Les Marches Noirs de La Cybercriminalite Juin 2011

Collection Notes ∑tratégiques
LES MARCHES NOIRS DE LA CYBERCRIMINALITE

Etude rédigée sous la direction de Guillaume Tissier par Marie Garbez,
Barbara Louis-Sidney, Félix Aimé, Louis Vatier et Nicolas Caproni de l’équipe Secu-Insight de CEIS.
Préface du Général d’armée Watin-Augouard
Technologies de l’information
Juin 2011
SOMMAIRE
Sommaire ................................................................................................................................................................ 1
Préface .................................................................................................................................................................... 2
Introduction ............................................................................................................................................................ 7
La face visible de la cybercriminalité................................................................................................................... 7
La face cachée de la cybercriminalité ................................................................................................................. 7
Méthodologie ...................................................................................................................................................... 8
Scénarios ................................................................................................................................................................. 9
Scénario 1 : chantage au déni de service distribué ............................................................................................. 9
Scénario 2 : campagne d'infection massive de sites Internet .......................................................................... 10
Scénario 3 : vol de base de données clients ...................................................................................................... 11
Scénario 4 : campagne de phishing ................................................................................................................... 11
Scénario 5 : indisponibilité de superviseur ....................................................................................................... 12
Synthèse ............................................................................................................................................................ 13
Les sites de black market ...................................................................................................................................... 14
Du site « amateur » au site « professionnel »… ................................................................................................ 14
Deux grandes catégories ................................................................................................................................... 14
Les produits ....................................................................................................................................................... 20
Les outils des cybercriminels ............................................................................................................................. 23
Les infrastructures : les serveurs bulletproof.................................................................................................... 28
Les acteurs des black markets............................................................................................................................... 33
Entre goût du secret et besoin de publicité : une criminalité schizophrène .................................................... 33
Des « associations internationales de malfaiteurs » ......................................................................................... 34
Des profils très variés ........................................................................................................................................ 37
L’ennemi numéro un des cybercriminels : le ripper ......................................................................................... 38
L’économie des black markets .............................................................................................................................. 40
Les profits des cybercriminels ........................................................................................................................... 40
Un outil clé : la monnaie virtuelle ..................................................................................................................... 43
Un recours aux moyens classiques du blanchiment d’argent .......................................................................... 51
Synthèse ............................................................................................................................................................ 55
Quelles réponses ? ................................................................................................................................................ 56
Au plan français ................................................................................................................................................. 56
Au plan international ........................................................................................................................................ 60
Quelques pistes ................................................................................................................................................. 63
Glossaire ................................................................................................................................................................ 67
Présentation de CEIS ............................................................................................................................................. 70
Contacts ................................................................................................................................................................ 71
LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 1 sur 73

RESEARCH PAPER
LES MARCHES NOIRS DE LA CYBERCRIMINALITE
Réalisé sous la direction de Guillaume Tissier par Marie Garbez, Barbara Louis-Sidney,
Félix Aimé, Louis Vatier et Nicolas Caproni de l’équipe Secu-Insight de CEIS.
Technologies de l’information
Tous droits réservés

Publié en 2011 par CEIS
Compagnie Européenne d’Intelligence Stratégique (CEIS)

Société Anonyme au capital de 150 510 € - SIRET : 414 881 821 – APE : 741 G
280 boulevard Saint Germain – 75007 Paris - Tél. : 01 45 55 00 20 – Fax : 01 45 55 00 60

PREFACE
L'homme a toujours eu l'ambition de se rendre maître de nouveaux espaces. Il a
investi la terre, son premier univers, a conquis la mer, avant de s’élancer dans les airs et,
depuis peu, dans l’espace extra-atmosphérique. Chacune de ces aventures lui a permis
de goûter à une nouvelle liberté dont il a parfois usé, voire abusé, avant de comprendre
la nécessité d’établir des limites par une régulation protégeant le plus faible contre la
domination du plus fort.
L’ordre public a d’abord organisé la vie en société sur la terre. Il s’est tourné vers
la mer. Celle-ci a cessé d’être une res nullius pour devenir une res communis qu’il con-
vient de protéger, car c’est un espace fragile sur lequel le trafic maritime et l’exploitation
des richesses doivent être encadrés. Avec le développement de la navigation aérienne
est né un ordre public qui se manifeste chaque jour davantage sous la pression de la
menace terroriste. L’accès à l’espace extra-atmosphérique est encore le privilège de
quelques grandes puissances, mais il ne manquera pas de justifier l’édification de règles
internationales au fur et à mesure que des activités humaines s’y déploieront. Quelque
soit l’espace considéré, l’ordre public ne peut être garanti sans un consensus internatio-
nal, condition d’une coopération sans frontière.
Le cyberespace est depuis trois décennies, une nouvelle terra incognita. Il est
certes un espace immatériel, mais on ne peut nier les conséquences matérielles et hu-
maines de son exploration. Les technologies numériques sont désormais omniprésentes
(information, culture, éducation, commerce, industrie, services, santé, sécurité, défense,
etc.).
Elles sont source de progrès, de croissance si elles sont maîtrisées, mais elles portent
aussi en germe des risques de fragilités. Les pionniers ont considéré que la liberté devait
y être absolue, mais après une période d’euphorie, voire d’insouciance, chacun est dé-
sormais convaincu de l’urgence d’une intervention concertée des acteurs publics et
privés afin que le cyberespace ne soit pas livré aux nouveaux prédateurs, que sont no-
tamment les cybercriminels et les cyberdélinquants.
C’est justement tout l’intérêt de l’étude menée par CEIS que de décrire précisément,
grâce à une observation quotidienne du cyberespace, le fonctionnement des marchés
noirs utilisés par les cybercriminels et de l’économie souterraine qu’ils entretiennent.
Alors que la cybercriminalité suscite nombre de fantasmes et d’idées reçues, cette étude
contribuera sans aucun doute à la prise de conscience des pouvoirs publics mais aussi
des acteurs économiques qui sont en première ligne dans la lutte contre ce fléau.
Le terme « cybercriminalité » apparut à la fin des années quatre-vingt-dix, alors

qu’Internet se répandait en Amérique du Nord. Un sous-groupe des pays du G8 fut for-
mé afin d’étudier les nouveaux types de criminalité encouragés par, ou migrant vers,
Internet. La « cybercriminalité » définissait, de manière relativement vague, tous les
types de délits perpétrés sur internet ou les nouveaux réseaux de télécommunications
dont le coût chutait rapidement.
La cybercriminalité et/ou la cyberdélinquance, qui par ailleurs est celle qui

touche le plus les individus, englobe(nt) toutes les infractions pénales susceptibles de se
commettre sur ou au moyen d’un système informatique généralement connecté à un
réseau», à savoir :

• les infractions spécifiques aux technologies de l’information et de la communi-
cation : parmi ces infractions, on recense les atteintes aux systèmes de traite-
ment automatisé de données, les traitements automatisés de données person-
nelles (comme la cession des informations personnelles), les infractions aux
actes bancaires, les chiffrements non autorisés ou non déclarés ou encore les in-
terceptions ;
• les infractions liées aux technologies de l’information et de la communication :

cette catégorie regroupe la pédopornographie, l’incitation au terrorisme et à la
haine raciale sur internet, les atteintes aux personnes, les atteintes aux biens ;
• les infractions facilitées par les technologies de l’information et de la communi-

cation, que sont les escroqueries en ligne, la contrefaçon ou toute autre viola-
tion de propriété intellectuelle.
Pour contrer la commission de ces actes criminels et délictueux, sur cette struc-
ture planétaire que constitue le cyberespace, outre les législations nationales, une coo-
pération internationale s'est édifiée autour de règles de droit qui protègent les individus,
les entreprises, les organisations internationales, les États. La plus emblématique de ces
règles demeure la convention sur la cybercriminalité du 23 novembre 2001, ainsi que
son protocole additionnel de janvier 2003, adoptée par les pays membres du Conseil de
l'Europe ainsi que les Etats-Unis, le Canada, le Japon et l’Afrique du Sud et qui vise à :
• harmoniser les législations des Etats signataires en matière de cybercriminalité :

à cette fin, la Convention établit des définitions communes de certaines infrac-
tions pénales commises par le biais des réseaux informatiques.
• compléter ces législations, notamment en matière procédurale : afin d’améliorer

la capacité des services de police à mener en temps réel leurs investigations et à
collecter des preuves sur le territoire national avant qu’elles ne disparaissent.
• améliorer la coopération internationale, notamment en matière d’extradition et

d’entraide répressive.
Néanmoins, si 42 États ont signé la convention, seuls 14 ont procédé à sa ratification fin
2007.
Pour appliquer et faire respecter ces règles juridiques, des organes de lutte ont
été mis en place. Dès 1998, a été créé, au sein de la Gendarmerie, le département de
lutte contre la cybercriminalité au sein du service technique de recherches judiciaires et
de documentation (STRJD). Le 15 mai 2000 a été créé l’Office central de lutte contre la
criminalité liée aux technologies de l’information et de la communication (OCLTIC), re-
groupant policiers et gendarmes, notamment au sein de la plate forme de signalement
des contenus illicites sur internet. Chaque force de sécurité intérieure a formé sur l'en-
semble du territoire des personnels, enquêteurs N'Tech pour la Gendarmerie Nationale
et Investigateurs en Cybercriminalité pour la Police Nationale.
Au niveau européen, a été créée en 2004 l’Agence européenne chargée de la sécurité

des réseaux et de l'information (ENISA). Située en Crète, elle fonctionne comme un
centre d'expertise pour les États membres, les institutions de l'UE et les entreprises.
L’agence a pour mission de :
• prêter assistance et fournir des conseils à la Commission et aux États membres

sur les questions liées à la sécurité des réseaux et de l'information ;

• recueillir et analyser les données relatives aux incidents liés à la sécurité en Eu-
rope et aux risques émergents ;
• promouvoir des activités d'évaluation et de gestion des risques afin d'améliorer

la capacité de faire face aux menaces pesant sur la sécurité de l'information ;
• renforcer la coopération entre les différents acteurs du secteur de la sécurité de

l’information ;
• suivre l'élaboration des normes pour les produits et services en matière de sécu-
rité des réseaux et de l'information.
Malheureusement la lutte contre la cybercriminalité n’est pas aisée. Il existe

plusieurs obstacles juridiques et non juridiques à cette lutte. En premier lieu, le caractère
vaste des réseaux informatiques, mais aussi la rapidité de commission des infractions, la
difficulté de rassembler des preuves, et enfin des méthodes d’investigation et de con-
trôle qui peuvent se révéler attentatoires aux droits fondamentaux, en particulier au
droit à l’anonymat et à la liberté d’expression.
Au niveau juridique, ce qui pose aujourd’hui beaucoup de difficultés c’est le fait qu’un
même comportement en France et à l’étranger n’est pas pareillement considéré. Il peut
constituer une infraction dans un pays et pas dans l’autre. On peut citer pour exemple, la
« promotion du cannabis », ou encore la « provocation pour surprendre les pédophiles ».
Cela renvoie à un autre problème celui de la loi applicable. En effet, la cybercriminalité «
bouleverse le principe classique de la territorialité de la loi pénale ». La loi française sera
applicable dès lors qu’un élément constitutif de l’infraction a eu lieu en France (TGI de
Paris 17ème chambre, 26 février 2002). Ainsi, par exemple, la simple réception par
l’utilisateur est un élément constitutif de l’infraction. Mais s’il n’y a pas d’élément consti-
tutif de l’infraction en France, la loi française ne sera pas applicable.
Il faut alors lutter chaque jour contre les paradis juridiques « cyber paradis », pour une
meilleure efficacité du droit relatif à la cybercriminalité.
De même, toutes les législations, et les outils en charge de leur mise en œuvre
et de leur respect, ne sont que le cadre d'une action individuelle, ou l'homme se doit
d'être informé et responsable de ses actes. Ceci passe par une éducation aux possibilités
et dangers des systèmes d'information car la cible principale des cybercriminels et dé-
linquants sera les réseaux sociaux et les téléphones portables. C'est ce que met en avant
Symantec dans son rapport annuel d’analyse des menaces de la cybercriminalité. Les
utilisateurs de Facebook, Twitter et du système d’exploitation de Google Android, sont
particulièrement vulnérables, selon l’étude. Les failles exploitables par la cybercriminali-
té ont augmenté de 115% en 2009 à 163% en 2010. Le nombre d’attaques, notamment
par la diffusion de virus, demeure néanmoins réduit sur ces programmes, comparé à
ceux commis par e-mail.
Les attaques ciblées vont aussi se développer. Il s’agit de ces pièges qui semblent venir
d’expéditeurs que vous connaissez, sur Facebook, ou par mails. Plus difficiles à mettre en
place par les cybercriminels, ils sont aussi plus efficaces : vous cliquez plus facilement sur
le lien envoyé par un ami sur Facebook que par un expéditeur dont le mot «viagra»
compose l’adresse e-mail.
Au total, le nombre d’attaques menées sur Internet a augmenté de 93% entre 2009 et
2010, boosté par la prolifération des mini-url, selon Symantec: Elles ne comprennent que
rarement un élément permettant d’identifier la provenance, plus compliqué donc de
distinguer un lien virus d’un lien valable. Ces attaques ciblées sont les plus susceptibles

de compromettre les données personnelles des internautes. Selon le rapport, la trans-
mission de données privées causées par les attaques a débouché sur le dévoilement
d’environ 260.000 personnes, soit un nombre beaucoup plus élevé que ceux dû à des
pertes accidentelles ou de mauvais systèmes de protection.
Ainsi, toute démarche doit placer l’Homme au coeur de toute réflexion, de toute
action : « à quoi lui servirait de gagner l’univers du cyberespace s’il venait à perdre son
âme ? ». La maîtrise du cyberespace s’inscrit dans une stratégie de développement du-
rable(1) qui préserve l’avenir des générations futures. Elle doit garantir la paix publique
mais aussi la paix, car les hommes ont toujours porté leurs conflits sur les espaces qu’ils
se sont appropriés, telle que l'actualité récente l'a démontré dans les pays arabes et que
rappelait le Président de la République Nicolas SARKOZY lors de son discours du 24 mai
2011, lors de l'e.G8 Forum, "cette révolution qui a modifié jusqu'à notre perception du
temps et de l'espace a joué un rôle déterminant dans le déroulement d'autres révolu-
tions".
Outre la nécessité de promouvoir une prise de conscience collective par une formation à
l'information, chaque Etat doit se doter de compétences humaines et d'outils qui puis-
sent veiller à détecter en permanence les menaces, définir les mesures de protection,
détenir et mettre en œuvre des capacités de riposte qui s’imposent afin de préserver
l’extraordinaire potentiel de développement dont le cyberespace est porteur et qui doit
être considéré comme une chance pour l’humanité qu’il faut saisir avec l’optimisme de
la liberté et le réalisme de la sécurité.
Général d’armée Watin-

Watin- Augouard
Inspecteur Général des Armées Gendarmerie

INTRODUCTION
Si la cybercriminalité est au cœur de l’actualité en raison du développement sans précé-
dent des technologies numériques et du « tout Internet », elle n’en reste pas moins une
forme de criminalité dont le mode opératoire est extrêmement opaque.
Les cybercriminels utilisent en effet à leur avantage les caractéristiques propres à Inter-
net : l’absence de frontières, l’anonymat, la volatilité etc. Si bien que la traque se révèle
particulièrement complexe. Il est en outre plus ardu de lutter contre un individu subtili-
sant un euro à un million de personnes que contre un individu subtilisant un million
d’euros à une seule personne… Le délit est indolore ou presque et, bien souvent, au-
cune plainte n’est déposée par les victimes.
La face visible de la cybercriminalité

La cybercriminalité consiste à utiliser des systèmes et des réseaux informatiques, soit
pour commettre des infractions spécifiques à ces réseaux, soit pour réaliser ou faciliter
des infractions plus classiques, lesquelles étaient déjà incriminées avant l’arrivée
d’Internet.
Elle s’illustre, plus concrètement, par toute une série de comportements frauduleux au
nombre desquels se retrouvent, par exemple, le vol de données à caractère personnel
(adresse, nom, identifiant et mots de passe…), la fraude et le vol d’identifiants ban-
caires, le vol et la falsification de papiers d’identité, mais aussi l’atteinte au fonction-
nement d’un système informatique. Ces comportements sont facilités par la réalisation
d’actes en amont tels que la fabrication et l’utilisation de malwares capables de subtili-
ser les données d’un réseau ou d’un système d’information.
Cette vision de la cybercriminalité n’est cependant que parcellaire et de nombreuses

questions restent en suspens : Comment les cybercriminels s’organisent-ils ? Quelle est
l’étendue de leurs profits ? Où se situe la jonction entre cybercriminalité et criminalité
physique traditionnelle ?
C’est pour apporter des éléments de réponse à ces interrogations que CEIS a mené
cette étude sur la face cachée de la cybercriminalité.
La face cachée de la cybercriminalité

L’envers du décor, c’est un véritable marché noir – ou black market – de la cybercrimi-
nalité, permettant aux cybercriminels :
• De s’organiser. Ils y nouent des contacts et opèrent une division des tâches à
travers un mode opératoire plus ou moins bien ficelé ;
• De vendre, de louer et d’acheter. Sur les black markets, forums ou shops, sont
mis en vente toutes sortes de produits et de services, qu’il s’agisse d’outils de
piratage (malwares…) ou de résultats de ces malversations (numéros de

cartes bancaires, de comptes de jeux en ligne, faux papiers, données à carac-
tère personnel en tous genres…).
Méthodologie
Quelques scénarios, issus pour la plupart de cas réels, permettront tout d’abord au
lecteur d’appréhender l’étendue de la cybercriminalité et le rôle central des black mar-
kets.
Dans un deuxième temps seront présentés les différents types de black market, les
outils utilisés et les acteurs impliqués. Le rôle des monnaies virtuelles et l’analyse des
liens entre cybercriminalité et criminalité physique traditionnelle feront également
l’objet d’une attention particulière.
Une dernière partie détaillera enfin les cadres juridiques français et internationaux
avant de proposer quelques pistes pour lutter contre le fléau cybercriminel : renforce-
ment de la coopération internationale, surveillance renforcée des black markets et
développement d’un modèle de sécurité actif.

SCENARIOS
La mise en réseau des dispositifs informatiques a vu l’émergence du cybercrime, une
forme de criminalité principalement axée sur l’escroquerie, ciblant toutes les sphères de
la société, des simples internautes aux groupes industriels en passant par les institutions
gouvernementales.
Les scénarios présentés ci-dessous décrivent les principales tendances actuelles du cy-
bercrime financier, qu’il s’agisse de détournements de fonds, de chantage ou de revente
d’informations personnelles sur des espaces d’échanges cybercriminels. Ils ne sont pas
exhaustifs et ne sont en aucun cas représentatifs de tout le spectre des menaces cyber-
criminelles. Ces dernières ne sont d’ailleurs limitées que par l'imagination - débordante -
de leurs auteurs.
Scénario 1 : chantage au déni de service distribué

1 : Attaque DDoS (Distributed
Mots clés : DDoS1, Rançon, Botnet2 Denial of Service) - Attaque
informatique ayant pour finalité
Contexte - Brice, ancien employé de la société Zcorp, licencié pour faute grave, lance de rendre indisponible l’accès à
une attaque en déni de service distribué (DDoS) contre son ancien employeur. Consé- un service en le saturant de
requêtes.
quence : la saturation du serveur mail et du PABX de la société. En parallèle de cette
attaque, une rançon est demandée afin de faire cesser la saturation des moyens de 2 : Botnet - Réseau
communication de Zcorp. d’ordinateurs corrompus con-
trôlés par un ou plusieurs
Mode opératoire - Pour monter l’attaque, Brice se connecte à un forum et contacte une cybercriminel(s) pouvant être
utilisé pour différentes finalités
personne offrant un service de DDoS à la demande. La mise à disposition du botnet
: émission de spam, diffusion de
(2 500 machines « zombies ») est facturée 5$/heure. La discussion avec le pirate russe sur phishing ou de malware, fraude
les modalités de la transaction se fait en anglais via le système de messagerie ICQ. Avant au clic, puissance de calcul,
de lancer l’attaque, Brice contacte son ancien employeur par le biais d’un mail anonyme attaque DDoS, opération de
commerce illicite, etc.
enregistré chez un service étranger pour demander une rançon.
Une fois l’attaque lancée, les serveurs mail et Asterisk de Zcorp deviennent rapidement
inaccessibles et la société est coupée du reste du monde. Faute d’équipe technique
capable de mettre en œuvre des contre-mesures efficaces, seules deux options s’offrent
à Zcorp : payer la rançon demandée (une dizaine de milliers d’euros, versés sur un
compte Liberty Reserve) ou attendre la fin de l’attaque.
Impacts - Face à une coupure de tous ses moyens de communication, la société Zcorp
ne prend pas le temps d’analyser la situation et décide de transférer la rançon demandée
sur le compte du cybercriminel pour faire cesser l’attaque DDoS contre ses infrastruc-
tures. La société ne porte pas plainte, considérant que cela ne servirait à rien et que sa
mésaventure pourrait bien être médiatisée et ternir son image.

Face à ce type d’attaque
L’entreprise aurait pu mettre à jour ses zones DNS et les faire pointer vers de
nouveaux serveurs avec des adresses IP différentes. Même si les chances de
retrouver les cybercriminels à l’origine de ce type d’attaque sont faibles, il est
fortement conseillé de porter plainte.
Scénario 2 : campagne d'infection massive de

sites Internet
Mots clés : Défiguration de site, exploit kit, failles.
Contexte - Katia, développeur web dans une société de services informatiques, s’est
convertie au cybercrime pour faire face à ses nombreuses dettes. Son activité consiste à
développer et à revendre des « exploits » visant principalement des squelettes prépro-
grammés de sites Internet (Content Management System ou CMS). Suivant le type de
vulnérabilité trouvé et le nombre potentiel de sites Internet vulnérables, elle peut re-
vendre ses exploits plusieurs centaines d’euros.
Mode opératoire - Récemment, lors d’un audit du code source d’un CMS, elle a trouvé
le moyen de faire exécuter un code arbitraire aux serveurs des sites Internet disposant
de ce CMS, dont Google évalue le nombre à 115 000. Ce type de vulnérabilité pourra
permettre la mise en place de scripts malveillants sur les sites Internet attaqués ou le
piratage des serveurs afin de constituer à moindre coût des serveurs de commandes de
botnets répartis dans le monde.
Elle vendra quelques jours plus tard le code d’exploitation personnalisé 1000 $ sur un
sous-forum privé dédié aux exploits, espace de discussion réservé aux cybercriminels
(black market). Plusieurs acheteurs ont répondu à cette offre par leur numéro de messa-
gerie ICQ. Après quelques échanges avec un escrow1, son code d’exploitation est vendu 1 : Escrow - tiers de confiance
qui va permettre de finaliser
à un acheteur crédible, sans que Katia ne connaisse l’usage qui en sera fait.
une transaction entre deux per-
sonnes n’ayant jamais traité
Impacts - Quelques jours plus tard, une campagne de piratage d’envergure visant plu- ensemble auparavant.
sieurs dizaines de milliers de sites Internet utilisant le CMS aura lieu. L’attaque se traduira
par l’insertion dans les sites visés d’un composant (une iframe) qui tentera d’infecter les
ordinateurs des visiteurs à l’aide du kit d’exploit Black Hole.
Il est conseillé d’utiliser des CMS soutenus par une large communauté
d’utilisateurs afin de prévenir d’éventuelles failles de sécurité dans leurs codes
sources. Une veille doit être réalisée sur les failles et les mises à jour du CMS
utilisé. Enfin, un contrôle d’intégrité des fichiers présents sur les sites Internet
est primordial afin de s’assurer qu’aucun fichier n’a été modifié.

Scénario 3 : vol de base de données clients
Mots clés : Base de données, SQL injection, vol, CVV.
Contexte - Rand3k est un pirate informatique. Son activité : dérober des bases de don-
nées clients pour revendre les informations qu’elles contiennent. Suivant le nombre
d’enregistrements, le pays d’origine, mais également les informations qu’elle contient, le
prix d’une base de données peut aller jusqu’à plusieurs milliers de dollars US sur certains
marchés.
Mode opératoire - Pour commettre son méfait, Rand3K réalise à la main des recherches
sur des sites potentiellement vulnérables. Afin de compromettre les bases de données, il
utilise plusieurs méthodes de hacking (principalement l'exploitation de simples injec-
tions SQL). Pour lui, une « bonne » base de données contient plusieurs centaines de mil-
liers d’enregistrements clients, dont leurs données bancaires.
Sa dernière victime en date, MyGardenShop, lui a permis de récupérer 80 000 données

clients comprenant les noms et prénoms, les adresses email, les mots de passe en clair,
mais également l’ensemble des données bancaires des membres. Après avoir posté une
offre de vente sur plusieurs forums, Rand3K a vendu sa base de données à un cybercri-
minel pour 1 500 $US. Celui-ci pensait alors faire fructifier son achat en vendant les in-
formations bancaires séparément sur des shops automatisés.
Impacts - MyGardenShop apprendra l'attaque dont il a été victime dans la presse infor-
matique sur Internet, tout comme ses clients. L'entreprise est obligée de mettre en place
une communication de crise, invitant ses clients à changer leur mot de passe sur le site
Internet et à prévenir leur banque que leurs données de cartes bancaires ont pu être
compromises. Suite à la médiatisation de l’affaire, le chiffre d’affaires réalisé sur le site
Internet chutera de 40 %.
Ce type d’attaque est malheureusement courant sur Internet. Plusieurs mesures

et normes telles que PCI-DSS doivent être appliquées afin de minimiser la sur-
face d’attaque mais aussi de s’assurer de la sécurité de l’infrastructure. De plus,
des tests d’intrusions devront être réalisés afin d’évaluer, de manière dyna-
mique, la sécurité du système.
Scénario 4 : campagne de phishing

Mots clés : phishing, vol de données bancaires.
Contexte - Depuis des années, le phishing est la menace cybercriminelle la plus visible.
Même si les navigateurs possèdent aujourd’hui des parades anti-phishing et qu’une
coopération internationale s’est organisée dans la lutte contre ce fléau, beaucoup
d’internautes sont encore victimes de ce type d’escroquerie. C’est en parlant avec des
contacts sur Internet qu’Eric a eu l’idée de se lancer dans l’aventure du phishing.
Quelques mois après ses débuts, sa technique est aujourd’hui bien rodée : son dispositif
lui rapporte plusieurs dizaines d’identifiants bancaires par jour.

Mode opératoire - Eric achète sur des espaces illégaux (black markets) des kits de phis-
hing usurpant l’identité de grandes banques. Le kit, dont le prix varie de 10 à 30 dollars
US, imite parfaitement l’interface graphique de l’entité visée. Il installe ensuite ces kits
sur des espaces d’hébergement gratuits à l’étranger, principalement sur des serveurs
basés aux Etats-Unis.
Parallèlement à cette opération, Eric met à jour une base d’adresses électroniques, créée
par ses soins grâce à des forums et dont l’activité lui permet de récupérer une centaine
de nouveaux mails par jour. Après avoir constitué sa base, il envoie - par l’intermédiaire
d’un serveur SMTP autorisant l’envoi d’email sans authentification - plusieurs vagues de
phishing en usurpant les identités des banques visées.
Impacts - Pour Eric, le phishing est la solution idéale pour gagner de l’argent. Il arrive à
revendre sans difficulté les données à des shops car la demande est en hausse depuis
quelques mois. Il considère même que sa démarche est « éthique » puisque, selon lui, "ce
ne sont pas les clients mais les banques qui sont volées".
Le phishing ne touche pas que de simples particuliers mais également les entre-
prises. Ce type d’attaque, bien que facile à mettre en œuvre, est très dangereux.
Il est préconisé de vérifier les émetteurs des messages, principalement à l’aide
des headers. Plusieurs solutions existent pour vérifier automatiquement
l’appartenance de l’émetteur d’un mail à un domaine. De plus, il ne faut pas se
fier aux demandes par email, une banque ne demandant jamais des identifiants
par courrier électronique ou par téléphone.
Scénario 5 : indisponibilité de superviseur

Mots clés : Malware, Ransomware
Contexte - Igor et Kevin, tous deux étudiants, ont décidé de consacrer leur temps libre
au développement d’un ransomware. Ce projet, qui devait être à visée scolaire, est vite
devenu une activité permettant aux deux amis de dégager quelques profits.
Mode opératoire - Le fonctionnement du système est simple : un petit logiciel, appelé

builder, permet à n’importe quel internaute de créer son propre malware « rançonneur »
en inscrivant, durant le processus de création du malware, le numéro de téléphone sur-
taxé à appeler ou l’adresse du site Internet à visiter pour payer la rançon. Le malware
ainsi fabriqué se charge ensuite de modifier la séquence de démarrage originale de
l’ordinateur (MBR ou Master Boot Record1) pour empêcher son démarrage en prétextant, 1 : MBR (Master Boot Record) -
par exemple, le chiffrement complet de son disque dur et demander une rançon pour sa Egalement appelé “zone
amorce”, le MBR est le premier
restauration. secteur adressable d’un disque
dur. Il intègre une routine
Autour de leur projet s’est organisée une petite entreprise : Igor se charge de la vente et d’amorçage dont la finalité est
du service client sur certains espaces d’échanges cybercriminels. Pour chaque builder de charger le système
vendu 250 $, un service après-vente de six mois est offert, principalement pour créer de d’exploitation.
nouvelles parades contre les anti-virus. Leur publicité est assurée depuis qu’un blogueur
réputé en sécurité informatique a fait mention de leur malware dans un article sur
l’évolution de la menace en 2011. À ce jour, les deux comparses dégagent un profit
d’environ 1500 $ par semaine en vendant leur création sur plusieurs forums réputés.

Impacts - Le malware s’est propagé sur de nombreux ordinateurs. Plus grave, lors d’une
opération de maintenance sur un système SCADA1 d’un centre de supervision d’un ré- 1 : SCADA (Supervisory Control
and Data Acquisition) – Sys-
seau autoroutier, un technicien à malencontreusement branché une clé USB contenant
tème informatique permettant
le ransomware au superviseur principal afin de réaliser une mise à jour de routine. Suite la surveillance et le contrôle de
à l’installation de cette mise à jour, le redémarrage du superviseur a provoqué une réé- systèmes industriels (énergie,
criture du MBR, rendant inopérant pendant plusieurs heures le système de supervision. transports, usines etc.)
Une hausse de la production des ransomwares est à prévoir ces prochains mois
du fait de leur facilité de développement et de leur furtivité potentielle sur le
système ciblé. Face à ce type de menace, il est impératif de maintenir à jour le
système et de disposer d’un antivirus. De plus, une politique de sauvegarde doit
être mise en œuvre afin de limiter l’impact d’un éventuel incident.
Synthèse
La cybercriminalité est une chaîne complexe. Dans cette chaîne, les black markets (en
bleu) jouent un rôle essentiel, tant en amont pour la préparation des attaques qu’en
aval, pour la monétisation des bénéfices réalisés par les cybercriminels.

LES SITES DE BLACK MARKET
Du site « amateur » au site « professionnel »…
Les black markets sont à l’image de la criminalité traditionnelle : il y a autant de diffé-
rences entre un cybercriminel amateur et un cybercriminel chevronné qu’entre un vo-
leur d’occasion et un braqueur expérimenté.
Certains black markets, qu’il est possible d’assimiler à de la petite délinquance, sont
donc accessibles à tous et leur découverte est aisée sur la Toile. Les renseignements ou
données qui s’y trouvent ne seront pas toujours excellents mais ils permettront à un
novice de « débuter » en criminalité informatique.
Généralement, lorsqu’un black market se développe et acquiert une certaine notoriété,

son accès devient payant. Ce prix reflète la qualité de l’information : une bonne informa-
tion ne peut être gratuite et tout cybercriminel est prêt à investir pour s’inscrire dans un
site web reconnu par ses pairs (pour certains, les prix peuvent aller jusqu’à 500 $).
Enfin, l’accès à certains sites est impossible pour la majeure partie des criminels : à
l’instar d’une mafia, il n’est possible d’y entrer qu’avec l’assentiment donné à
l’administrateur par des « parrains » déjà inscrits. Le droit d’entrée ne repose plus alors
sur un effort financier mais une réelle reconnaissance du milieu, ce qui nécessite d’avoir
fait ses preuves et de connaître les bonnes personnes.
Figure 1 : quatre garants sont demandés pour entrer dans ce black market.
Deux grandes catégories
Les forums
Un lieu d’échange « underground » - Les forums sont le lieu de rencontre des cyber-
criminels débutants ou aguerris qui peuvent lire les dernières nouvelles et innovations
du milieu, demander conseil sur tout type de sujet, proposer leur service ou collabora-
tion pour des opérations illicites.
Eu égard au caractère international de la cybercriminalité, les discussions se font en

plusieurs langues. Les plus usitées sont l’anglais et le russe mais il arrive de rencontrer
des forums dédiés aux germanophones, francophones et hispanophones.

Figure 2 : un forum multilingue
Un forum se divise en plusieurs rubriques, chacune concernant un sujet particulier. Il est

ainsi aisé pour un cybercriminel de trouver rapidement toutes les annonces susceptibles
de l’intéresser. On y retrouve notamment des offres concernant des fraudes aux jeux
d’argent en ligne, du hacking, de l’hébergement de sites illégaux ou de serveurs de
spam mais également la vente d'exploits, de malwares, la location de botnets…
Figure 3 : les rubriques d'un black market
Les annonces sont visibles par tous les membres qui peuvent se contacter entre eux par
message privé puis, une fois le contact pris, converser par ICQ ou Jabber (voir page 24).
Les administrateurs déconseillent d’ailleurs généralement à leurs inscrits d’indiquer
directement dans leurs annonces les numéros ICQ mais nombre d’entre eux passent
outre cette règle de sécurité.
Les participants n’ont en effet pas tous le même statut. Par ordre d’importance décrois-
sant, il est possible de distinguer les administrateurs, les modérateurs, les vendeurs véri-
fiés, les membres reconnus et les invités. Ces derniers n’étant recommandés ni par
l’administrateur ni par d’autres membres, ils suscitent inévitablement la méfiance : il
pourrait s’agir de policiers ou de rippers1. 1 : Rippers - Le ripper est un
cybercriminel qui se fait passer
Les inscrits peuvent parfois se noter entre eux ce qui permet de passer du statut d’invité pour un vendeur légitime sur
un site de Black Market ou qui
à celui de membre reconnu. La réputation d’un cybercriminel se fait également au crée de faux sites de Black
moyen de feedbacks (commentaires) des autres utilisateurs. Market, afin de récupérer le
montant de ces transactions
illégales, sans offrir de réelles
contreparties.

A la fin de l’annonce ci-dessus, cette personne (qui possède elle-même une note +5)
indique attendre les feedbacks des utilisateurs qui seront amenés à traiter avec elle.
Le forum peut ainsi être à l’origine de la création d’une organisation criminelle car
chaque membre peut trouver le ou les partenaires qui lui conviennent pour des activités
déterminées.
Le lieu de convergence entre criminalité virtuelle et physique - Un cybercriminel

procède à des infractions en chaîne. Le recours à un ou plusieurs complices est d’autant
plus nécessaire que la moindre erreur à l’un des stades de l’opération peut causer un
échec.
La criminalité traditionnelle fait partie intégrante de ce processus et c’est en grande

partie au sein des forums que les échanges ont lieu entre ces deux formes de criminalité.
En amont, cette criminalité peut prendre l’apparence d’employés malhonnêtes qui vont
se servir de leur situation pour récupérer des données illicites comme des cartes ban-
caires.
Deux exemples :
• Un employé d’hôtel en Afrique du Sud a pu copier frauduleusement les don-

nées des cartes bancaires de ses clients durant la Coupe du monde de football.
Dans cette annonce, il les revend avec les informations issues des passeports de
ses victimes. « […] Je travaille pour un hôtel haut de gamme dans la ville du
Cap, Afrique du Sud et nous avons eu récemment beaucoup d’invités pour la
Coupe du monde de football. J’ai pu cloner certaines cartes de crédit et j’ai aussi
toutes les informations apparaissant sur les passeports. Au total, j’ai environ 37
cartes et la plupart viennent des Etats-Unis, de Suisse, de France, d’Allemagne et
de Corée du Sud […]. »
Figure 4 : Message d’un employé d’hôtel proposant ses services
• Dans un autre cas, les membres francophones du forum s’entraident : une per-
sonne indique gagner 4 000 $ par mois en fournissant le matériel approprié
(« skimmer ») à une serveuse qui va lui permettre de récupérer les données ban-
caires de la clientèle.

Figure 5 : un cybercriminel décrit son mode-opératoire de skimming
Phase d’exécution - Avoir recours à des complices implantés dans le pays cible est pri-
mordial pour un cybercriminel lors de l’exécution de son délit et pour la phase finale de
monétisation. Pendant la phase d’exécution, cette aide se traduit par de petites actions
simples, comme par exemple donner un coup de téléphone pour valider une com-
mande ou recevoir un SMS.
Exemple de discussion tirée d’un forum : une personne voulant frauder Western Union 1 : L’envoi d’argent par Western
recrute des « collaborateurs » afin de valider les transferts au téléphone1. Une personne Union sur Internet nécessite
deux phases : une première sur
résidant en France propose de passer ces appels et de fournir occasionnellement une
le site de la société et une
voix de femme pour les fraudes réalisées avec des titulaires de cartes bancaires fémi- seconde qui suppose d’appeler
nines. Western Union par téléphone
afin de valider le transfert
effectué sur Internet.
Figure 6 : recherche de service de fraudes
Figure 7 : proposition d'aide à la fraude
Phase de monétisation - La phase de monétisation est la plus délicate et suscite

d’ailleurs de très nombreuses demandes dans les forums. Elle est principalement basée
sur le système de « mule ».
Le rôle des mules ou « money mule » est de : recevoir des colis, des virements bancaires,
des mandats Western Union, retirer l’argent à un distributeur automatique avec une
carte bancaire contrefaite… La « mule » va servir d'intermédiaire et de facilitateur afin de
permettre aux cybercriminels de transformer l'argent virtuel en argent réel : il s’agit donc
de blanchiment d'argent.
Exemples :
Lorsqu’un cybercriminel pirate le compte bancaire d’un ressortissant français, il a systé-

matiquement besoin d’une mule possédant un compte bancaire en France pour recevoir
le virement frauduleux.
Les transferts bancaires sont en effet instantanés en France métropolitaine alors que des
virements à l’étranger nécessitent un délai de plusieurs jours, ce qui laisse le temps à la
banque de repérer la fraude. Une fois le virement effectué, la mule retire la somme de

son compte et en envoie une partie par Western Union à l’instigateur du virement frau-
duleux.
L’annonce ci-dessous propose de retirer le maximum d’argent possible à des distribu-

teurs automatiques en France au moyen de cartes bancaires dupliquées.
Figure 8 : proposition de retrait sur des DAB français.
On retrouve enfin sur Internet de nombreuses offres d'emploi suspectes sur de véri-
tables sites de recrutement tout à fait légitimes. Elles promettent aux candidats de ga-
gner des sommes d'argent confortables pour du travail à domicile. Le travail demandé
est simple et financièrement intéressant : il consiste à effectuer des transferts d'argent
(électronique, chèque...) en gardant une commission (entre 5 et 10%) sur chaque tran-
saction réalisée.
Arrestations suite aux démantèlements de réseaux de "money mules"
En octobre 2009, l'Office Central de Lutte Contre la Criminalité liée aux Techno-
logies de l'Information et de Communication (OCLCTIC) (voir section 7.1.1) a
démantelé deux réseaux internationaux de fraudes bancaires opérant depuis la
Russie et l'Ukraine. Plus de 70 personnes ont ainsi été mises en examen. Les
pirates, par l'intermédiaire de techniques de phishing, vidaient les comptes
bancaires de leurs victimes et transféraient les fonds vers des "mules" qui ren-
voyaient ensuite l'argent par mandat Western Union vers la Russie et l'Ukraine.
En octobre 2010, après l’arrestation en Grande Bretagne de 11 individus exploi-

tant le Cheval de Troie bancaire Zeus pour voler les comptes de particuliers, le
FBI a inculpé 60 personnes pour les mêmes motifs. Ces derniers sont accusés de
faire partie d’un réseau de cybercriminels situé en Europe de l’Est et de "money
mules" suspectés d’avoir ouvert des comptes aux États-Unis pour y transférer
les fonds volés.

Les shops
Les « shops » sont l’autre visage des black markets. Ici, pas d’annonces en vrac, pas de
contacts entre utilisateurs. Comme leur nom l’indique, les shops sont des sites purement
commerciaux.
Le fonctionnement d’un shop est le même qu’un site marchand ordinaire : chaque utili-
sateur possède son propre compte sécurisé par un nom d’utilisateur et un mot de passe
et gère ses achats selon ses besoins.
Prenons l’exemple du carding, c'est-à-dire de la vente illégale de numéros de cartes

bancaires, dont le produit-type comprend les éléments suivants : les 16 chiffres du nu-
méro de la carte, la date d’expiration, le code de sécurité (les 3 chiffres au dos de la carte
désignés aussi par les acronymes CVV / CVC / CVV2), les nom et prénom du propriétaire,
son adresse et son téléphone.
Une activité très lucrative - Ces sites « commerciaux », véritable vitrine du carding, se
sont multipliés sur la Toile, leur objectif étant de viser le plus large public possible. La
présentation des sites est simple, la recherche d’une carte facile : acheter un numéro ne
prend que quelques minutes.
Les administrateurs de ces sites ne sont, en général, que de simples revendeurs. Comme
tout commerçant, ils ont acheté auprès de cybercriminels des lots de cartes en gros et
les revendent au détail sur leur site à un prix supérieur.
Cette activité étant très lucrative, le nombre de ces sites a tout naturellement explosé. Il
suffit de comparer le prix d’achat en gros d’un numéro de carte à celui proposé dans un
shop pour comprendre.
Figure 9 : un "shop" vendant des cartes bancaires américaines
Les prix de base pour une carte américaine varient de 0,50 $ à 1 $ lorsque la vente dé-
passe 1 000 numéros. Dans l’offre suivante, le prix à l’unité oscille lui entre 2 et 3 $.
Figure 10 : Cartes américaines présentes dans un shop.

Pour les cartes européennes, le prix est d’environ 2 $ si la quantité achetée est supé-
rieure à 1 000. A l’unité, il oscille entre 10 et 15 $. Le prix dépend en fait du pays, une
carte anglaise étant souvent moins chère que les autres.
Figure 11 : un "shop" vendant des cartes bancaires européennes
Les produits
Il existe différents types de produits vendus sur les sites de black market. De la vente de
numéros de cartes de crédit aux malware, en passant par la vente de faux papiers ou de
comptes de jeux en ligne, tous les secteurs de l’économie sont touchés.
Carding
Les produits les plus courants sont issus du carding. Ce terme anglophone désigne
l’ensemble des techniques de vols de numéros de cartes bleues, en particulier par skim-
ming – technique consistant à placer un dispositif sur un distributeur automatique de
billets (DAB) pour voler toutes les informations saisies par l’utilisateur – et le phishing –
opération destinée à usurper l’identité d’une banque pour créer une fausse interface
d’identification bancaire en ligne.
Bien que l’on puisse trouver quelques cartes vendues sur des forums, la majorité des
espaces de vente sont des shops (voir la section précédente).
Le prix de vente de ces cartes varie fortement en fonction des informations vendues
avec le numéro proprement dit. Ainsi, peuvent-être vendus en plus : le nom et le pré-
nom du porteur de la carte, sa date de naissance, la date d’expiration ou encore le CVV.
Sur un panel de cinq sites, le prix minimum constaté était de 2,5 $ pour un prix maxi-
mum de 15 $ et un prix moyen de 13,21 $.
Figure 12 : shop proposant des cartes bancaires françaises
Au delà des cartes sont également vendus des identifiants de banque en ligne, dont le
prix dépend du solde du compte concerné. Les prix se situent en général entre 150 € et
400 €.

Les malwares
La vente de malware sur les black markets est de plus en plus courante. Pour accroître
leur marché, les développeurs de logiciels malveillants créent des applications qui ne
requièrent aucune compétence technique. Grâce à ce concept, baptisé CaaS pour Cri-
meware as a Service, le cybercriminel n’est plus nécessairement un technicien et achète
le service offert par le produit et non le produit lui-même.
On retrouve ainsi sur les black markets des ransomware, des kits de phishing ou encore
des chevaux de Troie.
Figure 13 : proposition de service d’installation pour le Banker SpyEye
Comptes de jeux
Sont également vendus sur les sites de black market des comptes de jeux en ligne. Le
prix de ces derniers varie naturellement, comme pour les comptes bancaires, en fonction
du solde du compte. Les prix moyens de ces produits oscillent entre 30 $ et 100 $.
Figure 14 : vente d’identifiants de jeux en ligne

Faux papiers
Les sites de black market proposent aussi des faux papiers. Première catégorie : les scans
de papiers d’identité légitimes. Ils peuvent notamment être utilisés pour l’ouverture de
comptes de jeux en ligne. Leur qualité varie fortement, ce qui a un impact sur leur prix.
Deuxième catégorie : les pièces d’identité contrefaites et envoyées sous une forme phy-
sique. Les prix sont évidemment nettement supérieurs : ils varient de quelques centaines
d’euros à plus d’un millier d'euros alors que les scans sont vendus pour quelques di-
zaines d’euros.
Figure 15 : vente de faux papiers sur un site internet

Accès à des sites gouvernementaux
Des produits moins communs peuvent également être vendus sur ces marchés, à
l’image d’identifiants de sites gouvernementaux.
Figure 16 : vente d'identifiants à des sites gouvernementaux
Le Spam
Souvent hébergés sur des serveurs bulletproof, ces sites proposent des services d’envoi
de spam clés en mains. Cela permet au cybercriminel d’inonder de nombreuses boîtes
mail en vue d’inviter les destinataires à se connecter sur un site commercial vendant des
produits souvent prohibés.
Le prix payé par le client dépend naturellement de la qualité du service de spam auquel
il souscrit. Certains de ces services sont même capables de contourner les captchas1. 1 : Captchas – Systèmes de
contrôle visuel ou audio per-
mettant de différencier un
humain d’un programme
Les outils des cybercriminels automatique lors de la valida-
tion de formulaires sur internet.
Des messageries instantanées aux fonctions multiples

Pour communiquer entre eux, les cybercriminels ont essentiellement recours à ICQ,
même si, depuis peu, l’utilisation de Jabber a nettement progressé. Le rôle d’ICQ et de
Jabber ne saurait cependant être cantonné à celui de simple messagerie, tant ces deux
services prennent une importance grandissante dans l’univers des black markets
ICQ - ICQ a fait partie des précurseurs en matière de messagerie instantanée. Le système
se distingue de ses concurrents (MSN ou Yahoo) par le fait que les utilisateurs
s’identifient entre eux par un numéro et non par un pseudo. Les numéros ICQ pouvant

aller jusqu’à 9 chiffres, certains cybercriminels cherchent d’ailleurs pour des raisons mar-
keting à obtenir des numéros plus courts, au point qu’un marché des numéros ICQ s’est
développé.
Que ce soit dans les forums ou dans les shops, tous les cybercriminels indiquent leur
numéro ICQ. Figurant sur la page d’accueil du site, il permet de contacter
l’administrateur pour s’inscrire. Au sein des forums, il donne également la possibilité à
tout membre de contacter l’auteur d’une annonce intéressante. Enfin, au sein des shops,
il fait plutôt office de contact pour le service après-vente.
ICQ ne permet pas uniquement à ses membres de discuter : il est possible d'y trouver
des shops totalement automatisés. Cette annonce propose à la vente des numéros de
cartes bancaires. Pas besoin de site Internet, tout se passe par ICQ et ce n’est pas une
personne, mais un programme automatique qui répond.
Figure 17 : Service de ventes de cartes par ICQ
Il suffit pour cela de suivre les commandes proposées par le robot et, comme pour un
répondeur automatique, de taper le chiffre correspondant à sa requête : taper 1 pour
acheter une carte, 2 pour remplacer une carte invalide, 3 pour créer son compte utilisa-
teur, 4 pour lire les informations inhérentes à ce service, 5 pour contacter le support, 0
pour sortir du programme…
Figure 18 : Service de ventes de cartes par ICQ (2)
Le service est en tout point identique à celui d’un shop car il est même possible de re-
chercher un numéro de carte par pays ou par banque. Cette multiplication des black
markets sur ICQ pourrait poser de graves problèmes aux autorités car ils sont beaucoup
moins repérables qu’un site Internet.
Jabber - Après ICQ, Jabber est devenu le deuxième outil indispensable aux cybercrimi-
nels. Bien que proposant aussi une messagerie instantanée, il ne peut être considéré
comme un concurrent direct d’ICQ car son emploi n’est pas le même.
Construit sur le protocole ouvert XMPP (Extensible Messaging and Presence Protocol),
Jabber permet de chiffrer ses conversations, de créer son propre serveur ou de naviguer
sur les milliers de serveurs Jabber disponibles à travers le monde.

De plus, il est possible de se connecter directement à ICQ depuis Jabber par un système
de passerelle, ce qui pourrait décider certains cybercriminels à continuer à utiliser ICQ
tout en bénéficiant de la sécurité et de la performance de Jabber.
Jabber a notamment fait parler de lui avec le cheval de Troie bancaire Zeus. L’une de ses
versions nommée « JabberZeus » permettait d’envoyer au cybercriminel en temps réel
via un serveur Jabber les informations recueillies dans les ordinateurs compromis.
Figure 19 : Possibilité de notification par jabber du banker ZeuS
Communiquer via des forums présente des risques : ces supports peuvent à tout mo-
ment être fermés par les autorités. Ils sont également régulièrement infiltrés par les ser-
vices de police. Les administrateurs de forums mettent donc en place des réseaux paral-
lèles sur Jabber pour organiser des conférences de façon permanente ou occasionnelle.
Le forum ci-dessous a par exemple créé son propre serveur sur Jabber et les membres
peuvent s’y rendre à tout moment.
Figure 20 : Serveur Jabber privé d'un black market
Ces serveurs peuvent être privés ou ouverts à tous les membres d’un forum comme
l’illustrent ces deux exemples :
• Créé sur Jabber, le réseau ci-dessous n’est ouvert qu’aux modérateurs du forum
et aux vendeurs « vérifiés ». « La conférence a été créée. […] Le mot de passe
[…] n’est que pour les modérateurs et les vendeurs. Pour les autres, ce ne sera
qu’après vérification. »
• La conférence ci-dessous est à l’inverse ouverte à tous les membres du forum.

« On a discuté avec Corpse (super modérateur du forum) de la possibilité de
créer une conférence sur Jabber et nous avons décidé qu’il était temps de se
réunir et de discuter de tout ce qui est intéressant. La conférence aura lieu au-
jourd’hui, le 24/10/2010 à 21h, heure de Moscou. Le thème de la conférence :
discussions sur le matériel de carding, la programmation, les problèmes à venir,
les informations récentes, l’échange d’expérience, etc. Toutes les informations

au sujet de la réunion et le mot de passe seront publiée une heure avant le dé-
but […]. »
Figure 21 : une conférence Jabber ouverte à tous
Un serveur est particulièrement apprécié des cybercriminels : thesecure.biz. Sécurité et

anonymat en sont les mots d’ordre. L’inscription est gratuite mais le site accepte volon-
tiers les dons par Webmoney. Aucune information n’est disponible sur le ou les créateurs
de ce serveur mais des investigations permettent de relever deux éléments majeurs :
• Le site Internet, localisé en Allemagne, est hébergé par « Hetzner Online AG ».

Cette société, bien connue des autorités, a déjà pu être reliée à plusieurs affaires
cybercriminelles : en 2009, lors d’une tentative d’hameçonnage des clients SFR
et Neuf Télécom et en 2010 lors de l’envoi d’un cheval de Troie à Reporters Sans
Frontières par le biais d’un courriel ;
• Le nom de domaine a été enregistré par un certain « Sergey Ryabov », résidant

en Russie. Plusieurs dizaines de sites web hébergeant des codes malveillants
ont pu être directement associés à cette même personne.
Un outil indispensable : les checkers
Tous les shops sont équipés de « checker » qui leur permet de vérifier la validité d’une
carte. Les clients ne payant que pour des cartes utilisables, toutes les cartes déclarées
invalides par le checker seront automatiquement remboursées sur le compte du client.
Cette opération ne prend que quelques secondes sur le site et le client n’a pas la possibi-
lité de savoir de quel checker se sert l’administrateur.
Figure 22 : un checker

Figure 23 : conditions d'utilisation d'un checker
Les checkers peuvent être des programmes informatiques ou des sites Internet privés
ayant des options d’utilisation plus ou moins étendues.
Il suffit de rentrer les 16 chiffres du numéro de la carte, la date d’expiration et parfois le

code secret (CVV) pour que la carte soit déclarée valide ou non. Une somme générale-
ment comprise entre 0,01 et 3 $ peut être prélevée mais certains checkers s’en dispen-
sent de peur de d'invalider la carte.
Certains checkers proposent en option de savoir quel est le montant maximal autorisé
par la carte. Si le cybercriminel désire par exemple procéder à un achat de 2 000 euros
sur Internet, il pourra ainsi demander une pré-autorisation de paiement afin de savoir si
le montant peut être supporté ou non. Tout à fait légal à l’origine, ce système est utilisé
dans de nombreuses professions (bijoutiers, magasins de luxe, location de véhicules…).
Figure 24 : Checker logiciel
Autre option : le checker permet de savoir si une carte est vérifiée par Visa Verified ou
par Mastercard Secure Code. Selon le site Internet visé, le cybercriminel pourra en effet
choisir d’utiliser une carte non reliée au système de vérification utilisé. A noter que les
cartes sont parfois directement vendues avec ces détails.
Ces deux dernières options (pré-autorisation de prélèvement et système de vérification

de la carte) intéressent au premier plan les cybercriminels qui achètent leurs propres
checkers.

Un shop « vandalisé » par ses clients…
Un site de vente de numéros de cartes a récemment connu des problèmes ré-

currents avec son checker. Les difficultés ont duré des semaines comme
l’illustrent les messages ci-dessous.
Le shop fut fermé à de nombreuses reprises et dut même faire face à une clien-
tèle protestant contre les non-remboursements de certaines cartes non valides.
Le 12 février 2011, une défaillance technique avec le checker amène au con-
traire ce dernier à rembourser automatiquement les clients, y compris ceux
ayant acheté des cartes valides.
Certains utilisateurs perçoivent la faille et vident littéralement le shop d’une

partie de ses cartes sans rien payer. L’administrateur est furieux : les clients
concernés sont bannis du site et, à moins de rembourser, ne pourront plus y
accéder. Les adresses IP sont relevées afin de ne pas leur permettre d’ouvrir un
nouveau compte sans s’acquitter de leur dette.
Les infrastructures : les serveurs bulletproof

Le premier souci des cybercriminels est l’anonymat. C’est la raison pour laquelle ils ont
notamment détourné le protocole DNS et utilisent l’architecture même d’Internet, un
réseau de réseaux, pour mettre en place un dispositif leur garantissant anonymat et
haute disponibilité. Ce sont les serveurs dits « bulletproof », ou littéralement « à
l’épreuve des balles ».
L’une des caractéristiques de ces serveurs est de proposer des hébergements sans se
soucier de l’utilisation qui sera faite de l’espace loué. Certains hébergeurs affichent
même fièrement leurs convictions sur leur page d’accueil : « We will never shut down, no
matter how many complaints we receive ». Autrement dit : « nous ne serons jamais dé-
connectés, peu importe le nombre de plaintes que nous recevons ». Une garantie dont la
valeur est évidemment difficile à évaluer…
Figure 25 : Promotion d’un serveur bulletproof

Le protocole DNS a initialement été conçu pour faciliter la mémorisation d’adresses
Internet. Pour se connecter à un site, il faut connaître son adresse IP. Or, le format de ces
adresses est loin d’être simple à mémoriser. Ainsi, le protocole DNS permet d’associer à
une adresse IP une URL qui est plus littérale et plus facile à mémoriser qu’une suite de
chiffres. Par exemple, l’adresse IP de Google 66.249.92.104 est associée à l’URL
www.google.fr.
Pour assurer la haute disponibilité de leurs ressources, les pirates ont utilisé les failles du
protocole pour associer plusieurs adresses IP à une URL. Derrière une seule et même URL
se cachent ainsi de nombreux serveurs répartis dans le monde entier. C’est la technique
du fast flux. Il est donc très difficile d’identifier ces serveurs et dès lors de les faire fermer.
Figure 26 : Enregistrements DNS utilisant le Fast-Flux.
Cette technique est notamment utilisée pour les campagnes de phishing. En hébergeant
le site d’hameçonnage sur plusieurs serveurs accessibles via une même URL grâce au fast
flux, les fraudeurs accroissent fortement le temps de présence sur Internet du site mal-
veillant. Cette continuité de service augmente ainsi proportionnellement leurs revenus.
Ils en profitent d’ailleurs parfois pour héberger d’autres types de contenus illicites
comme des images pédopornographiques ou des codes malveillants.
Une autre utilisation classique des serveurs bulletproof est la mise en place de serveurs
de C&C (control and command1) pour contrôler les ordinateurs contaminés par un che- 1 : Serveur C&C - Serveur utilisé
val de Troie. Grâce à ces serveurs, le pirate peut réaliser toutes les actions qu’il désire sur par un pirate pour contrôler à
distance des ordinateurs qu’il
les machines « zombies » tout en restant anonyme. Il va en particulier pouvoir voler sans
aura infecté. Ces serveurs lui
crainte les identifiants bancaires et les comptes mails de ses victimes. permettent de renforcer son
anonymat.
Pour renforcer l’accessibilité et l’anonymisation des serveurs C&C, les pirates ont égale-
ment mis en place un maillage « upstream » qui camoufle au maximum les serveurs
malveillants et leur assure une très bonne connectivité Internet. Avec cette architecture,
les serveurs bulletproof ne sont en fait pas directement connectés aux fournisseurs
d’accès à Internet mais à une série de serveurs, dit « upstream providers », qui sont con-
nectés à Internet et interconnectés entre eux. Ces serveurs upstream sont tout à fait
légaux, si ce n’est qu’ils sont volontairement connectés aux serveurs bulletproof. Aucune
action malveillante n’est directement diligentée depuis ces serveurs. Avec ce maillage, si
l’un des serveurs « upstream providers » est déconnecté d’Internet, le serveur bulletproof
sera toujours relié à la Toile via un autre serveur et sera de fait toujours en mesure de
contrôler les serveurs C&C et les ordinateurs zombies. Cette technique rend encore plus
difficile la localisation des serveurs malveillants.

Figure 27 : l’architecture proposée par un « upstream provider »
Les ordinateurs contrôlés depuis les serveurs C&C du serveur bulletproof forment un
botnet. Profitant alors de plusieurs milliers, voire de plusieurs dizaines de milliers
d’ordinateurs, les pirates peuvent lancer des attaques DDoS massives. Ces attaques con-
naissent aujourd’hui un large succès. Au-delà des attaques DDoS à but économique,
déjà bien connues, la force de frappe qu’apportent les serveurs bulletproof fait de cette
technique une réelle arme de guerre. Des pirates d’origine russe n’ont pas hésité à la
mettre en œuvre lors du conflit russo-géorgien de 2008.
Les serveurs bulletproof permettent donc d’industrialiser des techniques d’attaques déjà
anciennes mais toujours efficaces. La tendance du marché est d’ailleurs la vente de solu-
tions clefs en main. Des utilisateurs n’ayant pas de compétences particulières en infor-
matique peuvent ainsi, sans grandes difficultés, se lancer dans la cybercriminalité et en
tirer une source de revenus illégaux non négligeables, par exemple en louant un serveur
dédié pour 250 $/mois chez spamhost.com, un célèbre serveur bulletproof, afin
d’héberger un site de phishing et de lancer des campagnes de spam via le service xru-
mer. Les serveurs bulletproof contribuent donc clairement à l’émergence du CaaS ou
Crimeware As A Service.
Figure 28: Service d’hébergement bulletproof.

Lutter contre les serveurs bulletproof - Le cœur d’Internet est constitué de réseaux
indépendants interconnectés les uns aux autres. Ces réseaux sont appelés Autonomous
System ou AS et sont répartis en trois catégories :
• Les Tier-1 : AS de niveau international. Ils s'interconnectent entre eux ou se con-

nectent avec les Tier-2 les plus vastes soit directement soit via des Network Ac-
cess Point (NAPs).
• Les Tier-2 : AS de niveau national ou régional. Ils sont interconnectés entre eux
et sont connectés aux AS Tiers-1 et 3.
• Les Tier-3 : AS de niveau local.
Les pirates ont déjà réussi à compromettre certains AS Tier-3 en prenant le contrôle des
serveurs qui en dépendent. Ces « AS malveillants », qui sont par définition connectés à
des AS sains et légaux, contribuent ainsi au bon fonctionnement d’Internet en partici-
pant au routage de l’ensemble des flux, qu’ils soient légitimes ou criminels.
Figure 29 : illustration d'un réseau avec des AS. Si seul l'ASXXX2 est malveillant, il fait transi-
ter de nombreux flux légitimes, en particulier tout ceux émis par, et à destination de l'ASXXX5
Pour détecter ces AS corrompus, les mieux armés sont les FAI qui les gèrent. Ceux-ci
peuvent par exemple surveiller les flux et détecter toute augmentation anormale du
trafic vers des plages d’IP qui appartiendraient à l’un d’eux.
Figure 30 : localisation des serveurs malveillants identifiés par Malware Domain List
durant le mois d’avril 2011

Mais après la détection et l’identification, toute la difficulté est de pouvoir déconnecter
l’AS malveillant. Couper simplement les connexions des AS bulletproof identifiés aurait
en effet une double conséquence. D'une part, cela bloquerait tous les flux entrants et
sortants de cet AS, y compris les flux légitimes. D’autre part, pour permettre aux flux
légitimes d’atteindre la bonne destination, il faudrait revoir les tables de routage de
chaque routeur afin de contourner l’AS qui aurait été banni d’Internet.
Une telle opération génèrerait donc des coûts très importants et risquerait de provoquer
un ralentissement du trafic Internet mondial avec d’inévitables pertes de paquets, faute
de table de routage à jour. De surcroît, les AS bulletproof hébergeant aussi bien des
contenus malveillants que légaux, la mesure aurait également pour conséquence de
rendre définitivement inaccessibles certains contenus licites.

LES ACTEURS DES BLACK MARKETS
Entre goût du secret et besoin de publicité :
une criminalité schizophrène
Le comportement des cybercriminels peut dérouter tant il semble parfois inconstant et
variable. D’un côté, ils s’exposent à outrance sur la Toile et expliquent en détail les ru-
diments de la fraude en ligne. Le ton est jovial et les questions des novices sont traitées
avec considération, la cybercriminalité étant perçue comme permettant à chacun
d’obtenir « sa part du gâteau »… Des « universités » apparaissent même sur le web avec
des programmes aux matières peu orthodoxes : introduction à la cybercriminalité (50 $),
cours de scam (200 $), l’art de frauder les jeux en ligne (300 $), création de botnet (500 $).
Figure 31 : « université » du cybercrime
D'un autre côté, la cybercriminalité cherche aussi la discrétion et le secret. La moindre

question fera redouter la présence d’un policier infiltré et les sites seront fermés, rom-
pant toute possibilité de prise de contact.
Voici par exemple quelques unes des recommandations d’un administrateur de black
market à ses membres : « ne communiquer à personne l’adresse du site et ne pas parler
de son existence, indiquer à l’administrateur tout site Internet où un commentaire serait
fait sur son black market ainsi que le nom de l’auteur du message ».
Figure 32 : Message d’avertissement sur un forum

Ce comportement paradoxal ne s’explique pas simplement par la division existant entre
les pirates novices, traditionnellement plus bavards, et la criminalité organisée, par es-
sence plus discrète. Les cybercriminels aguerris aiment aussi s’exposer aussi bien pour
vendre leurs trouvailles au grand public que pour recruter des débutants pour certaines
opérations.
Vaste réseau, la cybercriminalité fait appel à de multiples protagonistes mais le rôle et

l’importance de certains d’entre eux sont méconnus. En matière de carding, on oublie
ainsi souvent le rôle clé joué par certains individus dans le vol « physique » de données
bancaires. Les liens entre cybercriminels et organisations mafieuses n’ont également
jamais pu être établis avec certitude. De même qu’il est difficile de prouver le lien entre
certaines attaques informatiques et les services étatiques de tel ou tel pays régulière-
ment montré du doigt.
Des « associations internationales de malfaiteurs »

Les cybercriminels opèrent rarement isolés. C’est pourquoi de multiples forums leur
permettent d’échanger et de trouver des partenaires pour des opérations précises. Par-
tenaire d’un jour ne signifie d’ailleurs pas partenaire de toujours car le choix d’un com-
plice n’est pas fondé sur des critères personnels mais techniques (son lieu de résidence
par exemple).
À l’instar d’un panneau affichant en temps réel les cours de bourse, les annonces défilent
en continu sur certains forums afin d’identifier la ou les compétences manquantes à
l’opération. La rapidité, voire l’instantanéité, sont fondamentales.
Figure 33 : Interface d'affichage d'annonces cybercriminelles en temps réel
Les facteurs motivant les choix des cybercriminels dans leurs « partenariats » sont mul-
tiples et complémentaires.
Le facteur de compétences
Même des actions simples requièrent de multiples compétences. Or un cybercriminel ne
peut pas maîtriser tous les savoir-faire : piratage informatique, hébergement de serveurs,
création de faux documents et de sites web, blanchiment d’argent, etc.
Les cybercriminels se spécialisent donc dans l’une ou l’autre de ces activités et préfèrent
partager leurs gains dans une opération réussie plutôt que de courir un risque d’échec
en tentant de maîtriser toute la chaîne.
Dans une affaire récemment jugée aux Etats-Unis, un cybercriminel nommé Gonzalez
faisait ainsi appel au dénommé Maksik pour vendre les numéros de cartes qu’il avait
piratées. Il avait également acquis un sniffer auprès de Stephen Watt (programmeur à

Morgan Stanley) et avait collaboré durant deux ans avec des pirates d’Europe de l’Est
afin de déchiffrer des codes PIN. Quant à la partie blanchiment d’argent, elle était gérée
par un Américain du nom de Zaman.
Le facteur temps
Le fait que chaque cybercriminel soit affecté à un rôle précis diminue fortement la durée
de réalisation de l’infraction.
Cette rapidité d’exécution est indispensable pour ne pas laisser le temps aux sociétés ou
particuliers visés de prendre conscience qu’ils ont été victimes d’une attaque informa-
tique. Elle permet de plus de déplacer des liquidités en un temps minimal, ce qui réduit
le risque de voir les autorités bloquer ces circuits financiers illégaux.
Le facteur temps dans l’affaire Gonzalez
Le facteur temps apparaît clairement dans l’affaire Gonzalez. Dans l’extrait de

conversation ci-dessous, ce dernier presse Maksik de vendre au plus vite les
données piratées car il sait que la société Visa peut à tout moment identifier les
victimes et bloquer les cartes. Or des cartes invalidées n’ont plus aucune valeur
et représenteraient pour les deux comparses une importante perte financière.
[Gonzalez] visa knows [major retailer] is hacked

[Gonzalez] but they don’t know exactly which stores are affected
Le facteur risque
La réponse pénale peut être très variable selon l’activité à laquelle s’adonne un cyber-
criminel, comme en témoignent les peines très hétérogènes prononcées aux États-Unis
à l’encontre de Gonzalez et de ses complices.
• Stephen Watt, le créateur du sniffer ayant permis à Gonzalez de pirater des mil-
lions de numéros de cartes de crédit, n’a été condamné qu’à deux ans de prison.
Cet ingénieur informatique travaillait pourtant pour la banque d’investissement
Morgan Stanley, ce qui aurait pu être considéré comme une circonstance ag-
gravante. Il ne pouvait en outre ignorer l’utilisation qui serait faite de son sniffer.
• Gonzalez a été condamné à 20 ans de prison. Le hacker était déjà bien connu
des autorités et cette lourde peine ne fait que traduire la tolérance zéro des
États-Unis envers le piratage de données bancaires.
• Zaman, chargé de blanchir l’argent de Gonzalez, a été condamné à 46 mois de

prison. Celui-ci bénéficiait d’une commission de 10% sur tous les bénéfices de
Gonzalez et travaillait lui aussi dans le secteur bancaire (Barclays Bank).
Les risques encourus expliquent que certains cybercriminels se refusent à réaliser eux-
mêmes des opérations simples comme des retraits d’espèces avec des cartes bancaires
falsifiées. Le risque d’être identifié par les caméras de vidéosurveillance des distributeurs
automatiques est élevé. D’où le recours à des « mules » chargées de recevoir des vire-
ments bancaires ou des mandats Western Union. Ces dernières sont d’ailleurs souvent
présentées comme des victimes malgré les larges commissions qu’elles perçoivent.

Il n’existe donc pas forcément de corrélation entre l’importance du risque pénal et le
montant des bénéfices reçus. Chacun évalue le risque qu’il est prêt à courir et le montant
de cette prise de risque même si des pourcentages-type peuvent être définis. Pour rece-
voir un virement bancaire sur son compte, le partage est ainsi généralement fixé à 50 %.
Figure 34 : Exemple de commission proposée à une « mule »
Pour les transferts provenant de Western Union ou Money Gram, les mules employées
perçoivent une commission de 8 à 10 % du montant total de la transaction. Pour le re-
trait d’espèces à un distributeur automatique, la commission est, elle, comprise entre 50
et 75 %.
Figure 35 : Exemple de commissions en faveur d’une « mule » (Retrait d'espèces)
Ces pourcentages peuvent cependant être très variables selon la fréquence des transac-
tions entre les deux parties et le montant des opérations.
Le facteur géographique
Les cybercriminels ne sont limités par aucune frontière et peuvent viser le pays de leur
choix. La distance géographique ne constitue pas un frein mais un avantage car elle
permet de se protéger d’éventuelles poursuites, la coopération internationale étant
encore restreinte en matière de lutte anti-cybercriminalité.
Il est cependant souvent nécessaire de faire appel à un complice dans le pays visé pour
certaines actions impliquant une présence physique (réception de marchandises, retrait
en liquide de virements bancaires,etc.). Dans chaque forum, des rubriques sont ainsi
consacrées aux « offres et recherches d’emplois ».
Figure 36 : la rubrique "offres d'emplois" d'un

black market
Les forums Internet jouent donc clairement un rôle de facilitateur dans ces « associations
internationales de malfaiteurs ». Gonzalez a ainsi lié connaissance avec tous ses com-
plices dans les forums, à l’exception de Stephen Watt qu’il connaissait dans le « monde
réel ».

Des profils très variés
Qui se cache derrière ce nouveau business ? Les administrateurs des forums et shops
ont-ils un profil type ? Trois exemples permettent d’illustrer la variété des acteurs impli-
qués.
Exemple n°1 : le shop « professionnel »

En décembre 2009, un nouveau forum dédié au carding et au hacking voit le jour sur
Internet. L’objectif annoncé par ses créateurs est de se poser en nouveaux leaders car,
selon eux, la qualité du marché cybercriminel sur Internet a chuté. Un an plus tard, les
administrateurs du forum créent leur propre shop de carding.
Figure 37 : annonce de création d'un nouveau shop dédié du carding
Avantage clé : dans le shop, les numéros de cartes mis en vente ne seront que ceux né-
gociés entre les administrateurs et les vendeurs déjà connus du forum. Le risque de
« ripping » est nul et il n’est pas nécessaire de partir à la recherche de vendeurs de cartes
à bas prix. Le forum compte plus de 3 800 membres qui sont autant de clients potentiels
pour le nouveau shop. Un tel développement témoigne d’un véritable savoir-faire mar-
keting.
Exemple n°2 : le shop « amateur »

A l’inverse, certains shops sont beaucoup plus amateurs dans leur manière de
s’organiser. Le site de carding ci-dessous achète des lots de cartes à n’importe qui et
quelle que soit la quantité avec un partage des gains à 50/50.
Figure 38 : Un shop "amateur"
Il est aussi possible de s’adresser directement à l’administrateur pour acheter des quanti-
tés importantes de numéros sans passer par le site. L’appât du gain a même amené les
dirigeants à se « franchiser » en proposant à la vente le script de leur site pour des per-
sonnes désirant ouvrir leur propre shop.

Figure 39 : Créer sa franchise de shop de carding
Cette organisation artisanale ne signifie pas pour autant moins de bénéfices. Ce dernier
shop est très populaire et les utilisateurs lui ont donné bonne réputation.
Exemple n°3 : les « historiques »

Derrière certains black markets se cachent aussi des cybercriminels très connus. En no-
vembre 2010, un nouveau site de vente de numéros de cartes bancaires arrive sur la
Toile. Le nom de son créateur, « Smooch », ne passe pas inaperçu car ce dernier est un
cybercriminel actif depuis 2002 et recherché au niveau international. Il s’est fait con-
naître dans des forums tels que Carderplanet ou Shadowcrew pour des services de
mules et de blanchiment d’argent. Neuf ans plus tard, Smooch est toujours bien présent
à travers cette nouvelle activité.
Certains anciens de Shadowcrew ne sont pas aussi "chanceux" que Smooch. Un britan-
nique de 33 ans d’origine sri lankaise s’est vu condamné à 56 mois de prison en mars
2010 pour avoir animé un forum privé usité par plus de 2 500 cybercriminels. Pizzaiolo le
jour et administrateur la nuit, Renukanth Subramaniam alias JiLsi, s’est fait repérer dans
le cybercafé où il opérait pour mettre à jour son site. Trois ans d’enquête auront été né-
cessaires au FBI pour le localiser. Cette conclusion de l’un des enquêteurs est révélatrice :
« c’était l’un des dix meilleurs sites dans le monde mais il y en a plus d’une centaine que
nous connaissons et une autre centaine que nous n’avons pas encore découvert. »
L’ennemi numéro un des cybercriminels : le ripper

Les cybercriminels les ont en horreur et pour cause : il est difficile d’y échapper. Les rip-
pers sont les cybercriminels doublement malhonnêtes : ils se font passer pour des ven-
deurs légitimes ou montent de faux sites de black markets et disparaissent une fois
l’argent encaissé.
Figure 40 : Message d'alerte contre les rippers
Ils ne font en fait que profiter des failles inhérentes au commerce électronique : toutes
les transactions s’effectuent entre des personnes qui ne se connaissent pas dans le
« monde réel ».

Ce black market proposant à la vente des données bancaires est ainsi un faux. Après
avoir payé 100 $ d’inscription, le client s’aperçoit qu’il est impossible d’accéder au site.
Ce cas est loin d’être isolé et de nombreux sites sévissent ainsi sur la Toile.
Figure 41: Un cas de black market « ripper »
Les rippers sont présents à tous les stades de la cybercriminalité. Mais une solution a été
mise en œuvre1 pour sécuriser les transactions : le recours aux « escrow services ». Un 1 : Les membres d’un forum ont
« escrow » peut être défini comme un tiers de confiance qui va permettre de finaliser une généralement différents sta-
tuts, ce qui permet théori-
transaction entre deux personnes n’ayant jamais traité ensemble auparavant.
quement de reconnaître les
personnes « dignes de con-
Exemple : un hacker propose de vendre des numéros de cartes de crédits à un individu. fiance ». La majorité des
Le hacker ne veut pas envoyer les numéros de cartes le premier car il a peur de ne pas membres des forums possé-
être payé. Quant au client, il ne veut pas payer d’abord car il redoute que le hacker ne lui dant le statut d’invités, cela ne
permet cependant pas de
envoie pas les numéros de cartes attendus. Afin d’éviter des discussions sans fin et mi-
résoudre le problème des
nimiser les risques de part et d’autre, l’escrow va prendre part aux termes de l’échange : rippers.
le hacker va lui envoyer les numéros de cartes, le client l’argent. L’escrow s’assure alors
que les conditions de la transaction sont respectées. Une fois les vérifications terminées,
il procède aux échanges. Dans la majorité des forums, des services d’escrow sont re-
commandés directement par les administrateurs.
Dans l’exemple ci-dessous, le tiers de confiance se rémunère par un prélèvement de 5 %

sur le montant total de l’échange.
Figure 42 : Exemple d’un escrow service recommandé dans un forum.

L’ECONOMIE DES BLACK MARKETS
La cybercriminalité est une activité économique en pleine expansion. Au-delà de ce
constat global, est-il possible d’évaluer les revenus d’un cybercriminel ? Une estimation
est-elle réalisable à partir d’une observation des black markets ? Autre question clé :
comment s’effectuent les transactions financières propres à cette économie souterraine?
Si la cybercriminalité n’aurait pas pu se développer aussi rapidement sans les systèmes

de monnaie virtuelle, les circuits classiques de blanchiment d’argent jouent également
un rôle important.
L’affaire Gonzalez servira de fil conducteur à ces développements. Elle démontre en effet
parfaitement le rôle spécifique de chacun des intervenants : hacking, vente de données
illicites et blanchiment d’argent.
Les profits des cybercriminels

Les profits générés par la cybercriminalité sont difficilement quantifiables car l’activité
d’un certain nombre de black markets est tout simplement impossible à évaluer, tant en
termes de bénéfices réalisés que de volume de clientèle.
Certaines arrestations permettent a posteriori de découvrir les fortunes détenues par

certains cybercriminels. Mais l’analyse est biaisée et partielle puisque les profils étudiés
correspondent aux acteurs ciblés par les autorités (hackers, administrateurs de forums
ou de sites de vente de données bancaires) et ne sont donc pas représentatifs de
l’ensemble des protagonistes.
Analyse à partir des affaires judiciaires connues

La presse relate régulièrement l’arrestation de cybercriminels et la manière dont ils se
sont enrichis. Prenons par exemple la célèbre affaire Gonzalez et effectuons une compa-
raison avec la vente de numéros de cartes bancaires qui est l’un des rares marchés dont
les bénéfices peuvent être calculés en amont.
En 2007, Maksim Yastremskiy, plus connu sous le pseudonyme de Maksik, est arrêté en
Turquie. Cet Ukrainien se fournissait régulièrement en numéros de cartes bancaires au-
près d’un hacker américain, Gonzalez, qui à l’aide d’injections SQL et de sniffers a pu en
obtenir des quantités très importantes. Maksik revendait ensuite ces données en gros ou
au détail sur son site. Maksik et Gonzalez opéraient selon une clé de répartition 50/50 :
environ chaque semaine, suivant la progression des ventes, la moitié des bénéfices était
envoyée à Gonzalez.
En quatre ans, Maksik a pu générer un revenu de onze millions de dollars à lui seul, ré-
parti de la manière suivante :

Figure 43 : Répartition des revenus de Maksik
Historique de conversation ICQ de Gonzalez et Maksik
Cet enregistrement des conversations ICQ récupéré par les autorités améri-
caines démontre que Gonzalez s’informait régulièrement auprès de son reven-
deur Maksik de l’état de leurs finances :
[Gonzalez] ok good – do you have approximate amount total

$ needed to be sent to me ?
[Maksik] well, because of some orders are pending, I can tell
you approximately
[Maksik] I have so far around 100k for you
[Gonzalez] :)))
[Maksik] and from what I have left, it should be around 15-20k
more
[Gonzalez] I think selling this information is better for me
instead of dealing with cashers
Maksik est-il une exception ? De nombreux administrateurs de shops peuvent-ils faire

des bénéfices aussi considérables ? Les éléments ci-dessous résultent de l’observation
d’un shop de taille moyenne durant un mois.
La méthode a consisté à relever le nombre de cartes proposées au début du mois de

janvier 2011 et à la fin du mois, à calculer combien de cartes avaient été vendues et à
relever leur prix, celui-ci dépendant à la fois du pays et du type de carte (Visa, Master-
card, AMEX…).
Figure 44 : Estimation des revenus de cybercriminels
En un mois, 30 180 numéros de cartes ont été vendus pour un chiffre d’affaires total de
193 752 $, soit 1 006 numéros achetés quotidiennement. L’existence de ce site remon-
tant au minimum au 15 novembre 2009, il est possible d’évaluer les profits déjà réalisés
par le ou les propriétaires. Sur une durée de quatre ans, le site aurait donc pu générer
9 300 096 dollars, soit un revenu proche de celui de Maksik.

Tous les sites n’ont cependant pas le même niveau d’activité, certains proposant à la
vente un nombre bien inférieur de numéros de cartes. Un nouveau shop peut toutefois
croître très vite. L’historique du site ci-dessous permet par exemple d’observer sa pro-
gression. Ouvert depuis le 10 décembre 2010, le site ne proposait à ses débuts « que » 1
745 numéros de cartes. Le 27 janvier 2011, 4 570 numéros sont ajoutés, l’activité du site
commençant à se développer. Le succès a ensuite été rapide car deux semaines plus
tard, 27 872 numéros supplémentaires étaient mis en ligne.
Figure 45 : Historique de l'approvisionnement d'un black market
Evaluation à partir des prix observés sur les shops
Certaines activités cybercriminelles sont beaucoup moins connues. Leur rôle est pour-
tant clé dans la chaîne cybercriminelle. Il s’agit par exemple de la fabrication de scans de
faux documents officiels, de la recherche de dates de naissance, de numéros de sécurité
sociale, de la réception de SMS ou d’appels téléphoniques, du piratage de boîtes mails,
etc. Certains sites Internet sont exclusivement dédiés à ces services. Leurs prix sont gé-
néralement assez élevés, comparativement à d’autres activités courantes des black mar-
kets.
Pour des scans de documents officiels, les prix varient par exemple de 25 à 100$, les plus
demandés étant ceux de cartes bancaires, de passeports, de factures attestant le domi-
cile et de relevés bancaires pour une moyenne de 30 $ chacun. Le site enregistre les
informations désirées par le pirate (nom, prénom, adresse, etc.) et les administrateurs
piochent ensuite dans leur base de données des exemplaires de ces documents prove-
nant de nombreux pays.
Figure 46 : Listing de prix
Autre exemple de « niche » cybercriminelle : la fraude aux compagnies aériennes. Cer-

tains individus proposent de réserver en ligne des billets d’avion avec des numéros de
cartes obtenus frauduleusement. Les voyageurs rémunèrent le cybercriminel selon un
pourcentage du prix total du billet (dans l’exemple ci-dessous pour 20 à 30 % du prix).

Figure 47 : Fraude aux compagnies aériennes
Quels sont les revenus générés par ces activités ? Sont-ils plus élevés que ceux prove-
nant de la vente de données bancaires ? La difficulté de l’exercice réside dans le fait
qu’une part importante de ces transactions se fait généralement par ICQ, Jabber ou
courrier électronique et qu’aucune trace de cette activité n’apparaît ainsi sur le site web
proprement dit.
Le faible nombre d’enquête complique encore singulièrement les choses. La relative

impunité dont jouissent certains de ces sites est d’ailleurs inquiétante. Mais elle traduit
une réalité : nombre de ces délits ne font l’objet d’aucune poursuite. Plusieurs raisons
peuvent être avancées : les victimes ne portent pas plainte ; le coût des enquêtes est
parfois supérieur à celui de la fraude ; la coopération internationale est insuffisante ;
faute de disposer des moyens adéquats, les pouvoirs publics ont d’autres priorités, etc.
Un outil clé : la monnaie virtuelle

L’économie de la cybercriminalité doit prendre en compte deux contraintes majeures :
toutes les transactions s’effectuent au travers des frontières entre des personnes devant
rester anonymes et tout paiement doit être instantané car le moindre délai pourrait
faciliter la détection du délit.
La monnaie virtuelle a su répondre à ces deux contraintes. À l’instar d’une zone ou d’une
communauté économique, les cybercriminels du monde entier se sont accordés sur
l’utilisation d’une, voire de deux monnaies exclusives afin de faciliter leurs échanges.
Définition
Qu’est-
Qu’est - ce que la monnaie virtuelle ? - La monnaie virtuelle utilisée dans les marchés
noirs de la cybercriminalité – à ne pas confondre avec la monnaie virtuelle servant dans
les jeux multi-joueurs en ligne sur Internet ou des simulations comme Second Life (qui
utilise le Linden Dollar) – est une solution qui permet, grâce au porte-monnaie virtuel qui
s’y rattache, de réaliser des achats en ligne sans communiquer ses coordonnées ban-
caires.
Le succès de la monnaie virtuelle sur les black markets - Initialement prévue pour
simplifier les transactions - légales - sur Internet (pour les internautes ne disposant pas
de carte bancaire ou ne voulant pas l’utiliser), son utilisation présente des avantages
non-négligeables pour le cybercriminel : simplicité, anonymat et opacité, fiabilité et
sécurité.
La monnaie virtuelle la plus rencontrée actuellement dans les Black Markets est Liberty
Reserve. Son importance est telle que lorsque le site de la société ne fonctionne plus,
c’est toute l’économie cybercriminelle qui s’en retrouve perturbée.
Dans le commentaire ci-dessous, un carder évoque ainsi la récente panne de Liberty

Reserve du 31 mars au 5 avril 2011 et le manque à gagner que cela représente pour lui.
« Je ne suis pas inquiet du tout de ne pas retrouver mon compte (Liberty Reserve)
comme je l’ai laissé mais perdre du temps dans notre profession c’est perdre de l’argent.

C’est une leçon pour moi que de ne compter que sur une seule monnaie virtuelle. Je vais
retirer mon argent dès que possible et garder uniquement dans mon compte le montant
nécessaire pour des opérations quotidiennes. Pour moi, carder, si je ne peux pas me
servir de Liberty Reserve pour acheter des dumps, cela va représenter d’ici le weekend
une perte de 3000 à 4000$. »
Figure 48 : Un carder évoque la panne Liberty Reserve
Trois systèmes principaux
Le choix d’une monnaie est motivé par des critères précis : anonymat, instantanéité des
transactions, possibilité de stocker ou de faire circuler de fortes sommes d’argent sans
restriction et sans plafonnement, absence de mesures de prévention contre le finance-
ment d’activités criminelles ou le blanchiment de capitaux.
L’histoire de la cybercriminalité à été marquée par trois monnaies virtuelles : E-gold,

Webmoney et Liberty Reserve.
E- Gold - Très active entre 1996 et 2006, E-gold aurait pu rester la monnaie de référence
des cybercriminels si des ennuis avec la justice américaine n’avaient fortement perturbé
son activité et fait fuir tous ses utilisateurs. Dès que les difficultés d’E-gold ont commen-
cé, deux monnaies ont dès lors régulé le marché : Webmoney et Liberty Reserve.
Webmoney - Le succès de Webmoney, société implantée en Russie, a pendant long-

temps reflété l’importance de la cybercriminalité dans cette région du monde. Mais la
tendance s’est récemment inversée. Avec la notoriété et un fort développement interna-
tional, Webmoney s’est vu contraindre de réviser ses pratiques pour pouvoir conclure de
nouveaux contrats comme celui signé en décembre 2010 avec la société américaine
« Steam » spécialisée dans la vente de jeux vidéo en ligne. La monnaie est donc en train
de disparaître de l’univers des cybercriminels. Un abandon douloureux à accepter par les
cybercriminels, notamment russes et ukrainiens, qui manifestent leur ressentiment au
sein des forums ou dans les shops comme le reflètent les deux copies d’écran ci-dessous.
Figure 49 : Conséquences du changement de stratégie de Webmoney
Liberty Reserve - Avec le changement d’orientation stratégique de Webmoney, Liberty

Reserve est désormais l’unique monnaie de référence. La société est localisée au Costa-
Rica, pays très peu coopératif et faisant partie de la liste noire des paradis fiscaux de

l’OCDE. L’adresse du siège de la société indiquée sur le site Internet serait d’ailleurs
fausse et peu d’informations sont disponibles sur son fonctionnement.
Les deux propriétaires de la société opèrent en outre sous de faux noms. Le propriétaire
officiel, Amed Mekovar, se nommerait en réalité Ahmed Yassin, citoyen marocain pour-
suivi dans son pays pour des délits relatifs au scam. Le véritable propriétaire serait en fait
Ragnar Danneskojold, de son vrai nom Vladimir Kats. Ce dernier est bien connu dans le
monde des monnaies virtuelles et de la justice américaine car il a été arrêté en 2006 pour
blanchiment d’argent et exercice de la profession d’intermédiaire financier sans licence.
Alors qu’il était à la tête de Goldage, site Internet d’échange de monnaies virtuelles, il
aurait transféré globalement au moins trente millions de dollars sans effectuer aucune
vérification d’identité1. 1 : Source : http://bit.ly/iQCgX4
Sauf difficultés imprévues, Liberty Reserve va très certainement s’imposer comme mon-
naie de référence pour les cybercriminels pour une longue période. Ses dirigeants ont en
effet pour stratégie de refuser d’imposer une quelconque contrainte à leurs clients, que
ce soit en termes de vérification d’identité ou d’informations sur l’origine des fonds.
Liberty Reserve a d’ailleurs toutes les faveurs de son pays d’accueil qui bénéficie en re-
tour de ses largesses. En témoignent un don de plus de 80 000 dollars versé à l’Etat en
2009 pour aider à la reconstruction du pays après un tremblement de terre, le sponso-
ring d’une équipe locale pour un marathon et le soutien apporté aux orphelins et en-
fants défavorisés en 2010. Un parallèle peut être effectué avec les mafias classiques qui
se préoccupent souvent des problématiques sanitaires et sociales afin d’avoir une meil-
leure implantation.
Un procédé d’utilisation simple et rapide
Grâce à Liberty Reserve, les cybercriminels peuvent effectuer des transferts d’argent
instantanés et anonymes. Chaque utilisateur n’est identifié que par un numéro (se pré-
sentant sous la forme U1234567). Indiquer le numéro du bénéficiaire est l’unique forma-
lité exigée par Liberty Reserve lors d’un transfert et il est impossible pour les deux par-
ties, comme pour les tiers, d’obtenir des renseignements complémentaires sur le titu-
laire d’un compte.
Cette monnaie peut être utilisée soit dans le cadre de paiements automatisés (dans les
shops), soit dans le cadre de paiements manuels (dans les forums).
Paiements automatisés
Sur le site de Liberty Reserve (cf. copie d’écran ci-dessous), une application gratuite per-
met de doter son site web d’un système de paiement automatique.
Figure 50 : Système de paiement automatique LR
Les achats de données frauduleuses ainsi que leur remboursement lorsque celles-ci sont
défectueuses se font automatiquement. Il n’est en aucun cas nécessaire de faire appel à
l’administrateur du shop.

Ce système a donc permis à la cybercriminalité de se développer rapidement puisqu’il
rend possible des ventes massives à un nombre important d’utilisateurs.
Webmoney propose d’ailleurs exactement la même application pour son service mais la
société a fini par bloquer les comptes reliés directement à des shops. Il est en effet très
aisé pour ces sociétés de contrôler le caractère frauduleux ou non des sites sur lesquels
leur application est installée.
Seuls quelques sites continuent de proposer Webmoney comme monnaie d’achat

comme ce shop qui propose d’accepter uniquement les paiements par Webmoney pour
les clients importants.
Figure 51 : Le paiement Webmoney est réservé aux gros clients
Paiements manuels
Lorsque des cybercriminels se rencontrent dans des forums, ils prennent par la suite
contact sans intermédiaire par ICQ ou Jabber. Si une transaction doit se concrétiser, le
cybercriminel qui désire vendre une donnée ou fournir un service indiquera à l’acheteur
son numéro de compte Liberty Reserve et ce dernier pourra, en se connectant de son
propre compte, lui transférer l’argent manuellement.
Ces transactions sont plus ponctuelles et concernent des opérations précises. En cas
d’association de cybercriminels pour une fraude précise, chaque intervenant sera par
exemple rémunéré sur son compte Liberty Reserve s’il le souhaite.
Analyse du processus
La création de compte
Opacité - Créer un compte sur Liberty Reserve est rapide, simple et n’exige aucune véri-
fication d’identité. L’anonymat et l’opacité sont de rigueur. Liberty Reserve est très prisé
des cybercriminels parce que ces critères se retrouvent à toutes les étapes d’utilisation
du service, de la création de compte à son approvisionnement, jusqu’à la réalisation d’un
achat en ligne.
L’utilisation d’un VPN ou autre moyen d’anonymisation de la connexion permet de ne

laisser aucune trace de son point de connexion. Les informations requises pour
l’inscription ne sont pas vérifiées par les administrateurs du site. Les champs « First
Name » et « Last Name » peuvent être remplis avec des alias. L’adresse mail exigée pour-
ra être créée pour l’occasion. Cette adresse servira de point de contact avec Liberty Re-
serve qui y enverra des courriels de vérification, des codes, etc.

Figure 52 : Créer un compte Liberty Reserve
Une fois le compte validé, l’utilisateur obtient un numéro de compte (par exemple :
U3346079) qui lui permettra d’effectuer des transactions avec d’autres individus dispo-
sant eux-mêmes d’un compte Liberty Reserve.
Figure 53 : Le numéro de compte Liberty Reserve
Sécurité - Liberty Reserve enregistre les adresses IP des terminaux accédant au compte.
Ainsi l’utilisateur peut surveiller l’historique de ses connexions et réagir à toute tentative
d’intrusion. Une option permet de bloquer automatiquement le compte lorsqu’une IP
inhabituelle est détectée. En cas de piratage, il est aussi possible de faire appel à un ser-
vice d’urgence qui va « geler » le compte et éviter à l’utilisateur de perdre ses gains par
un transfert frauduleux. En effet, tous les virements effectués par Liberty Reserve sont
instantanés, définitifs et non remboursables.
Par conséquent, toutes les opérations se feront avec demande régulière

d’authentification, combinant mot de passe, code PIN et « master key » (cf. copie d’écran
ci-dessous). Ces mesures visent à rassurer l’utilisateur sur la sécurité de son compte car,
étant enregistré de façon anonyme, toute usurpation du compte ne pourra pas être
prouvée et donner lieu à un dédommagement.

Figure 54 : Les identifiants LR
L’approvisionnement - Pour effectuer des achats, le compte Liberty Reserve devra être
approvisionné mais le site de Liberty Reserve ne permet pas d’alimenter son compte
directement. Pour ce faire, il faudra passer par un site Internet appelé « société
d’échange » qui alimentera le compte Liberty Reserve du client directement par un vi-
rement de son propre compte Liberty Reserve.
Le moyen le plus usité est de payer directement la société d’échange par un voucher ou
une carte prépayée. Il existe pour ce faire des services comme Ukash qui permettent,
après paiement sur un site d’échange, d’obtenir un virement équivalent sur le compte
Liberty Reserve.
D’autres options sont également disponibles mais intéressent moins les cybercriminels
en raison de leur lenteur.
Ukash et les sociétés d’échanges
Ukash est accessible dans plus de 15 000 points de vente situés principalement dans les
bureaux de tabac et les kiosques à journaux sur tout le territoire français. A l’échelle
mondiale, Ukash est disponible dans plus de 300 000 points de vente physiques et
couvre 29 pays.
L’achat d’un bon Ukash ne nécessite pas la présentation d’une pièce d’identité et
s’effectue en argent liquide. Les utilisateurs peuvent acheter des codes pour des valeurs
allant de 20, 50, 100 à 200 euros. Pour utiliser l’argent ainsi converti, il suffit de saisir le
code du reçu papier sur le site où l’on souhaite effectuer la transaction.
Figure 55 : Bon Ukash

Très rapide, la conversion d’un bon Ukash en Liberty Reserve est dans la majorité des cas
instantanée. Le site effectuant l’opération récupère une commission sur le montant
changé.
Exemple d’un site d’échange automatique : le client saisit le numéro du bon Ukash qu’il
a acheté (voucher code) ainsi que sa valeur (voucher value). Il indique ensuite son numé-
ro de compte Liberty Reserve et la société procède à un virement instantané.
Figure 56 : Conversion en Liberty Reserve
La réalisation d’achats en ligne
Une fois le compte approvisionné, les transactions se réaliseront par échange de numé-
ro de compte Liberty Reserve entre acheteur et vendeur. Il n’y a aucune possibilité de
connaître l’identité de la personne possédant le compte Liberty Reserve. Seuls les numé-
ros de compte seront échangés.
De l’économie virtuelle à l’économie réelle :

le rôle des sociétés d’échanges
Les sociétés de monnaies virtuelles n’offrent pas à leur clientèle des services permettant
de retirer directement les fonds contenus dans leur compte virtuel. Cette prestation est
prise en charge par des « sociétés d’échanges » qui se sont spécialisées dans cette activi-
té très lucrative.
Une société d’échange achète, vend ou convertit des monnaies virtuelles entre elles.
Pour acheter ou vendre une monnaie virtuelle, les procédés utilisés, tant par la clientèle
que par ces sociétés, sont les transferts bancaires, les dépôts ou retraits en liquide et les
envois par Western Union ou MoneyGram. En matière d’échanges, ces sociétés peuvent
proposer sur leur site plus d’une dizaine de monnaies virtuelles et ainsi échanger selon la
demande du client un montant de monnaie en Liberty Reserve contre le montant équi-
valent en PayPal par exemple. Sur chaque opération réalisée, la société prélève une
commission pouvant parfois dépasser les 15 %.

L’affaire Gonzalez a mis en évidence le rôle de ces sociétés d’échange : Maksik revendait
directement les données volées par Gonzalez dans son shop. Ce dernier proposait de
payer automatiquement par Webmoney ou E-gold. Ces deux comptes de monnaies
virtuelles étaient donc la propriété de Maksik. Afin de reverser une partie des bénéfices à
Gonzalez, Maksik transférait une partie des sommes contenues dans ses comptes E-gold
et Webmoney à une société d’échange. Cette société reversait ensuite à des mules em-
ployées par Gonzalez aux États-Unis la somme échangée sous forme de virement ban-
caire, mandat Western Union ou chèque postal.
Historique de conversation ICQ évoquant les taux de commissions
Dans cet extrait de conversation ICQ, les deux complices comparent les taux de
commissions de plusieurs sociétés :
[Maksik] about egold – u want me to use an exachanger ? [sic]

[Gonzalez] how much will cost to do egold => wmz?
[Maksik] sec
[Maksik] 1.00 E-gold (USD) 0.9223 WeMoney (WMZ)
[Gonzalez] that’s cheap, is this reboxchange ?
[Maksik] www.exchange.net.ua
[Gonzalez] exchange.net.ua doesn’t have much wmz at times unless
you’re like premium customer
[Maksik] robox have 10% for exchange
Un marché florissant
Le marché des monnaies virtuelles s’est développé très rapidement sans que la règle-
mentation ne suive. Les internautes sont d’ailleurs de plus en plus nombreux à utiliser
ces monnaies sur le web pour des achats tout à fait légaux, certains estimant le procédé
plus sûr que la carte bancaire. C’est tout naturellement que ces nouveaux paiements
anonymes ont attiré les criminels. Certaines sociétés d’échange sont parfois poursuivies
par la justice pour blanchiment d’argent.
Dans la pratique, cette incrimination est cependant fragile, une société d’échange pou-
vant difficilement contrôler l’origine des fonds qui lui sont transférés. Entre 2002 et 2005,
la société d’échange Western Express International créée à New York avait par exemple
séduit une clientèle d’origine russe qui s’est révélée être composée pour sa majeure
partie de cybercriminels. En quatre ans, 35 millions de dollars ont ainsi circulé à travers
les comptes de la société. Provenant de multiples fraudes, cet argent était renvoyé par la
société en Russie par E-gold ou Webmoney. Les dirigeants de Western Express ont refusé
d’être considérés comme les responsables de ces fraudes, arguant du fait qu’ils ne con-
naissaient personnellement aucun des clients ayant eu recours à leur site1. 1 : Source : http://bit.ly/iXFSf7
Conclusion
La monnaie virtuelle joue donc un rôle central dans le fonctionnement des black mar-
kets. Elle est insaisissable, difficile à tracer et permet aux cybercriminels, en leur garantis-
sant l’anonymat, d’effectuer leurs transactions sans risque.
Mais les bénéfices des ventes sur les marchés noirs de la cybercriminalité ne restent pas
longtemps virtuels. Le vendeur devra, pour récupérer le résultat de ses ventes, faire ap-
pel à différents acteurs (mules, etc.). Ces derniers lui permettront, après plusieurs opéra-

tions financières, de passer de la monnaie virtuelle à la monnaie réelle et de renouer
avec la criminalité classique.
Si elles sont fondamentales pour l’économie de la cybercriminalité, les monnaies vir-

tuelles ne suffisent donc pas. Lorsqu’il faut convertir cet argent virtuel en monnaie réelle,
les cybercriminels ont recours à Western Union et aux virements bancaires. La cybercri-
minalité rejoint dès lors la criminalité classique qui utilise aussi majoritairement ces deux
procédés afin de blanchir l’argent issu d’activités frauduleuses.
Un recours aux moyens classiques du

blanchiment d’argent
Une grande partie de l’argent contenu dans les comptes de monnaies virtuelles des
cybercriminels sera perçue sous forme de mandats Western Union ou de virements ban-
caires. Cette phase devrait, en théorie, permettre aux autorités d’identifier les criminels
car ces opérations ne sont pas anonymes. Les opérations suspectes devraient aussi être
détectées car les institutions bancaires et les agences Western Union sont tenues à des
mesures de vigilance. Dans les faits, de nombreux manquements et un certain laxisme
empêchent tout contrôle.
Il devient dès lors très complexe de remonter la succession d’opérations financières

effectuées par un cybercriminel. À partir d’un compte Liberty Reserve totalement ano-
nyme, un cybercriminel va par exemple faire appel à une société d’échange qui va lui
acheter le contenu de son compte. Cette première phase de blanchiment permet de
dissocier l’argent sale du délit. La société d’échange, en renvoyant l’équivalent du mon-
tant par virement bancaire ou mandat Western Union, permet au cybercriminel de don-
ner une origine économique vraisemblable à cet argent. Son identité réelle reste égale-
ment totalement dissimulée dans cette deuxième étape de blanchiment grâce à de
multiples possibilités de fraudes. Il ne reste plus au cybercriminel qu’à réinjecter ces
sommes d’argent dans l’économie réelle et légale.
Western Union
Western Union est une société financière basée aux Etats-Unis. Disposant d’environ
270 000 points de présence dans plus de 200 pays, elle permet l’envoi instantané
d’argent liquide à travers le monde.
Le fonctionnement de la société est simple : une personne résidant dans un pays A se

rend dans un point Western Union et indique le nom, prénom et pays du bénéficiaire.
Elle remet à l’agent Western Union le montant en liquide qu’elle désire faire parvenir au
bénéficiaire résidant dans un pays B. Le bénéficiaire peut immédiatement se rendre dans
une agence de son pays pour y retirer ce montant en liquide.
Chaque agent doit normalement vérifier l’identité de ses clients et il existe des restric-
tions à l’envoi et à la réception (pour un envoi ou une réception, la limite en France est
d’environ 7 600 euros par jour et par personne).
Dans la pratique, ces règles ne sont pas toujours respectées car Western Union permet à
n’importe quel commerçant de devenir un agent agréé, les seules conditions imposées
par la société étant de disposer d’un ordinateur et d’une connexion Internet.

Western Union a cependant pris soin de se dégager de toute responsabilité quant aux
activités de ses agents. En matière de lutte contre le blanchiment d’argent, chaque point
de vente est ainsi personnellement responsable, Western Union n’imposant aucune
contrainte ni surveillance. La société l’explique clairement sur son site Internet :
Figure 57: Politique de Western Union en matière de lutte contre le blan-

chiment d'argent
Avec une politique si permissive, certains agents Western Union ne respecteraient donc
pas toutes les règles et deviendraient donc complices volontaires ou involontaires des
cybercriminels.
Dans ce shop, il est par exemple possible d’acheter des numéros de cartes bancaires par
Liberty Reserve ou Western Union. Il suffit d’indiquer sur la page ci-dessous le montant
que l’on désire envoyer par Western Union.
Figure 58 : Choix de Liberty Reserve ou Western Union
Le site redirige alors automatiquement le visiteur vers les coordonnées d’un bénéficiaire
au Vietnam.
Figure 59: Le bénéficiaire du paiement est au Vietnam
Depuis de nombreux mois, cette personne est l’unique destinataire de tous les envois
par Western Union des clients du shop. Les transferts sont tous encaissés en moins d’une
heure, ce qui laisse supposer la complicité directe d’un agent sur place.
Les vérifications d’identités, en théorie obligatoires, ne sont pas non plus respectées.
Dans le forum ci-dessous, un Ukrainien propose ainsi d’encaisser des mandats Western

Union sous n’importe quel nom, réel ou fictif. Cette personne a donc potentiellement
corrompu un agent Western Union, sauf à imaginer qu’il en soit lui-même un.
Figure 60 : Proposition d’encaissement de mandats WU sans n’importe

quel nom, réel ou fictif
À noter qu’il n’est pas indispensable de bénéficier de la complicité directe d’un agent
Western Union. Un cybercriminel indique par exemple sur le forum ci-dessous avoir été
interdit dans une agence car il avait dépassé la limite légale autorisée pour des trans-
ferts. Il lui a suffit de se rendre dans une autre agence et de continuer ses transferts mais
avec un faux passeport. Les agences Western Union n’étant pas astreintes aux mêmes
règles, il suffirait donc de se rendre dans les plus permissives.
Figure 61 : Problème rapidement résolu avec une agence Western Union
Sur les onze millions de bénéfices de Maksik, plus de 4 800 000 dollars étaient issus de
mandats Western Union…
Les circuits bancaires traditionnels
Les opérations de blanchiment d’argent sont traditionnellement associées aux paradis

fiscaux.
Le pays le plus recherché par les cybercriminels, tant pour effectuer des attaques infor-
matiques que pour faire transiter des flux financiers illicites, n’apparaît cependant sur
aucune liste noire de l’OCDE. Aussi étonnant que cela puisse paraître, il s’agit des États-
Unis car sur les 50 États qui les composent, une dizaine bénéficie de législations très
permissives, les plus libéraux étant le Delaware, la Californie, la Floride et l’État de New
York. Le rôle de ces Etats a régulièrement été dénoncé, notamment par un office du
Ministère américain du Trésor (FinCEN) en raison de leurs législations sur la création de
sociétés à responsabilité limitée. Il est en effet possible à n’importe quelle personne,
résidant hors ou aux États-Unis, de créer sa propre société en 24h sur Internet.
Dans l’exemple ci-dessous, il est possible de créer une société en ligne en quelques clics.
Il suffit de choisir un État américain et de remplir un formulaire. La création d’une société
au Delaware coûte ainsi 129,25 $.

Figure 62 : Création d’une société en ligne dans l’Etat du Delaware
Ces sociétés écrans sont légalement enregistrées par un agent sur place qui n’est as-
treint à aucune responsabilité, que ce soit en termes de surveillance d’éventuelles activi-
tés illicites ou de signalement aux autorités en cas de soupçons. Quatorze États, du fait
de leurs législations, permettent à ces sociétés fictives de garder secret le nom de leurs
membres ou propriétaires.
Une fois la société enregistrée, l’agent ouvre un compte bancaire aux Etats-Unis pour
son client. Ce compte bancaire ne sert généralement que de relais : beaucoup des vire-
ments effectués transitent par la suite vers des succursales de banques internationales à
New York puis sont rapatriés vers l’étranger (la Russie et la Lettonie sont les principaux
pays bénéficiaires).
Une fois arrivé à destination finale, l’argent est totalement blanchi : la société écran per-
met de faire passer ces numéraires pour des revenus issus d’une activité économique
réelle et la succession de virements bancaires internationaux ne permet pas de remonter
à la source.
Maksik, le vendeur de numéros de cartes bancaires ukrainien, possédait ainsi des

comptes bancaires en Lettonie dont l’un contenait une partie des bénéfices revenant à
Gonzalez. Il permettait en effet à ses clients de confiance de le payer directement par
virements bancaires, les autres étant astreints à payer par monnaie virtuelle.
Gonzalez, pour rapatrier ses fonds aux États-Unis, faisait appel à Humza Zaman. Cet
homme était chargé d’ouvrir plusieurs comptes en banques aux États-Unis sous des
identités fictives puis, une fois les ordres de virements effectués par Maksik de son
compte letton, Zaman allait retirer cet argent en liquide à des distributeurs automa-
tiques.
Tous les retraits effectués par Zaman n’ont pas pu être décelés. Il s’est rendu plusieurs
fois à San Francisco et New York pour y récupérer de l’argent liquide appartenant à Gon-
zalez (50 000 et 370 000 $) mais les autorités n’ont pas pu déterminer la traçabilité de ces
fonds.
La situation en Europe apparaît beaucoup moins chaotique. Un projet du Conseil euro-

péen des paiements risque pourtant de déstabiliser l’équilibre existant. Baptisé « Single
Euro Payments Area » ou SEPA, ce texte vise à harmoniser les moyens de paiements dans
une Europe élargie à 32 États.
Deux mesures apparaissent particulièrement préoccupantes :
• La nouvelle façon dont les prélèvements automatiques seront autorisés fait

craindre un important risque de fraude internationale, équivalent à celui inhé-
rent aux cartes bancaires. Le débiteur perdra en effet l’initiative d’autoriser une
demande de prélèvement : c’est le créancier qui, sur simple requête, demande-
ra à sa banque d’effectuer le prélèvement en débit immédiat. La seule informa-
tion nécessaire pour réaliser cette opération sera de connaître le numéro IBAN
(International Bank Account Number) et BIC (Bank Identifier Code) du compte

du débiteur. De nombreuses associations de consommateurs jugent cette in-
formation insuffisante en termes de sécurité. Cette mesure sera définitivement
mise en place en 2014 mais les responsables européens devraient se préoccu-
per fortement de cette question car les cybercriminels s’intéressent déjà de près
au SEPA. La future activité nouvelle des black markets pourrait bien être la
vente de numéros IBAN et BIC.
• Le virement SEPA est une autre mesure permettant de faciliter les transferts
bancaires en Europe. Déjà opérationnel, ce virement peut être effectué en ligne
sur plusieurs sites Internet de banques françaises (LCL, Monabanq, Boursorama).
En 2012, chaque virement devra être traité en 24h. Or le SEPA regroupe plu-
sieurs États considérés comme des paradis fiscaux ou des centres financiers
offshores : le Luxembourg, Malte, la Suisse, Monaco et Chypre. Le fait qu’il soit
très aisé de créer une société ou d’ouvrir un compte bancaire sur Internet dans
ces pays européens risque de multiplier les fraudes concernant le secteur ban-
caire mais aussi de faciliter le blanchiment d’argent. À noter que le virement SE-
PA est déjà utilisé par les cybercriminels qui se tiennent très informés des nou-
velles règlementations.
Ces nouvelles mesures pourraient donc contribuer à un essor rapide de la cy-

bercriminalité en Europe. La dématérialisation du contact entre client et banque
et l’accélération des flux financiers génèrent un phénomène « boule de neige »
qui est en contradiction totale avec les règles de bon sens préconisées par les
experts économiques depuis des années.
Synthèse
La cybercriminalité est entretenue et facilitée par un ensemble d’outils. Au plan tech-
nique, les hébergeurs bulletproof fournissent les moyens logistiques. Au plan financier,
les systèmes de monnaie virtuelle et les sociétés d’échange font le lien entre économie
virtuelle et économie réelle.
Les flux financiers de la cybercriminalité
Money Mule
Hackers
Développeurs de black markets

malwares Shops et forums : Economie
véritables plaques
réelle
tournantes de la
Phishing cybercriminalité
Carders
Hébergeurs
Approvisionnement bulletproof Cybercriminels
Infrastructure support
Économie virtuelle

QUELLES REPONSES ?
Au plan français
Panorama des acteurs

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été créée par
le décret n° 2009-834 du 7 juillet 2009, succédant ainsi au Service central de la sécurité
des systèmes d’information (SCSSI) puis à la Direction centrale de la sécurité des sys-
tèmes d’information (DCSSI) instituée en 2001. Elle est, depuis le décret n° 2011-170 du
11 février 2011, l’autorité nationale en matière de défense des systèmes d’information
français et « elle décide les mesures que l'Etat met en œuvre pour répondre aux crises
affectant ou menaçant la sécurité des systèmes d'information des autorités publiques et
des opérateurs d'importance vitale »1. 1 : Décret n° 2011-170 du 11
février 2011 modifiant le décret
n° 2009-834 du 7 juillet 2009
La Commission nationale de l'informatique et des libertés (CNIL) est une autorité
portant création d'un service à
administrative indépendante garante du respect de la vie privée et des libertés sur In- compétence nationale dé-
ternet. Créée par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et nommé « Agence nationale de
aux libertés, cette autorité dispose d’un pouvoir de contrôle, de sanction, d’alerte et de la sécurité des systèmes d'in-
formation »
conseil des particuliers, des entreprises et des administrations.
L’OCLCTIC (l’Office Central de Lutte contre la Criminalité liée aux Technologies de

l’Information et de la Communication), créé par décret interministériel du 15 mai 2000
au sein de la DCPJ, remplit deux missions opérationnelles : mener des enquêtes en ma-
tière de crime numérique (surtout en matière de piratage, de fraudes aux cartes ban-
caires et d’escroqueries) et assurer une assistance technique des autres services de po-
lice et de gendarmerie. À coté de ces missions opérationnelles, l’Office assure des mis-
sions qualifiées de « stratégiques » telles que la veille documentaire continue en matière
de nouvelles menaces, la formation d’enquêteurs spécialisés, les Investigateurs en Cy-
bercriminalité (ICC), et la coopération internationale. L’Office gère également les signa-
lements de contenus illicites grâce à la plateforme PHAROS (qui sera bientôt coordon-
née à l’échelle européenne par Europol et ses homologues du Royaume-Uni, des Pays-
Bas, de l’Italie et de la Roumanie) et réalise les interceptions judiciaires.
L’OCRVP (Office Central de Répression des Violences aux Personnes) joue un rôle essen-
tiel dans la lutte contre la diffusion d’images pédopornographiques sur Internet.
La BEFTI (Brigade d’Enquête sur les Fraudes aux Technologies de l’Information), unité
dépendant de la Direction régionale de la police judiciaire de Paris, assure deux missions
principales : l’assistance technique des autres services d’enquête et la réalisation
d’enquêtes grâce à la présence de nombreux ICC. Si sa compétence se limite en théorie à
Paris et sa petite couronne, certaines affaires lui sont attribuées par défaut, lorsque la
compétence territoriale est incertaine.
La DCRI (Direction Centrale du Renseignement Intérieur) dispose d’un pôle consacré à la

cybercriminalité. Ses policiers, habilités secret défense, peuvent traiter d’affaires exi-
geant l’habilitation secret défense ou confidentiel défense (ministères, administrations,
etc.). Ce pôle est régulièrement amené à travailler tant avec l’OCLCTIC qu’avec l’IRCGN.

L’IRCGN (Institut de Recherche Criminelle de la Gendarmerie Nationale), laboratoire de
police scientifique de la gendarmerie, et le STRJD (Service Technique de Recherches
Judiciaires et de Documentation), mènent l’action de la gendarmerie en matière de lutte
contre la cybercriminalité. L’IRCGN réalise trois missions principales :
• Examens et expertises dans le cadre d’investigations judiciaires, à la demande

de la gendarmerie ou de magistrats,
• Formation des techniciens et des enquêteurs,
• Veille technologique et recherche en matière de développement et

d’amélioration des techniques d’investigation.
Le STRJD possède pour sa part une division spécialisée dans la lutte contre la cybercri-
minalité, la DLC, et centralise les données qui lui sont transmises par les unités de gen-
darmerie nationale. Il est, depuis 1994, chargé de la police du réseau Internet et de la
lutte contre la cybercriminalité.
La cyberdouane - Depuis 2009, la Douane dispose d’un service, la cellule « cyber-

douane » agissant pour la lutte contre la fraude sur Internet
Les JIRS - Les magistrats se spécialisent eux aussi dans la lutte contre la cybercriminalité.
Certaines affaires (concernant les atteintes aux STAD, mais aussi quelques atteintes au
Code monétaire et financier) sont confiées à des Juridictions Interrégionales Spéciali-
sées, les JIRS. Leur activité est importante : dans leur premier bilan1, plus du tiers des 1 : AJP Dalloz, mai 2010, Pre-
affaires économiques et financières concernent des escroqueries complexes liées à la mier Bilan des JIRS.
falsification de cartes bancaires. Et 82% des affaires traitées disposent d’un élément
d’extranéité.
L'Observatoire
L'Observat oire de la sécurité des cartes de paiement a été créé par la loi n° 2001-1062
du 15 novembre 2001 relative à la sécurité quotidienne. Cet observatoire assure non
seulement une veille technologique mais est également chargé de mettre en œuvre des
mesures de renforcement de la sécurité des cartes bancaires et d’établir des statistiques
en matière de fraude2. 2 : Son rapport annuel est
disponible à l’adresse sui-
Le Club de la Sécurité de l'Information Français (CLUSIF) est une association indépen- vante : http://bit.ly/jFZV5W
dante d’entreprises et de collectivités agissant pour la promotion de la sécurité de

l’information. Cette association s’organise en groupes de réflexions portant sur la ges-
tion des incidents, la cybercriminalité ou encore, plus généralement, les politiques de
sécurité.
Cadre juridique
Le Droit pénal - Le droit pénal français bénéficie d’un large panel de textes incriminant
les comportements des cybercriminels.
La loi Godfrain - Pour permettre au droit pénal d'appréhender les phénomènes de pira-
tage informatique, la France s'est dotée le 5 janvier 1988 de la loi relative à la fraude
informatique dite « loi Godfrain ». Cette loi, codifiée aux articles 323-1 et suivants du
nouveau code pénal, permet de sanctionner plusieurs comportements placés en amont
ou en aval de l'iter criminis de l'acte de piratage.

• L'article 323-1 sanctionne le simple accès frauduleux à un Système de Traite-
ment Automatisé de Données.
• Ce même article sanctionne ensuite de façon autonome le maintien frauduleux

dans un STAD (de cette façon, même si l'accès est régulier, le maintien peut re-
vêtir un caractère irrégulier en lui-même).
• Sont sanctionnés les actes préparatoires, à travers l'article 323-3-1 du Code pé-
nal, visant la détention d’un virus ou la fourniture de moyens permettant la
commission de l'une des infractions prévues par le dispositif Godfrain.
• Est ensuite sanctionnée la simple participation à un groupe criminel « en vue de

la préparation » d'une de ces infractions.
• Le commencement d'exécution interrompu involontairement est expressément

visé par l'article 323-7 du même code qui sanctionne la tentative des délits d'at-
teinte à un système de traitement automatisé de données (STAD).
• Enfin, sont sanctionnées l'introduction et la suppression de données dans un

STAD, que l'accès qui les a précédé ait été frauduleux ou pas.
b ancaire est une source majeure d’approvisionnement des black

La fraude à la carte bancaire
markets. Cet acte est sanctionné par l’article L163-4 du code monétaire et financier qui
prévoit sept ans d’emprisonnement et 750 000 euros d’amende pour le fait de contre-
faire ou de falsifier une carte de paiement ou de retrait, de faire ou de tenter de faire
usage, en connaissance de cause, d’une carte bancaire contrefaisante ou falsifiée, et
enfin le fait d’accepter délibérément de recevoir un paiement au moyen d’une de ces
cartes.
La collecte frauduleuse de données à caractère personnel - L’article 226-18 du code

pénal vise « le fait de collecter des données à caractère personnel par un moyen fraudu-
leux, déloyal ou illicite » et sanctionne cet acte par cinq années d’emprisonnement et
300 000 euros d’amende. Cet article pourra concerner la collecte de données bancaires
(cartes bancaires, comptes bancaires en ligne), de pièces d’identité, d’identifiants de
messagerie électronique, et de toute autre donnée dès lors qu’elle peut être considérée
comme une donnée à caractère personnel.
Nécessité de réciprocité d’incrimination - Mais pour que ces textes soient applicables,
il faut que la juridiction française soit clairement compétente. La cybercriminalité, en
raison de son caractère transfrontalier et mondial bouleverse le principe de la territoriali-
té de la loi pénale. Selon l’article 113-2 du code pénal, la loi française est applicable dès
lors que l’un des faits constitutifs de l’infraction a lieu sur le territoire français. Et la locali-
sation des serveurs à partir desquels sont diffusés les éléments susceptibles de consti-
tuer une infraction a un impact moindre sur la compétence juridictionnelle française. En
effet, dans un arrêt du 29 mars 2011, la chambre commerciale de la Cour de cassation a
pu affirmer que le juge français n’est compétent que lorsque le contenu du site concerné
est « orienté vers un public français ». Cette décision s’inscrit dans le droit fil de l’arrêt dit
« Hugo Boss »1 qui prévoit quatre critères permettant de retenir la compétence du juge 1 : Cass. comm. 11.01.2005,
français : le site doit être en langue française, accessible depuis la France, doit explicite- Bulletin 2005 IV N° 8 p. 8
ment viser les internautes français et doit proposer la livraison de ses produits sur le
territoire français. L’article 113-6 du code pénal prévoit une autre condition à
l’applicabilité de la loi française : que le crime ou délit commis à l’étranger soit puni à la
fois par la loi française et par la loi du pays où il a été commis.

Les textes de procédure pénale.
Les preuves de la commission d’une infraction sur ou par Internet sont souvent numé-
riques. Or la preuve numérique est souvent périssable, volatile, voire insaisissable. Il
s’agit d’historiques de navigation sur le Web, d’historiques de conversation via message-
rie instantanée, de logs de connexion, d’images, de fichiers textes, d’adresses IP, de don-
nées Whois, etc. Des éléments qui, bien que dématérialisés, sont indispensables au bon
déroulement de l’enquête. Pour obtenir toutes ces données, l’enquêteur devra disposer,
en plus des techniques traditionnelles d’investigation, d’outils adaptés au cyberespace.
L’infiltration numérique - L’infiltration numérique permet, selon l’article 706-81 du

code de procédure pénale, à des enquêteurs spécialement habilités de « surveiller des
personnes suspectées de commettre un crime ou un délit en se faisant passer, auprès de
ces personnes, comme un de leurs coauteurs, complices ou receleurs ». Ce procédé ne
peut être utilisé que pour les enquêtes concernant les infractions listées par l’article 706-
73 du même code. Utilisée dans la lutte contre les black markets, elle autoriserait
l’enquêteur à recourir à une fausse identité et, par exemple, à acquérir ou vendre des
produits tels que ceux que l’on retrouve sur les marchés noirs de la cybercriminalité.
Les « honeypots » - Dans le cadre de la lutte contre les cybercriminels, il est possible de
s’interroger sur la pertinence de l’utilisation de honeypots ou « pots de miel ». Ces ho-
neypots sont des leurres : ordinateurs, serveurs, ou programme laissés volontairement
vulnérables afin d’attirer et de piéger les hackers. Ce leurre permet d’observer le mode
opératoire du hacker et, par la même, de récupérer ses coordonnées. La légalité de
l’utilisation de ce procédé par l’enquêteur est toutefois discutable. En effet, en vertu du
principe de loyauté de la preuve pénale, le policier ne peut provoquer la commission
d’une infraction. Tout élément de preuve obtenu de cette façon sera irrecevable. Ce
principe a été rappelé par la Chambre criminelle de Cour de cassation dans un arrêt du 4
juin 2008 (Bulletin criminel 2008, n°141). En l’espèce, un ressortissant français avait été
identifié suite à sa connexion à un site contenant des images pédopornographiques. Or
ce site avait été monté de toutes pièces par l’unité de criminalité informatique de la
police de New York dans le but d’attirer les pédophiles. Dans cette affaire, la Cour a dé-
claré irrégulières et donc irrecevables ces preuves, considérant qu’elles avaient été ob-
tenues par provocation policière. Ce raisonnement peut trouver à s’appliquer dans le cas
du honeypot.
Il faut rappeler que seul l’officier de police judiciaire est soumis au principe de légalité de
la preuve. La partie privée bénéficie quant à elle d’une jurisprudence clémente. Dans un
récent arrêt du 27 janvier 2010 (pourvoi n°09-83.395), la Cour de cassation a rappelé
qu’ « aucune disposition légale ne permet aux juges répressifs d’écarter des moyens de
preuve remis par un particulier aux services d’enquête, au seul motif qu’ils auraient été
obtenus de façon illicite ou déloyale ».
Les interceptions de communication - Il est possible pour l’officier de police judiciaire

de procéder à l’interception de communications sur Internet. Ce procédé, visant les cor-
respondances privées, est décrit aux articles 100 et suivants du code de procédure pé-
nale. Au moyen d’une dérivation sur la ligne de l’internaute suspecté ou avec le con-
cours de l’opérateur Internet ou de téléphonie mobile, l’enquêteur « interposera » un
procédé d’enregistrement des conversations. Ce procédé pourra par exemple être un
sniffer.
La capture de données informatiques à distance - La Loppsi a inséré dans le code de

procédure pénale un nouvel article 706-102-1 permettant la capture de données infor-
matiques à distance. Ainsi, l’officier de police judiciaire pourra « sans le consentement
des intéressés », accéder aux données informatiques « telles qu'elles s'affichent sur un

écran pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'il
les y introduit par saisie de caractères ».
La perquisition et la saisie informatiques - Dans la plupart des enquêtes, qu’elles

soient classiques ou qu’elles relèvent de la cybercriminalité pure, les policiers et gen-
darmes seront régulièrement amenés à perquisitionner et à saisir des ordinateurs ou des
périphériques de stockage. Ce sera d’autant plus nécessaire pour les enquêtes impli-
quant des black markets. Leurs utilisateurs, s’ils ne se sont pas « anonymisés » via des
techniques spécifiques, laissent en effet des traces de leur passage sur ces sites. Des
traces qui ne sont souvent accessibles que suite à la perquisition et saisie de terminaux
informatiques (ordinateurs, tablettes, smartphones…).
C’est l’article 56 al. 5 du code de procédure pénale qui permet la perquisition de don-
nées informatiques. L’enquêteur procédera « à la saisie des données informatiques né-
cessaires à la manifestation de la vérité en plaçant sous main de la justice soit le support
physique de ces données, soit une copie réalisée en présence des personnes qui assis-
tent à la perquisition ». Ainsi, la saisie informatique pourra être complétée par la saisie du
support physique des données (disque dur, etc.).
Le droit de perquisitionner a dû s’adapter aux évolutions de l’informatique, et le déve-

loppement constant du cloud computing, ou « informatique dans le nuage », oppose à
ce droit sa seule limite légale. Le cloud computing consiste pour l’utilisateur à externali-
ser le stockage de ses données. Elles ne sont plus sur le disque dur de son ordinateur
personnel, mais sur des serveurs distants dont la localisation est souvent secrète voire
vague. Face à ce cas précis, l’enquêteur peut procéder à une perquisition en ligne (article
57-1 CPP pour l’enquête de flagrance, 76-3 pour l’enquête préliminaire, 97-1 sous com-
mission rogatoire). Et ce droit de perquisitionner connaît une limite importante : l’accès à
des données stockées sur des serveurs situés hors du territoire national.
Si les données accessibles en ligne sont stockées en France, aucun problème ne se pose-
ra. La perquisition s’effectuera selon la procédure ordinaire définie à l’article 56 al. 2 du
code de procédure pénale. Si les données sont localisées à l’étranger, l’article 57-1 du
code indique qu’ « elles sont recueillies par l’officier de police judiciaire, sous réserve des
conditions d’accès prévues par les engagements internationaux en vigueur ». Ainsi, l’une
des solutions est l’ouverture d’une information judiciaire afin d’obtenir une commission
rogatoire internationale. La coopération internationale est donc au cœur de l’enquête en
matière cybercriminelle.
Au plan international
Panorama des acteurs

La cybercriminalité étant par nature transnationale, les autorités nationales sont réguliè-
rement amenées à collaborer avec les entités internationales suivantes :
Interpol
Interpol a pour mission première d’assurer la réception, conservation et transmission
des informations sur la cybercriminalité à tous ses pays membres. Le canal principal de
communication est I-24/7, système mondial de communication policière assurant son
service 24 heures sur 24 et sept jours sur sept. Assurant la fluidité de la circulation de
l’information, Interpol améliore la coopération internationale.
Europol centralise les informations et a un rôle similaire à celui d’Interpol, mais à

l’échelle européenne. Afin de mieux lutter contre la cybercriminalité, Europol :

• Participe au développement de l’European Cybercrime Task Force, groupe
d’experts composé de représentants d’Europol, d’Eurojust et de la Commission
Européenne ;
• Enrichit régulièrement sa base de données consacrée à la cybercriminalité ;
• Procède à des analyses stratégiques sur les tendances de la cybercriminalité ;
• Développe deux projets : ICROS (Internet Crime Reporting Online System) et

IFOREX (Internet & Forensic Expert Forum). Ces deux projets permettront une
meilleure centralisation des données, des formations ainsi que des réflexions
sur l’amélioration des textes de loi.
Eurojust,
Eurojust l’unité de coopération judiciaire de l’Union Européenne, coordonne les actions
des autorités judiciaires chargées d’investigations concernant au moins trois pays et
renforce ainsi leur coopération.
L’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) a

pour mission, en partenariat avec les entités nationales et européennes, de promouvoir
et assurer la sécurité des réseaux d’information dans l’Union européenne.
Un Cadre juridique international : la convention « cybercrime »

La Convention sur la cybercriminalité de Budapest du 21 novembre 2001 constitue au-
jourd’hui le texte de référence en matière de coopération internationale dans la lutte
contre la cybercriminalité. À noter que dès 1981, le Conseil de l’Europe avait été à
l’origine de la Convention 108 relative à la protection des personnes à l’égard du traite-
ment automatisé des données à caractère personnel, un texte ratifié uniquement par 17
Etats membres.
Des intentions louables

Les textes nationaux ne suffisent pas : tôt ou tard, l’enquête en matière cybercriminelle
franchira les frontières du pays où se déroule initialement l’enquête. La cybercriminalité
ne connait pas les frontières juridiques et opère sur de nombreux territoires nationaux
différents : acteurs localisés dans différents pays, serveurs bulletproof hébergés dans un
« paradis numérique », etc. C’est pourquoi la Convention de Budapest a souhaité renfor-
cer la coopération internationale, cette amélioration passant par une harmonisation des
législations nationales mais aussi par l’amélioration des canaux de coopération.
• Le « gel » de données - la Convention sur la cybercriminalité de Budapest de

2001 contient quelques dispositions essentielles. Son article 29 prévoit ainsi la
possibilité de « geler » les données informatiques situées hors du territoire na-
tional. Cet article dispose en effet qu’ « une Partie peut demander à une autre
Partie d’ordonner ou d’imposer d’une autre façon la conservation rapide de
données stockées au moyen d’un système informatique se trouvant sur le terri-
toire de cette autre Partie, et au sujet desquelles la Partie requérante a
l’intention de soumettre une demande d’entraide en vue de la perquisition […],
de la saisie […], ou de la divulgation desdites données ».
• Les canaux de coopération - la demande de gel des données pourra être effec-
tuée par commission rogatoire internationale ou par demande d’entraide. Elle
pourra aussi être réalisée à travers le canal d’information Interpol. En France,
c’est l’Office Central de Lutte contre la Criminalité liée aux Technologies de
l’Information et de la Communication (OCLCTIC) qui est le point de contact In-

terpol en matière de cybercriminalité (voir décret n°75-431 du 26 mai 1975).
L’officier de police judiciaire enverra sa demande via le canal BCN (Bureau Cen-
tral National) situé à l’Office. Les points de contact peuvent être joints 24 heures
sur 24 et sept jours sur sept pour recevoir et fournir toute information, ou exé-
cuter les demandes d’assistance.
Cette mesure qui exige la conservation et la communication des données est sans con-
teste la plus importante de la Convention. Mais elle est aussi celle qui suscite le plus de
réticence de la part des États. La Russie a notamment considéré qu’elle constituait une
atteinte à la souveraineté nationale1. 1 : Pedro Verdelho, “The Effec-
tiveness of International Co-
operation against Cybercrime:
Un texte à portée limitée.
Examples of Good Practice,”
Très peu de signataires - Malgré ses objectifs louables, la Convention sur la cybercrimi- Discussion Paper (Draft), Project
nalité de Budapest a une portée limitée et les moyens de coopération policière et judi- on Cybercrime, Council of
ciaire sont encore insuffisants. Au 17 mars 2011, seuls 29 pays l’ont ratifiée. Parmi ceux Europe, March 12, 2008,
http://bit.ly/jL0kG6
qui l’ont signée, mais pas ratifiée, figurent notamment la Chine, le Royaume-Uni, la Bel-
gique, la Suède ou encore la Géorgie. La Russie estime quant à elle que ce traité est une
menace pour sa souveraineté nationale. Or, la Chine et la Russie sont des acteurs essen-
tiels dans le domaine de la cybercriminalité. Au deuxième trimestre 2009, 9,3% des bot-
nets venaient de Chine, et 5,6% de Russie.
Le manque de volonté des États - Il est aussi possible de constater un manque de vo-
lonté de la part de certains Etats. Une large partie des affaires traitées par les services de
police et de gendarmerie renvoient en effet vers l'étranger, souvent vers des pays qui
n'ont ni les moyens ni la volonté de coopérer efficacement. La coopération s’avère ainsi
particulièrement difficile avec des pays tels que les États-Unis, la Russie ou l’Ukraine qui
se montrent parfois réticents à communiquer des données stockées chez leurs fournis-
seurs d’accès à Internet. Le peu d’intérêt manifesté par certains États pour la lutte contre
la cybercriminalité s’explique à la fois par la difficulté des enquêtes et le fait qu’elles
concernent parfois des préjudices de faible montant à l’échelle d’une seule victime.
Le développement des cyberparadis - Il faut enfin noter que certains pays trouvent un
intérêt particulier à la cybercriminalité. Par exemple, le scam « 419 » (se référant au nu-
méro de l’article sanctionnant cet acte) représente aujourd’hui l’une des sources les plus
importantes de revenus étrangers pour le Nigéria. Certains États deviennent ainsi de
véritables « cyberparadis ». Les Pays-Bas refusent par exemple d’établir un lien entre une
personne et une adresse IP. En Russie, où la cybercriminalité est en plein essor, les cyber-
criminels bénéficient même d’une certaine tolérance tant qu'ils ne s'attaquent pas à des
intérêts nationaux. C’est cette impunité de fait qui a favorisé l’émergence d'un véritable
marché noir de logiciels malveillants.
Le manque de volonté des acteurs privés : On dénote également un manque de vo-

lonté de la part des acteurs privés qui, pour certains, y trouvent leur compte en termes
de chiffre d’affaires. Certains serveurs bulletproof font ainsi de leurs garanties
d’anonymat et de non conservation des données un argument commercial. Même cons-
tat pour certains services de monnaie virtuelle qui font de l’anonymat et de l’opacité leur
fond de commerce.

Quelques pistes
Vers un renforcement de la coopération internationale ?
L’élargissement de la Convention de Budapest

L’une des solutions, notamment encouragée par les récentes conclusions du Conseil de
l’Union Européenne « relatives à un plan d'action visant à mettre en œuvre la stratégie
concertée de lutte contre la cybercriminalité », serait la ratification générale de la Con-
vention de Budapest par une majorité d’États, permettant ainsi l’harmonisation des légi-
slations et une coopération optimale. Mais ce scénario semble peu probable aujourd’hui,
bien que les pays réfléchissant à l’amélioration de la coopération soient nombreux. 17
pays de l’Amérique du Sud, 14 pays de la zone Caraïbe et 10 pays asiatiques ont ainsi été
invités par le Conseil de l’Europe afin de contribuer à l’évolution de la législation. La
Convention sur la cybercriminalité de Budapest reste le texte de référence : elle a une
vocation internationale et plus de 100 pays s’en inspirent afin de faire évoluer leur légi-
slation en la matière.
La conclusion d’accord bilatéraux

Si la Convention de Budapest rassemble encore peu de pays, elle les influence énormé-
ment, notamment dans la conclusion d’accords bilatéraux de lutte contre la cybercrimi-
nalité. C’est le cas de la Colombie qui a mis en place des outils de coopération bilatérale
en la matière avec des pays qui n’ont pas ratifié la Convention : Chili, Mexique, etc. Ac-
tuellement, l’Australie améliore sa législation et les pratiques de ses fournisseurs d’accès
à Internet dans le but d’intégrer la Convention de Budapest. Le jeudi 10 mars 2011, le
Maroc a également adopté deux conventions relatives à la lutte contre la cybercriminali-
té, visant à soutenir la coopération entre les pays arabes. Les États-Unis et la Russie (qui
plaide pour un traité de désarmement du cyberespace) sont actuellement en discussion
afin de concilier leurs approches différentes de la cybersécurité et d’améliorer la coopé-
ration.
Début 2010, la Russie a durci les conditions d’attribution des adresses en .ru. Les an-
ciennes conditions d’attribution des noms de domaine en .ru, trop laxistes, en avaient
fait l’extension la plus prisée par les spammeurs, à l’origine du phishing recueillant les
données personnelles telles que des identifiants ou numéros de cartes bancaires à re-
vendre sur les black markets. Peu de temps avant, la Chine avait elle aussi restreint
l’attribution de ses noms de domaines afin de lutter contre la contrefaçon.
Un Schengen du numérique ?
Une solution consisterait à permettre, à l’échelle européenne, un système similaire au
droit de poursuite et au droit d’observation prévu par la Convention de Schengen1. Le 1 : Les Accords de Schengen
droit d’observation (article 40) permet sous certaines conditions de poursuivre une fila- (l'Accord signé le 14 juin 1985,
ses protocoles ainsi que les
ture sur le territoire d’un autre État membre sur la base d’une entraide judiciaire. Le droit
accords d'adhésion des Etats)
de poursuite (article 41) permet sous certaines conditions « de continuer la poursuite ont donné lieu à l'adoption
sans autorisation préalable » sur le territoire d’un État voisin. Étendre ces possibilités à la d'une Convention d'ap-
lutte contre la cybercriminalité reviendrait à permettre à l’officier de police judiciaire de plication (Convention Schen-
gen du 19 juin 1990) puis à
réaliser, sans autorisation préalable, des actes d’enquête sur des serveurs et espaces de
différentes mesures de mise en
stockage situés dans l’un des pays ayant intégré les acquis Schengen. On parlerait alors œuvre. L'ensemble de ces
de « Schengen du numérique ». textes constitue l'Acquis de
Schengen.
Une telle solution présenterait cependant les mêmes lacunes que le système actuel. En
effet, comment savoir si les données sont dans ou hors de l’espace Schengen ? De plus, il
y a toujours restriction de la marge de manœuvre de l’officier de police judiciaire. Ce
dernier est toujours contraint de s’adapter aux frontières de l’espace Schengen, alors

que ces frontières n’ont souvent qu’une réalité concrète très relative, dans le cyberes-
pace.
En février dernier, a été évoquée, au cours d’une réunion du LEWP (Law Enforcement
Working Party, groupe de travail au sein du Conseil Justice et affaires intérieures de
l'Union européenne), la création d'une « frontière virtuelle Schengen » . Dans ce projet,
les FAI joueraient le rôle de « douaniers » en bloquant tout contenu jugé illicite prove-
nant de l’extérieur. Ce projet n’a cependant pas été accueilli favorablement par la cri-
tique qui l’a rapidement comparé aux procédés employés par la Chine. Mais surtout,
c’est l’impossibilité de mise en œuvre du projet qui a été soulignée.
Les Nations Unies

C’est pourquoi une autre solution est préconisée, cette fois-ci dans le cadre d’une ap-
proche mondiale et globale. Il s’agirait de mettre en place une sorte de « Cyber-ONU »
afin de mieux lutter contre la cybercriminalité1. Cette ONU de l’Internet aurait pour fonc- 1 : « Vers une cyber-ONU –
tion première de définir les règles de l’espace Internet. Elle « aura à arbitrer la réponse Entretien avec Christian
AGHROUM, commissaire divi-
informatique offensive qu’un État se verra contraint d’adopter face à des attaques ». En sionnaire, ancien chef de
effet, de la même façon qu’il existe un droit maritime dédié à l’espace maritime, et un l’OCLCTIC ». Bulletin de l'ILEC,
droit aérien pour l’espace aérien, il doit être créé un droit de l’Internet pour le cyberes- n°404., Octobre 2009, p. 13.
pace.
Les Nations Unies jouent déjà un rôle essentiel dans l'amélioration de la coopération
internationale en matière de lutte contre la cybercriminalité. La Commission sur la pré-
vention du crime et la justice pénale a en effet tenu, en 2009, un débat portant sur la
fraude économique et la criminalité liée à l’identité. De plus, le Congrès des Nations
Unies d’avril 2010 au Brésil qui portait sur la prévention du crime et la justice pénale a
été l’occasion de discuter de la pertinence d’un nouveau texte international pour amé-
liorer cette lutte. Mais, comme l’a souligné le représentant de l’Espagne au cours de ce
Congrès, la rédaction d’une nouvelle Convention n’est pas nécessaire, l’utilisation des
outils existant déjà – la Convention de Budapest – dépendant surtout de la volonté poli-
tique des États.
L’engagement de la responsabilité des États

En vertu du projet d’articles sur la responsabilité de l’État pour « fait internationalement
illicite » adopté en 2001 par la Commission des Nations Unies, il est possible d’envisager
la mise en œuvre de la responsabilité des États signataires à la Convention de Budapest
ne respectant pas les obligations en découlant. En effet, dès lors qu’un Etat exprime son
approbation à un texte international (signature ou ratification), la coutume internatio-
nale veut que sa responsabilité puisse être engagée pour tout fait internationalement
illicite. Selon l’article 12 du projet d’article, la violation d’une obligation internationale
consiste dans le manque de conformité entre le comportement requis de l’État par cette
obligation et celui qu’il a effectivement adopté. La violation peut n’être que partielle-
ment contraire à l’obligation incombant à l’État. Elle peut aussi consister dans une omis-
sion, ou une succession d’omissions. Le manquement peut être un manquement à une
obligation de comportement ou de résultat.
Ainsi, dans la convention sur la cybercriminalité de Budapest, lorsqu’un article indique

que « chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires
pour ériger en infraction pénale » certains comportements décrits dans cette même
Convention, l’État signataire est contraint de suivre cette disposition. Dans le cas con-
traire, et comme le précise l’article 45 de la Convention sur la cybercriminalité, en cas de
différend sur l’application de cette Convention, les Parties « s’efforceront de parvenir à
un règlement du différend par la négociation ou par tout autre moyen pacifique de leur

choix » ; mais ils pourront aussi opter pour l’arbitrage, ou encore pour la Cour internatio-
nale de Justice.
De ce fait, et plus concrètement, un État signataire ne respectant pas l’obligation de

l’article 31 de la convention de Budapest imposant la coopération entre États signataires
par la conservation et l’autorisation d’accès à des données numériques localisées sur son
territoire commettrait un acte qui pourrait être qualifié d’internationalement illicite. Sa
responsabilité pourrait être ainsi engagée, notamment s'il tolère l’activité d’entreprises
qui proposent des serveurs bulletproof se vantant explicitement de la non-conservation
des logs de connexion et contribuant ainsi au développement de la cybercriminalité.
Ce principe d’engagement de la responsabilité internationale d’un État pour tout fait

illicite a notamment été affirmé par la Cour permanente de Justice internationale dans
un arrêt du 26 juillet 1927 relatif à l’affaire de l’usine de Chorzow (CPJI, Série A, n°9, p21),
mais aussi par le tribunal arbitral dans l’affaire du Rainbow Warrior. Le Tribunal avait
considéré en effet que « toute violation par un État d’une obligation, quelle qu’en soit
l’origine, engage la responsabilité de cet État et entraîne, par conséquent, le devoir de
réparer » (Nouvelle Zélande/France, Recueil des sentences arbitrales, vol XX (1990), p.
251, §75).
Pour un modèle de sécurité actif

La lutte contre la cybercriminalité passera aussi nécessairement par l’émergence d’un
modèle de sécurité active. Les caractéristiques intrinsèques du cyberespace (l’anonymat,
l’instantanéité, l’imprévisibilité des effets d’une attaque…) font en effet que celui-ci
privilégie souvent systématiquement l’attaquant sur le défenseur alors que la stratégie
contemporaine est fondée sur une posture défensive, sur la dissuasion et sur la légitime
défense. La dissymétrie est importante : le pirate informatique a le choix des armes, tan-
dis que le défenseur doit imaginer tous les scénarios ; le hacker ne respecte aucune règle
tandis que la victime agit dans un cadre très contraint. Or dans le cyberespace la dissua-
sion est impossible ou presque : comment dissuader un adversaire qui est quasiment
certain de ne pas être identifié ? Même constat pour la légitime défense : comment réa-
gir lorsque l’on ne peut pas attribuer l’attaque ? Comment respecter les sacro-saints
principes de simultanéité et de proportionnalité de la riposte pour des attaques qui
durent quelques millisecondes dans un environnement non prédictif ?
Dans ces conditions, un modèle de sécurité active doit notamment se traduire par :
• Une meilleure gestion des événements sécurité. Les logs constituent des élé-
ments précieux, fréquemment sous-exploités. Triés, analysés, corrélés avec des
profils de risque, ils permettent souvent de détecter des signaux faibles.
• Une surveillance permanente des black markets afin de détecter le plus en

amont possible des attaques les menaçant. Les banques ne sont pas les seules
concernées par la cybercriminalité. Les compagnies aériennes et de nombreux
industriels sont eux aussi victimes de fraudes ou de divulgation d’éléments sus-
ceptibles d’affecter la sécurité de leurs produits et leur image ;
• Une lutte renforcée contre les outils financiers et logistiques utilisés par les cy-
bercriminels. La chaîne cybercriminelle implique l’utilisation de systèmes de
monnaie virtuelle et de sociétés d’échange. Moins mobiles que les black mar-
kets eux-mêmes, ces opérateurs qui constituent le lien entre la criminalité tradi-
tionnelle et la cybercriminalité doivent être des cibles prioritaires pour les ac-
tions judiciaires ;

• Le renforcement des capacités d’enquête des services spécialisés tant à travers
des moyens supplémentaires que grâce à l’aménagement d’un cadre juridique
approprié ;
• Le développement, nécessairement discret, de capacités militaires, tant en ma-

tière de lutte informatique défensive qu’offensive.
Certaines de ses actions relèvent logiquement des missions régaliennes de l’État.

D’autres, en revanche incombent aux entreprises qui sont en première ligne dans cette
lutte.
Pour une véritable stratégie de puissance dans le cyberespace

Ce modèle de sécurité active doit être soutenu par une stratégie de puissance globale
destinée à faire valoir et à défendre les intérêts français et européens dans le
cyberespace à travers des objectifs et des moyens politiques, diplomatiques, écono-
miques, technologiques et militaires.
La lutte contre la cybercriminalité s’inscrit en effet dans le contexte plus large d’un
cybrespace devenu un terrain d’affrontement, où les relations entre acteurs doivent
aussi s’analyser en termes de rapports de force. Les causes de cette instabilité croissante
sont multiples :
• Internet a changé de taille mais surtout de centre de gravité. Il y a aujourd’hui

plus d’internautes en Chine qu’aux États-Unis. Par ailleurs, Internet qui était
l’apanage des pays les plus industrialisés conquiert petit à petit toutes les ré-
gions du monde, y compris l’Afrique, jusqu’alors totalement isolée au plan nu-
mérique ;
• La domination américaine semble s’éroder au plan technologique, industriel, en

matière d’infrastructures ou d’innovation. Exemple : le premier supercalculateur
est maintenant chinois ;
• Les technologies et protocoles actuels montrent leurs limites, notamment en

termes de sécurité ;
• Les affrontements de tous types sont de plus en plus nombreux ;
• Alors que l’on était dans un espace essentiellement marchand géré par des
techniciens, le « politique » se réapproprie cet espace. Avec les aspects positifs
(rôle d’internet dans le développement de la démocratie, régulation d’un cer-
tain nombre de dysfonctionnements) et négatifs (censure et atteintes à la « neu-
tralité du net »).
• Internet a encouragé la dilution de la souveraineté étatique entre États, entre

États et entreprises, entre États et « internautes citoyens ».
Après plus d’une décennie de croissance ininterrompue et harmonieuse, la géopolitique

est qu’on le veuille ou non en train de reprendre ses droits sur Internet.

GLOSSAIRE
Autonomous System - Ensemble de réseaux appartenant à une plage d’adresses IP parti-
culière sous le contrôle d’une seule entité, souvent un Fournisseur d’Accès à Internet
(FAI). Les AS sont interconnectés entre eux, ce qui forme le réseau Internet.
Attaque DDoS (Distributed Denial of Service) - Attaque informatique ayant pour finalité
de rendre indisponible l’accès à un service en le saturant de requêtes.
Banker – Logiciel malveillant permettant la récupération d’informations bancaires par un

pirate informatique.
Black Market - Plateforme marchande illégale sur laquelle s’échange biens, services et
renseignements destinés à la commission d’acte cybercriminel.
Botnet - Réseau d’ordinateurs corrompus contrôlés par un ou plusieurs cybercriminel(s)

pouvant être utilisé pour différentes finalités : émission de spam, diffusion de phishing
ou de malware, fraude au clic, puissance de calcul, attaque DDoS, opération de com-
merce illicite, etc.
Captchas – Systèmes de contrôle visuel ou audio permettant de différencier un humain

d’un programme automatique lors de la validation de formulaires sur internet.
Carding - Ce terme anglophone désigne l’ensemble des techniques de piratage et de

ventes illégales de cartes bancaires.
Checkers - Programme informatique qui permet de vérifier la validité d’une carte ban-
caire en effectuant une transaction en générale d’un faible montant.
Cheval de Troie - Un cheval de Troie (appelé également Troyen ou Trojan) est un pro-
gramme informatique, souvent d’apparence légitime, conçu pour exécuter subreptice-
ment des actions à distance à l’insu de l’utilisateur infecté.
CMS (Content Management System) - Un CMS est une famille de programme informa-
tique destinée à la conception et l’administration de plateforme Web ou d’application
multimédia.
CVV (Card Verification Value) - Il s’agit du cryptogramme visuel situé en général au dos
d’une carte de paiement qui a pour rôle de renforcer la sécurisation des transactions
bancaires.
Escrow - Tiers de confiance qui va permettre de finaliser une transaction entre deux
personnes n’ayant jamais traité ensemble auparavant.
Exploit – Programme permettant à un pirate d’automatiser l’exploitation d’une vulnéra-

bilité dans un programme existant.
Exploit kit - Un exploit kit est un pack de programme malicieux qui est principalement
utilisé pour mener à bien des attaques automatisées afin de propager des programmes
malveillants.
ICQ - ICQ est un système propriétaire de messagerie instantanée, de VoIP et de visiocon-

férence développé par la société Mirabilis. Ce service se distingue notamment par le fait

que les utilisateurs sont identifiés par des numéros UIN (Universal Internet Number)
délivrés par ordre d’inscription, offrant par la même, une garantie d’anonymat aux utili-
sateurs.
Iframe - Contraction de “Inline frame”, l’Iframe est une balise HTML qui permet d'afficher
au sein d'une page Web des informations stockées sur un serveur différent.
Iter criminis (Chemin du crime) - Processus, étapes franchies par la personne souhaitant
commettre une infraction.
JABBER - Jabber est un système décentralisé, libre et gratuit de messagerie instantanée

fondé sur le protocole XMPP (Extensible Messaging and Presence Protocol) permettant
de chiffrer les conversations, de créer des serveurs ou encore de naviguer sur des milliers
de serveurs Jabber à travers le monde.
Malware - Contraction de l’expression anglophone malicious et software, un malware est

un terme générique désignant un programme malveillant (code, scripts, contenu actif)
qui effectue des actions à l’insu de son utilisateur. Ce terme généraliste peut aussi bien
désigner un virus, un vers, un spywares, un keylogger, un cheval de Troie, etc.
MBR (Master Boot Record) - Egalement appelé “zone amorce”, le MBR est le premier
secteur adressable d’un disque dur. Il intègre une routine d’amorçage dont la finalité est
de charger le système d’exploitation.
Money Mule - La « Money Mule » est une personne qui transfère ou récupère de l’argent
ou des marchandises pour le compte d’autrui, dans le cadre d’escroquerie dont elle n’est
souvent pas conscience.
Ordinateur Zombie - Cette appellation désigne un ordinateur contrôlé à distance par un

pirate informatique.
PABX - Autocommutateur téléphonique privé qui gère de manière automatique les

communications entre plusieurs postes téléphoniques.
Phishing - Egalement appelé « hameçonnage » ou « filoutage », le phishing est une tech-

nique de fraude reposant sur l’ingénierie sociale qui vise à obtenir les données à carac-
tère personnel ou bancaires de la victime en se faisant passer pour un tiers de confiance.
Le phishing peut employer différents canaux de diffusion : sites Web, e-mails, SMS
(SMiShing), téléphone, etc.
Ransomware - Un ransomware est un type de malware qui vise à empêcher l’utilisateur

d’avoir accès à ses données ou son système d’exploitation notamment par le biais de
techniques de chiffrement des données ou par blocage du MBR.
Rippers - Le ripper est un cybercriminel qui se fait passer pour un vendeur légitime sur
un site de Black Market ou qui crée de faux sites de Black Market, afin de récupérer le
montant de ces transactions illégales, sans offrir de réelles contreparties.
SCADA (Supervisory Control and Data Acquisition) – Système informatique permettant

la surveillance et le contrôle de systèmes industriels (énergie, transports, usines, etc.)
Serveur Bulletproof - Service d’hébergement littéralement « à l’épreuve des balles », où

le prestataire ne vérifie pas l’utilisation faite de l’espace alloué et garantit la disponibilité
du service en dépit des plaintes et/ou injonctions qu’il pourrait recevoir. Généralement,
le prestataire ne conserve aucunes donnée relative à l’identification du client.

Serveur C&C - Serveur utilisé par un pirate pour contrôler à distance des ordinateurs qu’il
aura infecté. Ces serveurs lui permettent de renforcer son anonymat.
Shops - Sites de vente automatisée de produits cybercriminels. Ce type de Black Market

est généralement d’accès limité et implique un ou plusieurs parrainages.
Spam - Selon la CNIL, le spam se caractérise par « l’envoi massif et souvent répété de
courriers électroniques à des personnes avec lesquelles l’expéditeur n’a jamais eu de
contact et dont il a récupéré les adresses électroniques de façon irrégulière ».
Injection SQL - Ukne injection SQL exploite une faille de sécurité d’une application web
en introduisant une requête SQL non prévue. Cette injection permet d’interagir avec la
base de données de l’application et ainsi de compromettre sa sécurité.
Voucher - Système de paiement électronique pouvant se présenter sous la forme d’un

code PIN représentant une valeur monétaire.
VPN (Virtual Private Network) - Interconnexion de réseaux locaux sécurisée via tunnel. Ce
dernier assure la sécurisation du réseau par des algorithmes de chiffrement.
Zombie (ordinateur) – Ordinateur préalablement infecté afin d’être sous le contrôle d’un
pirate informatique, un Botnet est composé de milliers d’ordinateurs zombies.

PRESENTATION DE CEIS
Créée en 1997, CEIS est une société de conseil en stratégie et en management des
risques qui compte aujourd’hui 80 consultants en France. CEIS dispose en outre de plu-
sieurs implantations internationales : Bruxelles, Beijing, Abu Dhabi, Kiev, Astana et Mos-
cou.
CEIS s'organise autour de 4 grands pôles d'activité :
• Risques opérationnels : intelligence économique et financière, management des

risques et gestion de crise, sécurité des systèmes d’information et business in-
telligence ;
• Prospective stratégique : études stratégiques et analyse des menaces ;
• Intelligence publique et territoriale : lobbying, communication, marketing terri-

torial ;
• Innovation 128 : gestion de l’innovation et veille technologique.
Pour développer ses activités en matière de sécurité des systèmes d’information et de

lutte anti-cybercriminalité, CEIS a créé l’équipe Secu Insight qui regroupe aujourd’hui
une dizaine de personnes : ingénieurs spécialisés en sécurité des systèmes
d’information, juristes en droit des nouvelles technologies et analystes multilingues.
Cette équipe réalise des missions de veille, d’analyse et de conseil dans le domaine de la
sécurité des systèmes d'information et de la lutte contre la cybercriminalité. Elle anime
également le site Secu-Insight.fr, un portail d'informations dédié à la sécurité des sys-
tèmes d’information et aux cyber-risques.
L'offre cyber-
cyber- sécurité de CEIS
Anticipation Analyse Conseil
Compréhension des Veille Recommandations

Tests d'intrusion
enjeux techniques technologique techniques
Compréhension des Veille Analyse de risques Etudes

enjeux "métiers" opérationnelle technologiques d’architectures
Compréhension des Veille Analyse des Politique de

enjeux stratégiques stratégique menaces sécurité

CONTACTS
Pour toute réaction à cette étude, pour obtenir plus d'informations sur ce sujet, pour en
savoir plus sur nos offres, n'hésitez pas à nous contacter.
Guillaume TISSIER
Directeur du pôle Risques Opérationnels
01 45 55 60 29 - gtissier@ceis.eu
Nicolas CAPRONI
Consultant spécialisé en cybercriminalité et sécurité des systèmes d'information
01 45 55 58 67 - ncaproni@ceis.eu
Barbara Louis-Sidney
Consultante spécialisée en cybercriminalité et sécurité des systèmes d'information
01 45 55 58 72 - blouis@ceis.eu

Collection Notes ∑tratégiques
Coordination éditoriale : O. ZAJEC
● Stratégies et opérations ●
La France et l’équation Rafale
Le retour de la stratégie indirecte
Les drones : l’exemple américain
Les systèmes de systèmes
● Technologies de l’information ●
Les marchés noirs de la cybercriminalité
● Débats et Politiques publiques

publiques ●
A paraitre
Retrouvez toutes les notes stratégiques sur www.ceis.eu
Compagnie Européenne d’Intelligence Stratégique (CEIS)

Société Anonyme au capital de 150 510 € - SIRET : 414 881 821 – APE : 741 G
280 boulevard Saint Germain – 75007 Paris - Tél. : 01 45 55 00 20 – Fax : 01 45 55 00 60
Tous droits réservés

Les Marches Noirs de La Cybercriminalite Juin 2011

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Les Marches Noirs de La Cybercriminalite Juin 2011

Transféré par

Droits d'auteur :

Formats disponibles

Collection Notes ∑tratégiques

LES MARCHES NOIRS DE LA CYBERCRIMINALITE

Préface du Général d’armée Watin-Augouard

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 1 sur 73

Tous droits réservés

Compagnie Européenne d’Intelligence Stratégique (CEIS)

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 2 sur 73

Le terme « cybercriminalité » apparut à la fin des années quatre-vingt-dix, alors

La cybercriminalité et/ou la cyberdélinquance, qui par ailleurs est celle qui

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 3 sur 73

• les infractions liées aux technologies de l’information et de la communication :

• les infractions facilitées par les technologies de l’information et de la communi-

• harmoniser les législations des Etats signataires en matière de cybercriminalité :

• compléter ces législations, notamment en matière procédurale : afin d’améliorer

• améliorer la coopération internationale, notamment en matière d’extradition et

Au niveau européen, a été créée en 2004 l’Agence européenne chargée de la sécurité

• prêter assistance et fournir des conseils à la Commission et aux États membres

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 4 sur 73

• promouvoir des activités d'évaluation et de gestion des risques afin d'améliorer

• renforcer la coopération entre les différents acteurs du secteur de la sécurité de

Malheureusement la lutte contre la cybercriminalité n’est pas aisée. Il existe

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 5 sur 73

Général d’armée Watin-

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 6 sur 73

La face visible de la cybercriminalité

Cette vision de la cybercriminalité n’est cependant que parcellaire et de nombreuses

La face cachée de la cybercriminalité

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 7 sur 73

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 8 sur 73

Scénario 1 : chantage au déni de service distribué

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 9 sur 73

Scénario 2 : campagne d'infection massive de

Face à ce type d’attaque

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 10 sur 73

Sa dernière victime en date, MyGardenShop, lui a permis de récupérer 80 000 données

Face à ce type d’attaque

Ce type d’attaque est malheureusement courant sur Internet. Plusieurs mesures

Scénario 4 : campagne de phishing

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 11 sur 73

Face à ce type d’attaque

Scénario 5 : indisponibilité de superviseur

Mode opératoire - Le fonctionnement du système est simple : un petit logiciel, appelé

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 12 sur 73

Face à ce type d’attaque

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 13 sur 73

Généralement, lorsqu’un black market se développe et acquiert une certaine notoriété,

Deux grandes catégories

Eu égard au caractère international de la cybercriminalité, les discussions se font en

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 14 sur 73

Un forum se divise en plusieurs rubriques, chacune concernant un sujet particulier. Il est

Figure 3 : les rubriques d'un black market

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 15 sur 73

Le lieu de convergence entre criminalité virtuelle et physique - Un cybercriminel

La criminalité traditionnelle fait partie intégrante de ce processus et c’est en grande

• Un employé d’hôtel en Afrique du Sud a pu copier frauduleusement les don-

Figure 4 : Message d’un employé d’hôtel proposant ses services

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 16 sur 73

Figure 7 : proposition d'aide à la fraude

Phase de monétisation - La phase de monétisation est la plus délicate et suscite

Lorsqu’un cybercriminel pirate le compte bancaire d’un ressortissant français, il a systé-

LES MARCHES NOIRS DE LA CYBERCRIMINALITE - Page 17 sur 73

L’annonce ci-dessous propose de retirer le maximum d’argent possible à des distribu-

Figure 8 : proposition de retrait sur des DAB français.