHITEPAPER CYBERCRIME / 2015

est impossible de supprimer ou de fermer. Les navigateurs Internet hijackers utilisent souvent les failles
de scurit et les points faibles des systmes pour sy implanter profondment. La suppression de ces
fonctions de commande est souvent trs difficile.
Internet Relay Chat (IRC) : protocole permettant deux personnes ou plus de communiquer par crit de
manire instantane via Internet.
Keylogger : un keylogger (enregistreur de frappe) permet denregistrer les entres sur le clavier et de les
envoyer le cas chant. Les mots de passe et donnes personnelles peuvent ainsi tre extorqus.
Messagerie instantane : communication directe entre deux ou plusieurs personnes. Les messages
crits sont envoys immdiatement (Instant) et apparaissent dans linstant chez linterlocuteur. Tous les
participants doivent gnralement tre connects chez le mme prestataire.
VPN : un VPN permet dtablir des connexions encodes avec dautres ordinateurs ou dans dautres
rseaux. Il est possible de dissimuler lintgralit de son trafic Internet via une connexion VPN. Dans ce
cas, seul lIP de lordinateur qui permet dtablir une connexion est mis.
Payload : il image en anglais la fonction destructrice dun virus. Lactivation de cette action peut tre lie
une condition, un lment dclencheur (payload trigger).
PC zombie : ordinateur contrlable distance partir dune porte drobe (backdoor). La machine
zombie obit son matre qui la contrle partir dun serveur de commandes et de contrle (C&C). La
plupart du temps, les PC Zombies sont runis sous forme de rseaux appels botnet.
Proxy : il sert dintermdiaire entre lexpditeur et le destinataire, sachant que le destinataire ne connat
pas ladresse de lexpditeur, mais seulement celle du proxy.
RAT (Remote Administration Tool) : outils permettant aux fraudeurs de commander distance
lordinateur des victimes.
Skimming : attaque consistant copier les informations de cartes bancaires dutilisateurs par la
transformation ou la manipulation de distributeurs automatiques de billets ou de moyens de paiement
(distributeurs dessence).
Social Engineering : tactiques de recherche utilises par un pirate informatique pour obtenir des
informations dune personne ou dune structure, quil pourra utiliser ensuite pour lui nuire.
Spyware : logiciel qui enregistre les activits et les processus excuts sur un ordinateur et qui transmet
ces informations des tiers. Souvent, les Spyware sont exploits pour des encarts publicitaires ou
analyser le comportement de navigation.

Copyright 2015 G DATA Software AG

25