Académique Documents
Professionnel Documents
Culture Documents
Technologies de l’information
Juin 2011
SOMMAIRE
Sommaire ................................................................................................................................................................ 1
Préface .................................................................................................................................................................... 2
Introduction ............................................................................................................................................................ 7
La face visible de la cybercriminalité................................................................................................................... 7
La face cachée de la cybercriminalité ................................................................................................................. 7
Méthodologie ...................................................................................................................................................... 8
Scénarios ................................................................................................................................................................. 9
Scénario 1 : chantage au déni de service distribué ............................................................................................. 9
Scénario 2 : campagne d'infection massive de sites Internet .......................................................................... 10
Scénario 3 : vol de base de données clients ...................................................................................................... 11
Scénario 4 : campagne de phishing ................................................................................................................... 11
Scénario 5 : indisponibilité de superviseur ....................................................................................................... 12
Synthèse ............................................................................................................................................................ 13
Les sites de black market ...................................................................................................................................... 14
Du site « amateur » au site « professionnel »… ................................................................................................ 14
Deux grandes catégories ................................................................................................................................... 14
Les produits ....................................................................................................................................................... 20
Les outils des cybercriminels ............................................................................................................................. 23
Les infrastructures : les serveurs bulletproof.................................................................................................... 28
Les acteurs des black markets............................................................................................................................... 33
Entre goût du secret et besoin de publicité : une criminalité schizophrène .................................................... 33
Des « associations internationales de malfaiteurs » ......................................................................................... 34
Des profils très variés ........................................................................................................................................ 37
L’ennemi numéro un des cybercriminels : le ripper ......................................................................................... 38
L’économie des black markets .............................................................................................................................. 40
Les profits des cybercriminels ........................................................................................................................... 40
Un outil clé : la monnaie virtuelle ..................................................................................................................... 43
Un recours aux moyens classiques du blanchiment d’argent .......................................................................... 51
Synthèse ............................................................................................................................................................ 55
Quelles réponses ? ................................................................................................................................................ 56
Au plan français ................................................................................................................................................. 56
Au plan international ........................................................................................................................................ 60
Quelques pistes ................................................................................................................................................. 63
Glossaire ................................................................................................................................................................ 67
Présentation de CEIS ............................................................................................................................................. 70
Contacts ................................................................................................................................................................ 71
Technologies de l’information
L’ordre public a d’abord organisé la vie en société sur la terre. Il s’est tourné vers
la mer. Celle-ci a cessé d’être une res nullius pour devenir une res communis qu’il con-
vient de protéger, car c’est un espace fragile sur lequel le trafic maritime et l’exploitation
des richesses doivent être encadrés. Avec le développement de la navigation aérienne
est né un ordre public qui se manifeste chaque jour davantage sous la pression de la
menace terroriste. L’accès à l’espace extra-atmosphérique est encore le privilège de
quelques grandes puissances, mais il ne manquera pas de justifier l’édification de règles
internationales au fur et à mesure que des activités humaines s’y déploieront. Quelque
soit l’espace considéré, l’ordre public ne peut être garanti sans un consensus internatio-
nal, condition d’une coopération sans frontière.
Le cyberespace est depuis trois décennies, une nouvelle terra incognita. Il est
certes un espace immatériel, mais on ne peut nier les conséquences matérielles et hu-
maines de son exploration. Les technologies numériques sont désormais omniprésentes
(information, culture, éducation, commerce, industrie, services, santé, sécurité, défense,
etc.).
Elles sont source de progrès, de croissance si elles sont maîtrisées, mais elles portent
aussi en germe des risques de fragilités. Les pionniers ont considéré que la liberté devait
y être absolue, mais après une période d’euphorie, voire d’insouciance, chacun est dé-
sormais convaincu de l’urgence d’une intervention concertée des acteurs publics et
privés afin que le cyberespace ne soit pas livré aux nouveaux prédateurs, que sont no-
tamment les cybercriminels et les cyberdélinquants.
C’est justement tout l’intérêt de l’étude menée par CEIS que de décrire précisément,
grâce à une observation quotidienne du cyberespace, le fonctionnement des marchés
noirs utilisés par les cybercriminels et de l’économie souterraine qu’ils entretiennent.
Alors que la cybercriminalité suscite nombre de fantasmes et d’idées reçues, cette étude
contribuera sans aucun doute à la prise de conscience des pouvoirs publics mais aussi
des acteurs économiques qui sont en première ligne dans la lutte contre ce fléau.
Pour contrer la commission de ces actes criminels et délictueux, sur cette struc-
ture planétaire que constitue le cyberespace, outre les législations nationales, une coo-
pération internationale s'est édifiée autour de règles de droit qui protègent les individus,
les entreprises, les organisations internationales, les États. La plus emblématique de ces
règles demeure la convention sur la cybercriminalité du 23 novembre 2001, ainsi que
son protocole additionnel de janvier 2003, adoptée par les pays membres du Conseil de
l'Europe ainsi que les Etats-Unis, le Canada, le Japon et l’Afrique du Sud et qui vise à :
Néanmoins, si 42 États ont signé la convention, seuls 14 ont procédé à sa ratification fin
2007.
Pour appliquer et faire respecter ces règles juridiques, des organes de lutte ont
été mis en place. Dès 1998, a été créé, au sein de la Gendarmerie, le département de
lutte contre la cybercriminalité au sein du service technique de recherches judiciaires et
de documentation (STRJD). Le 15 mai 2000 a été créé l’Office central de lutte contre la
criminalité liée aux technologies de l’information et de la communication (OCLTIC), re-
groupant policiers et gendarmes, notamment au sein de la plate forme de signalement
des contenus illicites sur internet. Chaque force de sécurité intérieure a formé sur l'en-
semble du territoire des personnels, enquêteurs N'Tech pour la Gendarmerie Nationale
et Investigateurs en Cybercriminalité pour la Police Nationale.
• suivre l'élaboration des normes pour les produits et services en matière de sécu-
rité des réseaux et de l'information.
Au niveau juridique, ce qui pose aujourd’hui beaucoup de difficultés c’est le fait qu’un
même comportement en France et à l’étranger n’est pas pareillement considéré. Il peut
constituer une infraction dans un pays et pas dans l’autre. On peut citer pour exemple, la
« promotion du cannabis », ou encore la « provocation pour surprendre les pédophiles ».
Cela renvoie à un autre problème celui de la loi applicable. En effet, la cybercriminalité «
bouleverse le principe classique de la territorialité de la loi pénale ». La loi française sera
applicable dès lors qu’un élément constitutif de l’infraction a eu lieu en France (TGI de
Paris 17ème chambre, 26 février 2002). Ainsi, par exemple, la simple réception par
l’utilisateur est un élément constitutif de l’infraction. Mais s’il n’y a pas d’élément consti-
tutif de l’infraction en France, la loi française ne sera pas applicable.
Il faut alors lutter chaque jour contre les paradis juridiques « cyber paradis », pour une
meilleure efficacité du droit relatif à la cybercriminalité.
De même, toutes les législations, et les outils en charge de leur mise en œuvre
et de leur respect, ne sont que le cadre d'une action individuelle, ou l'homme se doit
d'être informé et responsable de ses actes. Ceci passe par une éducation aux possibilités
et dangers des systèmes d'information car la cible principale des cybercriminels et dé-
linquants sera les réseaux sociaux et les téléphones portables. C'est ce que met en avant
Symantec dans son rapport annuel d’analyse des menaces de la cybercriminalité. Les
utilisateurs de Facebook, Twitter et du système d’exploitation de Google Android, sont
particulièrement vulnérables, selon l’étude. Les failles exploitables par la cybercriminali-
té ont augmenté de 115% en 2009 à 163% en 2010. Le nombre d’attaques, notamment
par la diffusion de virus, demeure néanmoins réduit sur ces programmes, comparé à
ceux commis par e-mail.
Les attaques ciblées vont aussi se développer. Il s’agit de ces pièges qui semblent venir
d’expéditeurs que vous connaissez, sur Facebook, ou par mails. Plus difficiles à mettre en
place par les cybercriminels, ils sont aussi plus efficaces : vous cliquez plus facilement sur
le lien envoyé par un ami sur Facebook que par un expéditeur dont le mot «viagra»
compose l’adresse e-mail.
Au total, le nombre d’attaques menées sur Internet a augmenté de 93% entre 2009 et
2010, boosté par la prolifération des mini-url, selon Symantec: Elles ne comprennent que
rarement un élément permettant d’identifier la provenance, plus compliqué donc de
distinguer un lien virus d’un lien valable. Ces attaques ciblées sont les plus susceptibles
Ainsi, toute démarche doit placer l’Homme au coeur de toute réflexion, de toute
action : « à quoi lui servirait de gagner l’univers du cyberespace s’il venait à perdre son
âme ? ». La maîtrise du cyberespace s’inscrit dans une stratégie de développement du-
rable(1) qui préserve l’avenir des générations futures. Elle doit garantir la paix publique
mais aussi la paix, car les hommes ont toujours porté leurs conflits sur les espaces qu’ils
se sont appropriés, telle que l'actualité récente l'a démontré dans les pays arabes et que
rappelait le Président de la République Nicolas SARKOZY lors de son discours du 24 mai
2011, lors de l'e.G8 Forum, "cette révolution qui a modifié jusqu'à notre perception du
temps et de l'espace a joué un rôle déterminant dans le déroulement d'autres révolu-
tions".
Outre la nécessité de promouvoir une prise de conscience collective par une formation à
l'information, chaque Etat doit se doter de compétences humaines et d'outils qui puis-
sent veiller à détecter en permanence les menaces, définir les mesures de protection,
détenir et mettre en œuvre des capacités de riposte qui s’imposent afin de préserver
l’extraordinaire potentiel de développement dont le cyberespace est porteur et qui doit
être considéré comme une chance pour l’humanité qu’il faut saisir avec l’optimisme de
la liberté et le réalisme de la sécurité.
Les cybercriminels utilisent en effet à leur avantage les caractéristiques propres à Inter-
net : l’absence de frontières, l’anonymat, la volatilité etc. Si bien que la traque se révèle
particulièrement complexe. Il est en outre plus ardu de lutter contre un individu subtili-
sant un euro à un million de personnes que contre un individu subtilisant un million
d’euros à une seule personne… Le délit est indolore ou presque et, bien souvent, au-
cune plainte n’est déposée par les victimes.
Elle s’illustre, plus concrètement, par toute une série de comportements frauduleux au
nombre desquels se retrouvent, par exemple, le vol de données à caractère personnel
(adresse, nom, identifiant et mots de passe…), la fraude et le vol d’identifiants ban-
caires, le vol et la falsification de papiers d’identité, mais aussi l’atteinte au fonction-
nement d’un système informatique. Ces comportements sont facilités par la réalisation
d’actes en amont tels que la fabrication et l’utilisation de malwares capables de subtili-
ser les données d’un réseau ou d’un système d’information.
C’est pour apporter des éléments de réponse à ces interrogations que CEIS a mené
cette étude sur la face cachée de la cybercriminalité.
• De s’organiser. Ils y nouent des contacts et opèrent une division des tâches à
travers un mode opératoire plus ou moins bien ficelé ;
• De vendre, de louer et d’acheter. Sur les black markets, forums ou shops, sont
mis en vente toutes sortes de produits et de services, qu’il s’agisse d’outils de
piratage (malwares…) ou de résultats de ces malversations (numéros de
Méthodologie
Quelques scénarios, issus pour la plupart de cas réels, permettront tout d’abord au
lecteur d’appréhender l’étendue de la cybercriminalité et le rôle central des black mar-
kets.
Dans un deuxième temps seront présentés les différents types de black market, les
outils utilisés et les acteurs impliqués. Le rôle des monnaies virtuelles et l’analyse des
liens entre cybercriminalité et criminalité physique traditionnelle feront également
l’objet d’une attention particulière.
Une dernière partie détaillera enfin les cadres juridiques français et internationaux
avant de proposer quelques pistes pour lutter contre le fléau cybercriminel : renforce-
ment de la coopération internationale, surveillance renforcée des black markets et
développement d’un modèle de sécurité actif.
Les scénarios présentés ci-dessous décrivent les principales tendances actuelles du cy-
bercrime financier, qu’il s’agisse de détournements de fonds, de chantage ou de revente
d’informations personnelles sur des espaces d’échanges cybercriminels. Ils ne sont pas
exhaustifs et ne sont en aucun cas représentatifs de tout le spectre des menaces cyber-
criminelles. Ces dernières ne sont d’ailleurs limitées que par l'imagination - débordante -
de leurs auteurs.
Une fois l’attaque lancée, les serveurs mail et Asterisk de Zcorp deviennent rapidement
inaccessibles et la société est coupée du reste du monde. Faute d’équipe technique
capable de mettre en œuvre des contre-mesures efficaces, seules deux options s’offrent
à Zcorp : payer la rançon demandée (une dizaine de milliers d’euros, versés sur un
compte Liberty Reserve) ou attendre la fin de l’attaque.
Impacts - Face à une coupure de tous ses moyens de communication, la société Zcorp
ne prend pas le temps d’analyser la situation et décide de transférer la rançon demandée
sur le compte du cybercriminel pour faire cesser l’attaque DDoS contre ses infrastruc-
tures. La société ne porte pas plainte, considérant que cela ne servirait à rien et que sa
mésaventure pourrait bien être médiatisée et ternir son image.
L’entreprise aurait pu mettre à jour ses zones DNS et les faire pointer vers de
nouveaux serveurs avec des adresses IP différentes. Même si les chances de
retrouver les cybercriminels à l’origine de ce type d’attaque sont faibles, il est
fortement conseillé de porter plainte.
Contexte - Katia, développeur web dans une société de services informatiques, s’est
convertie au cybercrime pour faire face à ses nombreuses dettes. Son activité consiste à
développer et à revendre des « exploits » visant principalement des squelettes prépro-
grammés de sites Internet (Content Management System ou CMS). Suivant le type de
vulnérabilité trouvé et le nombre potentiel de sites Internet vulnérables, elle peut re-
vendre ses exploits plusieurs centaines d’euros.
Mode opératoire - Récemment, lors d’un audit du code source d’un CMS, elle a trouvé
le moyen de faire exécuter un code arbitraire aux serveurs des sites Internet disposant
de ce CMS, dont Google évalue le nombre à 115 000. Ce type de vulnérabilité pourra
permettre la mise en place de scripts malveillants sur les sites Internet attaqués ou le
piratage des serveurs afin de constituer à moindre coût des serveurs de commandes de
botnets répartis dans le monde.
Elle vendra quelques jours plus tard le code d’exploitation personnalisé 1000 $ sur un
sous-forum privé dédié aux exploits, espace de discussion réservé aux cybercriminels
(black market). Plusieurs acheteurs ont répondu à cette offre par leur numéro de messa-
gerie ICQ. Après quelques échanges avec un escrow1, son code d’exploitation est vendu 1 : Escrow - tiers de confiance
qui va permettre de finaliser
à un acheteur crédible, sans que Katia ne connaisse l’usage qui en sera fait.
une transaction entre deux per-
sonnes n’ayant jamais traité
Impacts - Quelques jours plus tard, une campagne de piratage d’envergure visant plu- ensemble auparavant.
sieurs dizaines de milliers de sites Internet utilisant le CMS aura lieu. L’attaque se traduira
par l’insertion dans les sites visés d’un composant (une iframe) qui tentera d’infecter les
ordinateurs des visiteurs à l’aide du kit d’exploit Black Hole.
Il est conseillé d’utiliser des CMS soutenus par une large communauté
d’utilisateurs afin de prévenir d’éventuelles failles de sécurité dans leurs codes
sources. Une veille doit être réalisée sur les failles et les mises à jour du CMS
utilisé. Enfin, un contrôle d’intégrité des fichiers présents sur les sites Internet
est primordial afin de s’assurer qu’aucun fichier n’a été modifié.
Contexte - Rand3k est un pirate informatique. Son activité : dérober des bases de don-
nées clients pour revendre les informations qu’elles contiennent. Suivant le nombre
d’enregistrements, le pays d’origine, mais également les informations qu’elle contient, le
prix d’une base de données peut aller jusqu’à plusieurs milliers de dollars US sur certains
marchés.
Mode opératoire - Pour commettre son méfait, Rand3K réalise à la main des recherches
sur des sites potentiellement vulnérables. Afin de compromettre les bases de données, il
utilise plusieurs méthodes de hacking (principalement l'exploitation de simples injec-
tions SQL). Pour lui, une « bonne » base de données contient plusieurs centaines de mil-
liers d’enregistrements clients, dont leurs données bancaires.
Impacts - MyGardenShop apprendra l'attaque dont il a été victime dans la presse infor-
matique sur Internet, tout comme ses clients. L'entreprise est obligée de mettre en place
une communication de crise, invitant ses clients à changer leur mot de passe sur le site
Internet et à prévenir leur banque que leurs données de cartes bancaires ont pu être
compromises. Suite à la médiatisation de l’affaire, le chiffre d’affaires réalisé sur le site
Internet chutera de 40 %.
Contexte - Depuis des années, le phishing est la menace cybercriminelle la plus visible.
Même si les navigateurs possèdent aujourd’hui des parades anti-phishing et qu’une
coopération internationale s’est organisée dans la lutte contre ce fléau, beaucoup
d’internautes sont encore victimes de ce type d’escroquerie. C’est en parlant avec des
contacts sur Internet qu’Eric a eu l’idée de se lancer dans l’aventure du phishing.
Quelques mois après ses débuts, sa technique est aujourd’hui bien rodée : son dispositif
lui rapporte plusieurs dizaines d’identifiants bancaires par jour.
Parallèlement à cette opération, Eric met à jour une base d’adresses électroniques, créée
par ses soins grâce à des forums et dont l’activité lui permet de récupérer une centaine
de nouveaux mails par jour. Après avoir constitué sa base, il envoie - par l’intermédiaire
d’un serveur SMTP autorisant l’envoi d’email sans authentification - plusieurs vagues de
phishing en usurpant les identités des banques visées.
Impacts - Pour Eric, le phishing est la solution idéale pour gagner de l’argent. Il arrive à
revendre sans difficulté les données à des shops car la demande est en hausse depuis
quelques mois. Il considère même que sa démarche est « éthique » puisque, selon lui, "ce
ne sont pas les clients mais les banques qui sont volées".
Le phishing ne touche pas que de simples particuliers mais également les entre-
prises. Ce type d’attaque, bien que facile à mettre en œuvre, est très dangereux.
Il est préconisé de vérifier les émetteurs des messages, principalement à l’aide
des headers. Plusieurs solutions existent pour vérifier automatiquement
l’appartenance de l’émetteur d’un mail à un domaine. De plus, il ne faut pas se
fier aux demandes par email, une banque ne demandant jamais des identifiants
par courrier électronique ou par téléphone.
Contexte - Igor et Kevin, tous deux étudiants, ont décidé de consacrer leur temps libre
au développement d’un ransomware. Ce projet, qui devait être à visée scolaire, est vite
devenu une activité permettant aux deux amis de dégager quelques profits.
Une hausse de la production des ransomwares est à prévoir ces prochains mois
du fait de leur facilité de développement et de leur furtivité potentielle sur le
système ciblé. Face à ce type de menace, il est impératif de maintenir à jour le
système et de disposer d’un antivirus. De plus, une politique de sauvegarde doit
être mise en œuvre afin de limiter l’impact d’un éventuel incident.
Synthèse
La cybercriminalité est une chaîne complexe. Dans cette chaîne, les black markets (en
bleu) jouent un rôle essentiel, tant en amont pour la préparation des attaques qu’en
aval, pour la monétisation des bénéfices réalisés par les cybercriminels.
Certains black markets, qu’il est possible d’assimiler à de la petite délinquance, sont
donc accessibles à tous et leur découverte est aisée sur la Toile. Les renseignements ou
données qui s’y trouvent ne seront pas toujours excellents mais ils permettront à un
novice de « débuter » en criminalité informatique.
Enfin, l’accès à certains sites est impossible pour la majeure partie des criminels : à
l’instar d’une mafia, il n’est possible d’y entrer qu’avec l’assentiment donné à
l’administrateur par des « parrains » déjà inscrits. Le droit d’entrée ne repose plus alors
sur un effort financier mais une réelle reconnaissance du milieu, ce qui nécessite d’avoir
fait ses preuves et de connaître les bonnes personnes.
Figure 1 : quatre garants sont demandés pour entrer dans ce black market.
Les forums
Un lieu d’échange « underground » - Les forums sont le lieu de rencontre des cyber-
criminels débutants ou aguerris qui peuvent lire les dernières nouvelles et innovations
du milieu, demander conseil sur tout type de sujet, proposer leur service ou collabora-
tion pour des opérations illicites.
Les annonces sont visibles par tous les membres qui peuvent se contacter entre eux par
message privé puis, une fois le contact pris, converser par ICQ ou Jabber (voir page 24).
Les administrateurs déconseillent d’ailleurs généralement à leurs inscrits d’indiquer
directement dans leurs annonces les numéros ICQ mais nombre d’entre eux passent
outre cette règle de sécurité.
Les participants n’ont en effet pas tous le même statut. Par ordre d’importance décrois-
sant, il est possible de distinguer les administrateurs, les modérateurs, les vendeurs véri-
fiés, les membres reconnus et les invités. Ces derniers n’étant recommandés ni par
l’administrateur ni par d’autres membres, ils suscitent inévitablement la méfiance : il
pourrait s’agir de policiers ou de rippers1. 1 : Rippers - Le ripper est un
cybercriminel qui se fait passer
Les inscrits peuvent parfois se noter entre eux ce qui permet de passer du statut d’invité pour un vendeur légitime sur
un site de Black Market ou qui
à celui de membre reconnu. La réputation d’un cybercriminel se fait également au crée de faux sites de Black
moyen de feedbacks (commentaires) des autres utilisateurs. Market, afin de récupérer le
montant de ces transactions
illégales, sans offrir de réelles
contreparties.
Le forum peut ainsi être à l’origine de la création d’une organisation criminelle car
chaque membre peut trouver le ou les partenaires qui lui conviennent pour des activités
déterminées.
En amont, cette criminalité peut prendre l’apparence d’employés malhonnêtes qui vont
se servir de leur situation pour récupérer des données illicites comme des cartes ban-
caires.
Deux exemples :
• Dans un autre cas, les membres francophones du forum s’entraident : une per-
sonne indique gagner 4 000 $ par mois en fournissant le matériel approprié
(« skimmer ») à une serveuse qui va lui permettre de récupérer les données ban-
caires de la clientèle.
Phase d’exécution - Avoir recours à des complices implantés dans le pays cible est pri-
mordial pour un cybercriminel lors de l’exécution de son délit et pour la phase finale de
monétisation. Pendant la phase d’exécution, cette aide se traduit par de petites actions
simples, comme par exemple donner un coup de téléphone pour valider une com-
mande ou recevoir un SMS.
Exemple de discussion tirée d’un forum : une personne voulant frauder Western Union 1 : L’envoi d’argent par Western
recrute des « collaborateurs » afin de valider les transferts au téléphone1. Une personne Union sur Internet nécessite
deux phases : une première sur
résidant en France propose de passer ces appels et de fournir occasionnellement une
le site de la société et une
voix de femme pour les fraudes réalisées avec des titulaires de cartes bancaires fémi- seconde qui suppose d’appeler
nines. Western Union par téléphone
afin de valider le transfert
effectué sur Internet.
Figure 6 : recherche de service de fraudes
Le rôle des mules ou « money mule » est de : recevoir des colis, des virements bancaires,
des mandats Western Union, retirer l’argent à un distributeur automatique avec une
carte bancaire contrefaite… La « mule » va servir d'intermédiaire et de facilitateur afin de
permettre aux cybercriminels de transformer l'argent virtuel en argent réel : il s’agit donc
de blanchiment d'argent.
Exemples :
Les transferts bancaires sont en effet instantanés en France métropolitaine alors que des
virements à l’étranger nécessitent un délai de plusieurs jours, ce qui laisse le temps à la
banque de repérer la fraude. Une fois le virement effectué, la mule retire la somme de
On retrouve enfin sur Internet de nombreuses offres d'emploi suspectes sur de véri-
tables sites de recrutement tout à fait légitimes. Elles promettent aux candidats de ga-
gner des sommes d'argent confortables pour du travail à domicile. Le travail demandé
est simple et financièrement intéressant : il consiste à effectuer des transferts d'argent
(électronique, chèque...) en gardant une commission (entre 5 et 10%) sur chaque tran-
saction réalisée.
En octobre 2009, l'Office Central de Lutte Contre la Criminalité liée aux Techno-
logies de l'Information et de Communication (OCLCTIC) (voir section 7.1.1) a
démantelé deux réseaux internationaux de fraudes bancaires opérant depuis la
Russie et l'Ukraine. Plus de 70 personnes ont ainsi été mises en examen. Les
pirates, par l'intermédiaire de techniques de phishing, vidaient les comptes
bancaires de leurs victimes et transféraient les fonds vers des "mules" qui ren-
voyaient ensuite l'argent par mandat Western Union vers la Russie et l'Ukraine.
Le fonctionnement d’un shop est le même qu’un site marchand ordinaire : chaque utili-
sateur possède son propre compte sécurisé par un nom d’utilisateur et un mot de passe
et gère ses achats selon ses besoins.
Une activité très lucrative - Ces sites « commerciaux », véritable vitrine du carding, se
sont multipliés sur la Toile, leur objectif étant de viser le plus large public possible. La
présentation des sites est simple, la recherche d’une carte facile : acheter un numéro ne
prend que quelques minutes.
Les administrateurs de ces sites ne sont, en général, que de simples revendeurs. Comme
tout commerçant, ils ont acheté auprès de cybercriminels des lots de cartes en gros et
les revendent au détail sur leur site à un prix supérieur.
Cette activité étant très lucrative, le nombre de ces sites a tout naturellement explosé. Il
suffit de comparer le prix d’achat en gros d’un numéro de carte à celui proposé dans un
shop pour comprendre.
Les prix de base pour une carte américaine varient de 0,50 $ à 1 $ lorsque la vente dé-
passe 1 000 numéros. Dans l’offre suivante, le prix à l’unité oscille lui entre 2 et 3 $.
Les produits
Il existe différents types de produits vendus sur les sites de black market. De la vente de
numéros de cartes de crédit aux malware, en passant par la vente de faux papiers ou de
comptes de jeux en ligne, tous les secteurs de l’économie sont touchés.
Carding
Les produits les plus courants sont issus du carding. Ce terme anglophone désigne
l’ensemble des techniques de vols de numéros de cartes bleues, en particulier par skim-
ming – technique consistant à placer un dispositif sur un distributeur automatique de
billets (DAB) pour voler toutes les informations saisies par l’utilisateur – et le phishing –
opération destinée à usurper l’identité d’une banque pour créer une fausse interface
d’identification bancaire en ligne.
Bien que l’on puisse trouver quelques cartes vendues sur des forums, la majorité des
espaces de vente sont des shops (voir la section précédente).
Le prix de vente de ces cartes varie fortement en fonction des informations vendues
avec le numéro proprement dit. Ainsi, peuvent-être vendus en plus : le nom et le pré-
nom du porteur de la carte, sa date de naissance, la date d’expiration ou encore le CVV.
Sur un panel de cinq sites, le prix minimum constaté était de 2,5 $ pour un prix maxi-
mum de 15 $ et un prix moyen de 13,21 $.
Au delà des cartes sont également vendus des identifiants de banque en ligne, dont le
prix dépend du solde du compte concerné. Les prix se situent en général entre 150 € et
400 €.
On retrouve ainsi sur les black markets des ransomware, des kits de phishing ou encore
des chevaux de Troie.
Comptes de jeux
Sont également vendus sur les sites de black market des comptes de jeux en ligne. Le
prix de ces derniers varie naturellement, comme pour les comptes bancaires, en fonction
du solde du compte. Les prix moyens de ces produits oscillent entre 30 $ et 100 $.
Le Spam
Souvent hébergés sur des serveurs bulletproof, ces sites proposent des services d’envoi
de spam clés en mains. Cela permet au cybercriminel d’inonder de nombreuses boîtes
mail en vue d’inviter les destinataires à se connecter sur un site commercial vendant des
produits souvent prohibés.
Le prix payé par le client dépend naturellement de la qualité du service de spam auquel
il souscrit. Certains de ces services sont même capables de contourner les captchas1. 1 : Captchas – Systèmes de
contrôle visuel ou audio per-
mettant de différencier un
humain d’un programme
Les outils des cybercriminels automatique lors de la valida-
tion de formulaires sur internet.
ICQ - ICQ a fait partie des précurseurs en matière de messagerie instantanée. Le système
se distingue de ses concurrents (MSN ou Yahoo) par le fait que les utilisateurs
s’identifient entre eux par un numéro et non par un pseudo. Les numéros ICQ pouvant
Que ce soit dans les forums ou dans les shops, tous les cybercriminels indiquent leur
numéro ICQ. Figurant sur la page d’accueil du site, il permet de contacter
l’administrateur pour s’inscrire. Au sein des forums, il donne également la possibilité à
tout membre de contacter l’auteur d’une annonce intéressante. Enfin, au sein des shops,
il fait plutôt office de contact pour le service après-vente.
ICQ ne permet pas uniquement à ses membres de discuter : il est possible d'y trouver
des shops totalement automatisés. Cette annonce propose à la vente des numéros de
cartes bancaires. Pas besoin de site Internet, tout se passe par ICQ et ce n’est pas une
personne, mais un programme automatique qui répond.
Il suffit pour cela de suivre les commandes proposées par le robot et, comme pour un
répondeur automatique, de taper le chiffre correspondant à sa requête : taper 1 pour
acheter une carte, 2 pour remplacer une carte invalide, 3 pour créer son compte utilisa-
teur, 4 pour lire les informations inhérentes à ce service, 5 pour contacter le support, 0
pour sortir du programme…
Le service est en tout point identique à celui d’un shop car il est même possible de re-
chercher un numéro de carte par pays ou par banque. Cette multiplication des black
markets sur ICQ pourrait poser de graves problèmes aux autorités car ils sont beaucoup
moins repérables qu’un site Internet.
Jabber - Après ICQ, Jabber est devenu le deuxième outil indispensable aux cybercrimi-
nels. Bien que proposant aussi une messagerie instantanée, il ne peut être considéré
comme un concurrent direct d’ICQ car son emploi n’est pas le même.
Construit sur le protocole ouvert XMPP (Extensible Messaging and Presence Protocol),
Jabber permet de chiffrer ses conversations, de créer son propre serveur ou de naviguer
sur les milliers de serveurs Jabber disponibles à travers le monde.
Jabber a notamment fait parler de lui avec le cheval de Troie bancaire Zeus. L’une de ses
versions nommée « JabberZeus » permettait d’envoyer au cybercriminel en temps réel
via un serveur Jabber les informations recueillies dans les ordinateurs compromis.
Communiquer via des forums présente des risques : ces supports peuvent à tout mo-
ment être fermés par les autorités. Ils sont également régulièrement infiltrés par les ser-
vices de police. Les administrateurs de forums mettent donc en place des réseaux paral-
lèles sur Jabber pour organiser des conférences de façon permanente ou occasionnelle.
Le forum ci-dessous a par exemple créé son propre serveur sur Jabber et les membres
peuvent s’y rendre à tout moment.
Ces serveurs peuvent être privés ou ouverts à tous les membres d’un forum comme
l’illustrent ces deux exemples :
• Créé sur Jabber, le réseau ci-dessous n’est ouvert qu’aux modérateurs du forum
et aux vendeurs « vérifiés ». « La conférence a été créée. […] Le mot de passe
[…] n’est que pour les modérateurs et les vendeurs. Pour les autres, ce ne sera
qu’après vérification. »
Tous les shops sont équipés de « checker » qui leur permet de vérifier la validité d’une
carte. Les clients ne payant que pour des cartes utilisables, toutes les cartes déclarées
invalides par le checker seront automatiquement remboursées sur le compte du client.
Cette opération ne prend que quelques secondes sur le site et le client n’a pas la possibi-
lité de savoir de quel checker se sert l’administrateur.
Figure 22 : un checker
Les checkers peuvent être des programmes informatiques ou des sites Internet privés
ayant des options d’utilisation plus ou moins étendues.
Certains checkers proposent en option de savoir quel est le montant maximal autorisé
par la carte. Si le cybercriminel désire par exemple procéder à un achat de 2 000 euros
sur Internet, il pourra ainsi demander une pré-autorisation de paiement afin de savoir si
le montant peut être supporté ou non. Tout à fait légal à l’origine, ce système est utilisé
dans de nombreuses professions (bijoutiers, magasins de luxe, location de véhicules…).
Autre option : le checker permet de savoir si une carte est vérifiée par Visa Verified ou
par Mastercard Secure Code. Selon le site Internet visé, le cybercriminel pourra en effet
choisir d’utiliser une carte non reliée au système de vérification utilisé. A noter que les
cartes sont parfois directement vendues avec ces détails.
Le shop fut fermé à de nombreuses reprises et dut même faire face à une clien-
tèle protestant contre les non-remboursements de certaines cartes non valides.
Le 12 février 2011, une défaillance technique avec le checker amène au con-
traire ce dernier à rembourser automatiquement les clients, y compris ceux
ayant acheté des cartes valides.
L’une des caractéristiques de ces serveurs est de proposer des hébergements sans se
soucier de l’utilisation qui sera faite de l’espace loué. Certains hébergeurs affichent
même fièrement leurs convictions sur leur page d’accueil : « We will never shut down, no
matter how many complaints we receive ». Autrement dit : « nous ne serons jamais dé-
connectés, peu importe le nombre de plaintes que nous recevons ». Une garantie dont la
valeur est évidemment difficile à évaluer…
Pour assurer la haute disponibilité de leurs ressources, les pirates ont utilisé les failles du
protocole pour associer plusieurs adresses IP à une URL. Derrière une seule et même URL
se cachent ainsi de nombreux serveurs répartis dans le monde entier. C’est la technique
du fast flux. Il est donc très difficile d’identifier ces serveurs et dès lors de les faire fermer.
Cette technique est notamment utilisée pour les campagnes de phishing. En hébergeant
le site d’hameçonnage sur plusieurs serveurs accessibles via une même URL grâce au fast
flux, les fraudeurs accroissent fortement le temps de présence sur Internet du site mal-
veillant. Cette continuité de service augmente ainsi proportionnellement leurs revenus.
Ils en profitent d’ailleurs parfois pour héberger d’autres types de contenus illicites
comme des images pédopornographiques ou des codes malveillants.
Une autre utilisation classique des serveurs bulletproof est la mise en place de serveurs
de C&C (control and command1) pour contrôler les ordinateurs contaminés par un che- 1 : Serveur C&C - Serveur utilisé
val de Troie. Grâce à ces serveurs, le pirate peut réaliser toutes les actions qu’il désire sur par un pirate pour contrôler à
distance des ordinateurs qu’il
les machines « zombies » tout en restant anonyme. Il va en particulier pouvoir voler sans
aura infecté. Ces serveurs lui
crainte les identifiants bancaires et les comptes mails de ses victimes. permettent de renforcer son
anonymat.
Pour renforcer l’accessibilité et l’anonymisation des serveurs C&C, les pirates ont égale-
ment mis en place un maillage « upstream » qui camoufle au maximum les serveurs
malveillants et leur assure une très bonne connectivité Internet. Avec cette architecture,
les serveurs bulletproof ne sont en fait pas directement connectés aux fournisseurs
d’accès à Internet mais à une série de serveurs, dit « upstream providers », qui sont con-
nectés à Internet et interconnectés entre eux. Ces serveurs upstream sont tout à fait
légaux, si ce n’est qu’ils sont volontairement connectés aux serveurs bulletproof. Aucune
action malveillante n’est directement diligentée depuis ces serveurs. Avec ce maillage, si
l’un des serveurs « upstream providers » est déconnecté d’Internet, le serveur bulletproof
sera toujours relié à la Toile via un autre serveur et sera de fait toujours en mesure de
contrôler les serveurs C&C et les ordinateurs zombies. Cette technique rend encore plus
difficile la localisation des serveurs malveillants.
Les ordinateurs contrôlés depuis les serveurs C&C du serveur bulletproof forment un
botnet. Profitant alors de plusieurs milliers, voire de plusieurs dizaines de milliers
d’ordinateurs, les pirates peuvent lancer des attaques DDoS massives. Ces attaques con-
naissent aujourd’hui un large succès. Au-delà des attaques DDoS à but économique,
déjà bien connues, la force de frappe qu’apportent les serveurs bulletproof fait de cette
technique une réelle arme de guerre. Des pirates d’origine russe n’ont pas hésité à la
mettre en œuvre lors du conflit russo-géorgien de 2008.
Les serveurs bulletproof permettent donc d’industrialiser des techniques d’attaques déjà
anciennes mais toujours efficaces. La tendance du marché est d’ailleurs la vente de solu-
tions clefs en main. Des utilisateurs n’ayant pas de compétences particulières en infor-
matique peuvent ainsi, sans grandes difficultés, se lancer dans la cybercriminalité et en
tirer une source de revenus illégaux non négligeables, par exemple en louant un serveur
dédié pour 250 $/mois chez spamhost.com, un célèbre serveur bulletproof, afin
d’héberger un site de phishing et de lancer des campagnes de spam via le service xru-
mer. Les serveurs bulletproof contribuent donc clairement à l’émergence du CaaS ou
Crimeware As A Service.
• Les Tier-2 : AS de niveau national ou régional. Ils sont interconnectés entre eux
et sont connectés aux AS Tiers-1 et 3.
Les pirates ont déjà réussi à compromettre certains AS Tier-3 en prenant le contrôle des
serveurs qui en dépendent. Ces « AS malveillants », qui sont par définition connectés à
des AS sains et légaux, contribuent ainsi au bon fonctionnement d’Internet en partici-
pant au routage de l’ensemble des flux, qu’ils soient légitimes ou criminels.
Figure 29 : illustration d'un réseau avec des AS. Si seul l'ASXXX2 est malveillant, il fait transi-
ter de nombreux flux légitimes, en particulier tout ceux émis par, et à destination de l'ASXXX5
Pour détecter ces AS corrompus, les mieux armés sont les FAI qui les gèrent. Ceux-ci
peuvent par exemple surveiller les flux et détecter toute augmentation anormale du
trafic vers des plages d’IP qui appartiendraient à l’un d’eux.
Figure 30 : localisation des serveurs malveillants identifiés par Malware Domain List
durant le mois d’avril 2011
Une telle opération génèrerait donc des coûts très importants et risquerait de provoquer
un ralentissement du trafic Internet mondial avec d’inévitables pertes de paquets, faute
de table de routage à jour. De surcroît, les AS bulletproof hébergeant aussi bien des
contenus malveillants que légaux, la mesure aurait également pour conséquence de
rendre définitivement inaccessibles certains contenus licites.
Voici par exemple quelques unes des recommandations d’un administrateur de black
market à ses membres : « ne communiquer à personne l’adresse du site et ne pas parler
de son existence, indiquer à l’administrateur tout site Internet où un commentaire serait
fait sur son black market ainsi que le nom de l’auteur du message ».
À l’instar d’un panneau affichant en temps réel les cours de bourse, les annonces défilent
en continu sur certains forums afin d’identifier la ou les compétences manquantes à
l’opération. La rapidité, voire l’instantanéité, sont fondamentales.
Les facteurs motivant les choix des cybercriminels dans leurs « partenariats » sont mul-
tiples et complémentaires.
Le facteur de compétences
Même des actions simples requièrent de multiples compétences. Or un cybercriminel ne
peut pas maîtriser tous les savoir-faire : piratage informatique, hébergement de serveurs,
création de faux documents et de sites web, blanchiment d’argent, etc.
Les cybercriminels se spécialisent donc dans l’une ou l’autre de ces activités et préfèrent
partager leurs gains dans une opération réussie plutôt que de courir un risque d’échec
en tentant de maîtriser toute la chaîne.
Dans une affaire récemment jugée aux Etats-Unis, un cybercriminel nommé Gonzalez
faisait ainsi appel au dénommé Maksik pour vendre les numéros de cartes qu’il avait
piratées. Il avait également acquis un sniffer auprès de Stephen Watt (programmeur à
Le facteur temps
Le fait que chaque cybercriminel soit affecté à un rôle précis diminue fortement la durée
de réalisation de l’infraction.
Cette rapidité d’exécution est indispensable pour ne pas laisser le temps aux sociétés ou
particuliers visés de prendre conscience qu’ils ont été victimes d’une attaque informa-
tique. Elle permet de plus de déplacer des liquidités en un temps minimal, ce qui réduit
le risque de voir les autorités bloquer ces circuits financiers illégaux.
Le facteur risque
La réponse pénale peut être très variable selon l’activité à laquelle s’adonne un cyber-
criminel, comme en témoignent les peines très hétérogènes prononcées aux États-Unis
à l’encontre de Gonzalez et de ses complices.
• Stephen Watt, le créateur du sniffer ayant permis à Gonzalez de pirater des mil-
lions de numéros de cartes de crédit, n’a été condamné qu’à deux ans de prison.
Cet ingénieur informatique travaillait pourtant pour la banque d’investissement
Morgan Stanley, ce qui aurait pu être considéré comme une circonstance ag-
gravante. Il ne pouvait en outre ignorer l’utilisation qui serait faite de son sniffer.
• Gonzalez a été condamné à 20 ans de prison. Le hacker était déjà bien connu
des autorités et cette lourde peine ne fait que traduire la tolérance zéro des
États-Unis envers le piratage de données bancaires.
Les risques encourus expliquent que certains cybercriminels se refusent à réaliser eux-
mêmes des opérations simples comme des retraits d’espèces avec des cartes bancaires
falsifiées. Le risque d’être identifié par les caméras de vidéosurveillance des distributeurs
automatiques est élevé. D’où le recours à des « mules » chargées de recevoir des vire-
ments bancaires ou des mandats Western Union. Ces dernières sont d’ailleurs souvent
présentées comme des victimes malgré les larges commissions qu’elles perçoivent.
Pour les transferts provenant de Western Union ou Money Gram, les mules employées
perçoivent une commission de 8 à 10 % du montant total de la transaction. Pour le re-
trait d’espèces à un distributeur automatique, la commission est, elle, comprise entre 50
et 75 %.
Ces pourcentages peuvent cependant être très variables selon la fréquence des transac-
tions entre les deux parties et le montant des opérations.
Le facteur géographique
Les cybercriminels ne sont limités par aucune frontière et peuvent viser le pays de leur
choix. La distance géographique ne constitue pas un frein mais un avantage car elle
permet de se protéger d’éventuelles poursuites, la coopération internationale étant
encore restreinte en matière de lutte anti-cybercriminalité.
Il est cependant souvent nécessaire de faire appel à un complice dans le pays visé pour
certaines actions impliquant une présence physique (réception de marchandises, retrait
en liquide de virements bancaires,etc.). Dans chaque forum, des rubriques sont ainsi
consacrées aux « offres et recherches d’emplois ».
Les forums Internet jouent donc clairement un rôle de facilitateur dans ces « associations
internationales de malfaiteurs ». Gonzalez a ainsi lié connaissance avec tous ses com-
plices dans les forums, à l’exception de Stephen Watt qu’il connaissait dans le « monde
réel ».
Avantage clé : dans le shop, les numéros de cartes mis en vente ne seront que ceux né-
gociés entre les administrateurs et les vendeurs déjà connus du forum. Le risque de
« ripping » est nul et il n’est pas nécessaire de partir à la recherche de vendeurs de cartes
à bas prix. Le forum compte plus de 3 800 membres qui sont autant de clients potentiels
pour le nouveau shop. Un tel développement témoigne d’un véritable savoir-faire mar-
keting.
Il est aussi possible de s’adresser directement à l’administrateur pour acheter des quanti-
tés importantes de numéros sans passer par le site. L’appât du gain a même amené les
dirigeants à se « franchiser » en proposant à la vente le script de leur site pour des per-
sonnes désirant ouvrir leur propre shop.
Cette organisation artisanale ne signifie pas pour autant moins de bénéfices. Ce dernier
shop est très populaire et les utilisateurs lui ont donné bonne réputation.
Certains anciens de Shadowcrew ne sont pas aussi "chanceux" que Smooch. Un britan-
nique de 33 ans d’origine sri lankaise s’est vu condamné à 56 mois de prison en mars
2010 pour avoir animé un forum privé usité par plus de 2 500 cybercriminels. Pizzaiolo le
jour et administrateur la nuit, Renukanth Subramaniam alias JiLsi, s’est fait repérer dans
le cybercafé où il opérait pour mettre à jour son site. Trois ans d’enquête auront été né-
cessaires au FBI pour le localiser. Cette conclusion de l’un des enquêteurs est révélatrice :
« c’était l’un des dix meilleurs sites dans le monde mais il y en a plus d’une centaine que
nous connaissons et une autre centaine que nous n’avons pas encore découvert. »
Ils ne font en fait que profiter des failles inhérentes au commerce électronique : toutes
les transactions s’effectuent entre des personnes qui ne se connaissent pas dans le
« monde réel ».
Les rippers sont présents à tous les stades de la cybercriminalité. Mais une solution a été
mise en œuvre1 pour sécuriser les transactions : le recours aux « escrow services ». Un 1 : Les membres d’un forum ont
« escrow » peut être défini comme un tiers de confiance qui va permettre de finaliser une généralement différents sta-
tuts, ce qui permet théori-
transaction entre deux personnes n’ayant jamais traité ensemble auparavant.
quement de reconnaître les
personnes « dignes de con-
Exemple : un hacker propose de vendre des numéros de cartes de crédits à un individu. fiance ». La majorité des
Le hacker ne veut pas envoyer les numéros de cartes le premier car il a peur de ne pas membres des forums possé-
être payé. Quant au client, il ne veut pas payer d’abord car il redoute que le hacker ne lui dant le statut d’invités, cela ne
permet cependant pas de
envoie pas les numéros de cartes attendus. Afin d’éviter des discussions sans fin et mi-
résoudre le problème des
nimiser les risques de part et d’autre, l’escrow va prendre part aux termes de l’échange : rippers.
le hacker va lui envoyer les numéros de cartes, le client l’argent. L’escrow s’assure alors
que les conditions de la transaction sont respectées. Une fois les vérifications terminées,
il procède aux échanges. Dans la majorité des forums, des services d’escrow sont re-
commandés directement par les administrateurs.
L’affaire Gonzalez servira de fil conducteur à ces développements. Elle démontre en effet
parfaitement le rôle spécifique de chacun des intervenants : hacking, vente de données
illicites et blanchiment d’argent.
En 2007, Maksim Yastremskiy, plus connu sous le pseudonyme de Maksik, est arrêté en
Turquie. Cet Ukrainien se fournissait régulièrement en numéros de cartes bancaires au-
près d’un hacker américain, Gonzalez, qui à l’aide d’injections SQL et de sniffers a pu en
obtenir des quantités très importantes. Maksik revendait ensuite ces données en gros ou
au détail sur son site. Maksik et Gonzalez opéraient selon une clé de répartition 50/50 :
environ chaque semaine, suivant la progression des ventes, la moitié des bénéfices était
envoyée à Gonzalez.
En quatre ans, Maksik a pu générer un revenu de onze millions de dollars à lui seul, ré-
parti de la manière suivante :
Cet enregistrement des conversations ICQ récupéré par les autorités améri-
caines démontre que Gonzalez s’informait régulièrement auprès de son reven-
deur Maksik de l’état de leurs finances :
En un mois, 30 180 numéros de cartes ont été vendus pour un chiffre d’affaires total de
193 752 $, soit 1 006 numéros achetés quotidiennement. L’existence de ce site remon-
tant au minimum au 15 novembre 2009, il est possible d’évaluer les profits déjà réalisés
par le ou les propriétaires. Sur une durée de quatre ans, le site aurait donc pu générer
9 300 096 dollars, soit un revenu proche de celui de Maksik.
Certaines activités cybercriminelles sont beaucoup moins connues. Leur rôle est pour-
tant clé dans la chaîne cybercriminelle. Il s’agit par exemple de la fabrication de scans de
faux documents officiels, de la recherche de dates de naissance, de numéros de sécurité
sociale, de la réception de SMS ou d’appels téléphoniques, du piratage de boîtes mails,
etc. Certains sites Internet sont exclusivement dédiés à ces services. Leurs prix sont gé-
néralement assez élevés, comparativement à d’autres activités courantes des black mar-
kets.
Pour des scans de documents officiels, les prix varient par exemple de 25 à 100$, les plus
demandés étant ceux de cartes bancaires, de passeports, de factures attestant le domi-
cile et de relevés bancaires pour une moyenne de 30 $ chacun. Le site enregistre les
informations désirées par le pirate (nom, prénom, adresse, etc.) et les administrateurs
piochent ensuite dans leur base de données des exemplaires de ces documents prove-
nant de nombreux pays.
Quels sont les revenus générés par ces activités ? Sont-ils plus élevés que ceux prove-
nant de la vente de données bancaires ? La difficulté de l’exercice réside dans le fait
qu’une part importante de ces transactions se fait généralement par ICQ, Jabber ou
courrier électronique et qu’aucune trace de cette activité n’apparaît ainsi sur le site web
proprement dit.
La monnaie virtuelle a su répondre à ces deux contraintes. À l’instar d’une zone ou d’une
communauté économique, les cybercriminels du monde entier se sont accordés sur
l’utilisation d’une, voire de deux monnaies exclusives afin de faciliter leurs échanges.
Définition
Qu’est-
Qu’est - ce que la monnaie virtuelle ? - La monnaie virtuelle utilisée dans les marchés
noirs de la cybercriminalité – à ne pas confondre avec la monnaie virtuelle servant dans
les jeux multi-joueurs en ligne sur Internet ou des simulations comme Second Life (qui
utilise le Linden Dollar) – est une solution qui permet, grâce au porte-monnaie virtuel qui
s’y rattache, de réaliser des achats en ligne sans communiquer ses coordonnées ban-
caires.
Le succès de la monnaie virtuelle sur les black markets - Initialement prévue pour
simplifier les transactions - légales - sur Internet (pour les internautes ne disposant pas
de carte bancaire ou ne voulant pas l’utiliser), son utilisation présente des avantages
non-négligeables pour le cybercriminel : simplicité, anonymat et opacité, fiabilité et
sécurité.
La monnaie virtuelle la plus rencontrée actuellement dans les Black Markets est Liberty
Reserve. Son importance est telle que lorsque le site de la société ne fonctionne plus,
c’est toute l’économie cybercriminelle qui s’en retrouve perturbée.
« Je ne suis pas inquiet du tout de ne pas retrouver mon compte (Liberty Reserve)
comme je l’ai laissé mais perdre du temps dans notre profession c’est perdre de l’argent.
Le choix d’une monnaie est motivé par des critères précis : anonymat, instantanéité des
transactions, possibilité de stocker ou de faire circuler de fortes sommes d’argent sans
restriction et sans plafonnement, absence de mesures de prévention contre le finance-
ment d’activités criminelles ou le blanchiment de capitaux.
E- Gold - Très active entre 1996 et 2006, E-gold aurait pu rester la monnaie de référence
des cybercriminels si des ennuis avec la justice américaine n’avaient fortement perturbé
son activité et fait fuir tous ses utilisateurs. Dès que les difficultés d’E-gold ont commen-
cé, deux monnaies ont dès lors régulé le marché : Webmoney et Liberty Reserve.
Les deux propriétaires de la société opèrent en outre sous de faux noms. Le propriétaire
officiel, Amed Mekovar, se nommerait en réalité Ahmed Yassin, citoyen marocain pour-
suivi dans son pays pour des délits relatifs au scam. Le véritable propriétaire serait en fait
Ragnar Danneskojold, de son vrai nom Vladimir Kats. Ce dernier est bien connu dans le
monde des monnaies virtuelles et de la justice américaine car il a été arrêté en 2006 pour
blanchiment d’argent et exercice de la profession d’intermédiaire financier sans licence.
Alors qu’il était à la tête de Goldage, site Internet d’échange de monnaies virtuelles, il
aurait transféré globalement au moins trente millions de dollars sans effectuer aucune
vérification d’identité1. 1 : Source : http://bit.ly/iQCgX4
Sauf difficultés imprévues, Liberty Reserve va très certainement s’imposer comme mon-
naie de référence pour les cybercriminels pour une longue période. Ses dirigeants ont en
effet pour stratégie de refuser d’imposer une quelconque contrainte à leurs clients, que
ce soit en termes de vérification d’identité ou d’informations sur l’origine des fonds.
Liberty Reserve a d’ailleurs toutes les faveurs de son pays d’accueil qui bénéficie en re-
tour de ses largesses. En témoignent un don de plus de 80 000 dollars versé à l’Etat en
2009 pour aider à la reconstruction du pays après un tremblement de terre, le sponso-
ring d’une équipe locale pour un marathon et le soutien apporté aux orphelins et en-
fants défavorisés en 2010. Un parallèle peut être effectué avec les mafias classiques qui
se préoccupent souvent des problématiques sanitaires et sociales afin d’avoir une meil-
leure implantation.
Grâce à Liberty Reserve, les cybercriminels peuvent effectuer des transferts d’argent
instantanés et anonymes. Chaque utilisateur n’est identifié que par un numéro (se pré-
sentant sous la forme U1234567). Indiquer le numéro du bénéficiaire est l’unique forma-
lité exigée par Liberty Reserve lors d’un transfert et il est impossible pour les deux par-
ties, comme pour les tiers, d’obtenir des renseignements complémentaires sur le titu-
laire d’un compte.
Cette monnaie peut être utilisée soit dans le cadre de paiements automatisés (dans les
shops), soit dans le cadre de paiements manuels (dans les forums).
Paiements automatisés
Sur le site de Liberty Reserve (cf. copie d’écran ci-dessous), une application gratuite per-
met de doter son site web d’un système de paiement automatique.
Les achats de données frauduleuses ainsi que leur remboursement lorsque celles-ci sont
défectueuses se font automatiquement. Il n’est en aucun cas nécessaire de faire appel à
l’administrateur du shop.
Webmoney propose d’ailleurs exactement la même application pour son service mais la
société a fini par bloquer les comptes reliés directement à des shops. Il est en effet très
aisé pour ces sociétés de contrôler le caractère frauduleux ou non des sites sur lesquels
leur application est installée.
Paiements manuels
Lorsque des cybercriminels se rencontrent dans des forums, ils prennent par la suite
contact sans intermédiaire par ICQ ou Jabber. Si une transaction doit se concrétiser, le
cybercriminel qui désire vendre une donnée ou fournir un service indiquera à l’acheteur
son numéro de compte Liberty Reserve et ce dernier pourra, en se connectant de son
propre compte, lui transférer l’argent manuellement.
Ces transactions sont plus ponctuelles et concernent des opérations précises. En cas
d’association de cybercriminels pour une fraude précise, chaque intervenant sera par
exemple rémunéré sur son compte Liberty Reserve s’il le souhaite.
Analyse du processus
La création de compte
Opacité - Créer un compte sur Liberty Reserve est rapide, simple et n’exige aucune véri-
fication d’identité. L’anonymat et l’opacité sont de rigueur. Liberty Reserve est très prisé
des cybercriminels parce que ces critères se retrouvent à toutes les étapes d’utilisation
du service, de la création de compte à son approvisionnement, jusqu’à la réalisation d’un
achat en ligne.
Une fois le compte validé, l’utilisateur obtient un numéro de compte (par exemple :
U3346079) qui lui permettra d’effectuer des transactions avec d’autres individus dispo-
sant eux-mêmes d’un compte Liberty Reserve.
Sécurité - Liberty Reserve enregistre les adresses IP des terminaux accédant au compte.
Ainsi l’utilisateur peut surveiller l’historique de ses connexions et réagir à toute tentative
d’intrusion. Une option permet de bloquer automatiquement le compte lorsqu’une IP
inhabituelle est détectée. En cas de piratage, il est aussi possible de faire appel à un ser-
vice d’urgence qui va « geler » le compte et éviter à l’utilisateur de perdre ses gains par
un transfert frauduleux. En effet, tous les virements effectués par Liberty Reserve sont
instantanés, définitifs et non remboursables.
L’approvisionnement - Pour effectuer des achats, le compte Liberty Reserve devra être
approvisionné mais le site de Liberty Reserve ne permet pas d’alimenter son compte
directement. Pour ce faire, il faudra passer par un site Internet appelé « société
d’échange » qui alimentera le compte Liberty Reserve du client directement par un vi-
rement de son propre compte Liberty Reserve.
Le moyen le plus usité est de payer directement la société d’échange par un voucher ou
une carte prépayée. Il existe pour ce faire des services comme Ukash qui permettent,
après paiement sur un site d’échange, d’obtenir un virement équivalent sur le compte
Liberty Reserve.
D’autres options sont également disponibles mais intéressent moins les cybercriminels
en raison de leur lenteur.
Ukash est accessible dans plus de 15 000 points de vente situés principalement dans les
bureaux de tabac et les kiosques à journaux sur tout le territoire français. A l’échelle
mondiale, Ukash est disponible dans plus de 300 000 points de vente physiques et
couvre 29 pays.
L’achat d’un bon Ukash ne nécessite pas la présentation d’une pièce d’identité et
s’effectue en argent liquide. Les utilisateurs peuvent acheter des codes pour des valeurs
allant de 20, 50, 100 à 200 euros. Pour utiliser l’argent ainsi converti, il suffit de saisir le
code du reçu papier sur le site où l’on souhaite effectuer la transaction.
Exemple d’un site d’échange automatique : le client saisit le numéro du bon Ukash qu’il
a acheté (voucher code) ainsi que sa valeur (voucher value). Il indique ensuite son numé-
ro de compte Liberty Reserve et la société procède à un virement instantané.
Une fois le compte approvisionné, les transactions se réaliseront par échange de numé-
ro de compte Liberty Reserve entre acheteur et vendeur. Il n’y a aucune possibilité de
connaître l’identité de la personne possédant le compte Liberty Reserve. Seuls les numé-
ros de compte seront échangés.
Les sociétés de monnaies virtuelles n’offrent pas à leur clientèle des services permettant
de retirer directement les fonds contenus dans leur compte virtuel. Cette prestation est
prise en charge par des « sociétés d’échanges » qui se sont spécialisées dans cette activi-
té très lucrative.
Une société d’échange achète, vend ou convertit des monnaies virtuelles entre elles.
Pour acheter ou vendre une monnaie virtuelle, les procédés utilisés, tant par la clientèle
que par ces sociétés, sont les transferts bancaires, les dépôts ou retraits en liquide et les
envois par Western Union ou MoneyGram. En matière d’échanges, ces sociétés peuvent
proposer sur leur site plus d’une dizaine de monnaies virtuelles et ainsi échanger selon la
demande du client un montant de monnaie en Liberty Reserve contre le montant équi-
valent en PayPal par exemple. Sur chaque opération réalisée, la société prélève une
commission pouvant parfois dépasser les 15 %.
Dans cet extrait de conversation ICQ, les deux complices comparent les taux de
commissions de plusieurs sociétés :
Un marché florissant
Le marché des monnaies virtuelles s’est développé très rapidement sans que la règle-
mentation ne suive. Les internautes sont d’ailleurs de plus en plus nombreux à utiliser
ces monnaies sur le web pour des achats tout à fait légaux, certains estimant le procédé
plus sûr que la carte bancaire. C’est tout naturellement que ces nouveaux paiements
anonymes ont attiré les criminels. Certaines sociétés d’échange sont parfois poursuivies
par la justice pour blanchiment d’argent.
Dans la pratique, cette incrimination est cependant fragile, une société d’échange pou-
vant difficilement contrôler l’origine des fonds qui lui sont transférés. Entre 2002 et 2005,
la société d’échange Western Express International créée à New York avait par exemple
séduit une clientèle d’origine russe qui s’est révélée être composée pour sa majeure
partie de cybercriminels. En quatre ans, 35 millions de dollars ont ainsi circulé à travers
les comptes de la société. Provenant de multiples fraudes, cet argent était renvoyé par la
société en Russie par E-gold ou Webmoney. Les dirigeants de Western Express ont refusé
d’être considérés comme les responsables de ces fraudes, arguant du fait qu’ils ne con-
naissaient personnellement aucun des clients ayant eu recours à leur site1. 1 : Source : http://bit.ly/iXFSf7
Conclusion
La monnaie virtuelle joue donc un rôle central dans le fonctionnement des black mar-
kets. Elle est insaisissable, difficile à tracer et permet aux cybercriminels, en leur garantis-
sant l’anonymat, d’effectuer leurs transactions sans risque.
Mais les bénéfices des ventes sur les marchés noirs de la cybercriminalité ne restent pas
longtemps virtuels. Le vendeur devra, pour récupérer le résultat de ses ventes, faire ap-
pel à différents acteurs (mules, etc.). Ces derniers lui permettront, après plusieurs opéra-
Une grande partie de l’argent contenu dans les comptes de monnaies virtuelles des
cybercriminels sera perçue sous forme de mandats Western Union ou de virements ban-
caires. Cette phase devrait, en théorie, permettre aux autorités d’identifier les criminels
car ces opérations ne sont pas anonymes. Les opérations suspectes devraient aussi être
détectées car les institutions bancaires et les agences Western Union sont tenues à des
mesures de vigilance. Dans les faits, de nombreux manquements et un certain laxisme
empêchent tout contrôle.
Western Union
Western Union est une société financière basée aux Etats-Unis. Disposant d’environ
270 000 points de présence dans plus de 200 pays, elle permet l’envoi instantané
d’argent liquide à travers le monde.
Chaque agent doit normalement vérifier l’identité de ses clients et il existe des restric-
tions à l’envoi et à la réception (pour un envoi ou une réception, la limite en France est
d’environ 7 600 euros par jour et par personne).
Dans la pratique, ces règles ne sont pas toujours respectées car Western Union permet à
n’importe quel commerçant de devenir un agent agréé, les seules conditions imposées
par la société étant de disposer d’un ordinateur et d’une connexion Internet.
Avec une politique si permissive, certains agents Western Union ne respecteraient donc
pas toutes les règles et deviendraient donc complices volontaires ou involontaires des
cybercriminels.
Dans ce shop, il est par exemple possible d’acheter des numéros de cartes bancaires par
Liberty Reserve ou Western Union. Il suffit d’indiquer sur la page ci-dessous le montant
que l’on désire envoyer par Western Union.
Le site redirige alors automatiquement le visiteur vers les coordonnées d’un bénéficiaire
au Vietnam.
Depuis de nombreux mois, cette personne est l’unique destinataire de tous les envois
par Western Union des clients du shop. Les transferts sont tous encaissés en moins d’une
heure, ce qui laisse supposer la complicité directe d’un agent sur place.
Les vérifications d’identités, en théorie obligatoires, ne sont pas non plus respectées.
Dans le forum ci-dessous, un Ukrainien propose ainsi d’encaisser des mandats Western
À noter qu’il n’est pas indispensable de bénéficier de la complicité directe d’un agent
Western Union. Un cybercriminel indique par exemple sur le forum ci-dessous avoir été
interdit dans une agence car il avait dépassé la limite légale autorisée pour des trans-
ferts. Il lui a suffit de se rendre dans une autre agence et de continuer ses transferts mais
avec un faux passeport. Les agences Western Union n’étant pas astreintes aux mêmes
règles, il suffirait donc de se rendre dans les plus permissives.
Sur les onze millions de bénéfices de Maksik, plus de 4 800 000 dollars étaient issus de
mandats Western Union…
Le pays le plus recherché par les cybercriminels, tant pour effectuer des attaques infor-
matiques que pour faire transiter des flux financiers illicites, n’apparaît cependant sur
aucune liste noire de l’OCDE. Aussi étonnant que cela puisse paraître, il s’agit des États-
Unis car sur les 50 États qui les composent, une dizaine bénéficie de législations très
permissives, les plus libéraux étant le Delaware, la Californie, la Floride et l’État de New
York. Le rôle de ces Etats a régulièrement été dénoncé, notamment par un office du
Ministère américain du Trésor (FinCEN) en raison de leurs législations sur la création de
sociétés à responsabilité limitée. Il est en effet possible à n’importe quelle personne,
résidant hors ou aux États-Unis, de créer sa propre société en 24h sur Internet.
Dans l’exemple ci-dessous, il est possible de créer une société en ligne en quelques clics.
Il suffit de choisir un État américain et de remplir un formulaire. La création d’une société
au Delaware coûte ainsi 129,25 $.
Ces sociétés écrans sont légalement enregistrées par un agent sur place qui n’est as-
treint à aucune responsabilité, que ce soit en termes de surveillance d’éventuelles activi-
tés illicites ou de signalement aux autorités en cas de soupçons. Quatorze États, du fait
de leurs législations, permettent à ces sociétés fictives de garder secret le nom de leurs
membres ou propriétaires.
Une fois la société enregistrée, l’agent ouvre un compte bancaire aux Etats-Unis pour
son client. Ce compte bancaire ne sert généralement que de relais : beaucoup des vire-
ments effectués transitent par la suite vers des succursales de banques internationales à
New York puis sont rapatriés vers l’étranger (la Russie et la Lettonie sont les principaux
pays bénéficiaires).
Une fois arrivé à destination finale, l’argent est totalement blanchi : la société écran per-
met de faire passer ces numéraires pour des revenus issus d’une activité économique
réelle et la succession de virements bancaires internationaux ne permet pas de remonter
à la source.
Gonzalez, pour rapatrier ses fonds aux États-Unis, faisait appel à Humza Zaman. Cet
homme était chargé d’ouvrir plusieurs comptes en banques aux États-Unis sous des
identités fictives puis, une fois les ordres de virements effectués par Maksik de son
compte letton, Zaman allait retirer cet argent en liquide à des distributeurs automa-
tiques.
Tous les retraits effectués par Zaman n’ont pas pu être décelés. Il s’est rendu plusieurs
fois à San Francisco et New York pour y récupérer de l’argent liquide appartenant à Gon-
zalez (50 000 et 370 000 $) mais les autorités n’ont pas pu déterminer la traçabilité de ces
fonds.
• Le virement SEPA est une autre mesure permettant de faciliter les transferts
bancaires en Europe. Déjà opérationnel, ce virement peut être effectué en ligne
sur plusieurs sites Internet de banques françaises (LCL, Monabanq, Boursorama).
En 2012, chaque virement devra être traité en 24h. Or le SEPA regroupe plu-
sieurs États considérés comme des paradis fiscaux ou des centres financiers
offshores : le Luxembourg, Malte, la Suisse, Monaco et Chypre. Le fait qu’il soit
très aisé de créer une société ou d’ouvrir un compte bancaire sur Internet dans
ces pays européens risque de multiplier les fraudes concernant le secteur ban-
caire mais aussi de faciliter le blanchiment d’argent. À noter que le virement SE-
PA est déjà utilisé par les cybercriminels qui se tiennent très informés des nou-
velles règlementations.
Synthèse
La cybercriminalité est entretenue et facilitée par un ensemble d’outils. Au plan tech-
nique, les hébergeurs bulletproof fournissent les moyens logistiques. Au plan financier,
les systèmes de monnaie virtuelle et les sociétés d’échange font le lien entre économie
virtuelle et économie réelle.
Money Mule
Hackers
Carders
Hébergeurs
Approvisionnement bulletproof Cybercriminels
Infrastructure support
Économie virtuelle
L’OCRVP (Office Central de Répression des Violences aux Personnes) joue un rôle essen-
tiel dans la lutte contre la diffusion d’images pédopornographiques sur Internet.
La BEFTI (Brigade d’Enquête sur les Fraudes aux Technologies de l’Information), unité
dépendant de la Direction régionale de la police judiciaire de Paris, assure deux missions
principales : l’assistance technique des autres services d’enquête et la réalisation
d’enquêtes grâce à la présence de nombreux ICC. Si sa compétence se limite en théorie à
Paris et sa petite couronne, certaines affaires lui sont attribuées par défaut, lorsque la
compétence territoriale est incertaine.
Le STRJD possède pour sa part une division spécialisée dans la lutte contre la cybercri-
minalité, la DLC, et centralise les données qui lui sont transmises par les unités de gen-
darmerie nationale. Il est, depuis 1994, chargé de la police du réseau Internet et de la
lutte contre la cybercriminalité.
Les JIRS - Les magistrats se spécialisent eux aussi dans la lutte contre la cybercriminalité.
Certaines affaires (concernant les atteintes aux STAD, mais aussi quelques atteintes au
Code monétaire et financier) sont confiées à des Juridictions Interrégionales Spéciali-
sées, les JIRS. Leur activité est importante : dans leur premier bilan1, plus du tiers des 1 : AJP Dalloz, mai 2010, Pre-
affaires économiques et financières concernent des escroqueries complexes liées à la mier Bilan des JIRS.
falsification de cartes bancaires. Et 82% des affaires traitées disposent d’un élément
d’extranéité.
L'Observatoire
L'Observat oire de la sécurité des cartes de paiement a été créé par la loi n° 2001-1062
du 15 novembre 2001 relative à la sécurité quotidienne. Cet observatoire assure non
seulement une veille technologique mais est également chargé de mettre en œuvre des
mesures de renforcement de la sécurité des cartes bancaires et d’établir des statistiques
en matière de fraude2. 2 : Son rapport annuel est
disponible à l’adresse sui-
Le Club de la Sécurité de l'Information Français (CLUSIF) est une association indépen- vante : http://bit.ly/jFZV5W
Cadre juridique
Le Droit pénal - Le droit pénal français bénéficie d’un large panel de textes incriminant
les comportements des cybercriminels.
La loi Godfrain - Pour permettre au droit pénal d'appréhender les phénomènes de pira-
tage informatique, la France s'est dotée le 5 janvier 1988 de la loi relative à la fraude
informatique dite « loi Godfrain ». Cette loi, codifiée aux articles 323-1 et suivants du
nouveau code pénal, permet de sanctionner plusieurs comportements placés en amont
ou en aval de l'iter criminis de l'acte de piratage.
• Sont sanctionnés les actes préparatoires, à travers l'article 323-3-1 du Code pé-
nal, visant la détention d’un virus ou la fourniture de moyens permettant la
commission de l'une des infractions prévues par le dispositif Godfrain.
Nécessité de réciprocité d’incrimination - Mais pour que ces textes soient applicables,
il faut que la juridiction française soit clairement compétente. La cybercriminalité, en
raison de son caractère transfrontalier et mondial bouleverse le principe de la territoriali-
té de la loi pénale. Selon l’article 113-2 du code pénal, la loi française est applicable dès
lors que l’un des faits constitutifs de l’infraction a lieu sur le territoire français. Et la locali-
sation des serveurs à partir desquels sont diffusés les éléments susceptibles de consti-
tuer une infraction a un impact moindre sur la compétence juridictionnelle française. En
effet, dans un arrêt du 29 mars 2011, la chambre commerciale de la Cour de cassation a
pu affirmer que le juge français n’est compétent que lorsque le contenu du site concerné
est « orienté vers un public français ». Cette décision s’inscrit dans le droit fil de l’arrêt dit
« Hugo Boss »1 qui prévoit quatre critères permettant de retenir la compétence du juge 1 : Cass. comm. 11.01.2005,
français : le site doit être en langue française, accessible depuis la France, doit explicite- Bulletin 2005 IV N° 8 p. 8
ment viser les internautes français et doit proposer la livraison de ses produits sur le
territoire français. L’article 113-6 du code pénal prévoit une autre condition à
l’applicabilité de la loi française : que le crime ou délit commis à l’étranger soit puni à la
fois par la loi française et par la loi du pays où il a été commis.
Les « honeypots » - Dans le cadre de la lutte contre les cybercriminels, il est possible de
s’interroger sur la pertinence de l’utilisation de honeypots ou « pots de miel ». Ces ho-
neypots sont des leurres : ordinateurs, serveurs, ou programme laissés volontairement
vulnérables afin d’attirer et de piéger les hackers. Ce leurre permet d’observer le mode
opératoire du hacker et, par la même, de récupérer ses coordonnées. La légalité de
l’utilisation de ce procédé par l’enquêteur est toutefois discutable. En effet, en vertu du
principe de loyauté de la preuve pénale, le policier ne peut provoquer la commission
d’une infraction. Tout élément de preuve obtenu de cette façon sera irrecevable. Ce
principe a été rappelé par la Chambre criminelle de Cour de cassation dans un arrêt du 4
juin 2008 (Bulletin criminel 2008, n°141). En l’espèce, un ressortissant français avait été
identifié suite à sa connexion à un site contenant des images pédopornographiques. Or
ce site avait été monté de toutes pièces par l’unité de criminalité informatique de la
police de New York dans le but d’attirer les pédophiles. Dans cette affaire, la Cour a dé-
claré irrégulières et donc irrecevables ces preuves, considérant qu’elles avaient été ob-
tenues par provocation policière. Ce raisonnement peut trouver à s’appliquer dans le cas
du honeypot.
Il faut rappeler que seul l’officier de police judiciaire est soumis au principe de légalité de
la preuve. La partie privée bénéficie quant à elle d’une jurisprudence clémente. Dans un
récent arrêt du 27 janvier 2010 (pourvoi n°09-83.395), la Cour de cassation a rappelé
qu’ « aucune disposition légale ne permet aux juges répressifs d’écarter des moyens de
preuve remis par un particulier aux services d’enquête, au seul motif qu’ils auraient été
obtenus de façon illicite ou déloyale ».
C’est l’article 56 al. 5 du code de procédure pénale qui permet la perquisition de don-
nées informatiques. L’enquêteur procédera « à la saisie des données informatiques né-
cessaires à la manifestation de la vérité en plaçant sous main de la justice soit le support
physique de ces données, soit une copie réalisée en présence des personnes qui assis-
tent à la perquisition ». Ainsi, la saisie informatique pourra être complétée par la saisie du
support physique des données (disque dur, etc.).
Si les données accessibles en ligne sont stockées en France, aucun problème ne se pose-
ra. La perquisition s’effectuera selon la procédure ordinaire définie à l’article 56 al. 2 du
code de procédure pénale. Si les données sont localisées à l’étranger, l’article 57-1 du
code indique qu’ « elles sont recueillies par l’officier de police judiciaire, sous réserve des
conditions d’accès prévues par les engagements internationaux en vigueur ». Ainsi, l’une
des solutions est l’ouverture d’une information judiciaire afin d’obtenir une commission
rogatoire internationale. La coopération internationale est donc au cœur de l’enquête en
matière cybercriminelle.
Au plan international
Interpol
Interpol a pour mission première d’assurer la réception, conservation et transmission
des informations sur la cybercriminalité à tous ses pays membres. Le canal principal de
communication est I-24/7, système mondial de communication policière assurant son
service 24 heures sur 24 et sept jours sur sept. Assurant la fluidité de la circulation de
l’information, Interpol améliore la coopération internationale.
Eurojust,
Eurojust l’unité de coopération judiciaire de l’Union Européenne, coordonne les actions
des autorités judiciaires chargées d’investigations concernant au moins trois pays et
renforce ainsi leur coopération.
• Les canaux de coopération - la demande de gel des données pourra être effec-
tuée par commission rogatoire internationale ou par demande d’entraide. Elle
pourra aussi être réalisée à travers le canal d’information Interpol. En France,
c’est l’Office Central de Lutte contre la Criminalité liée aux Technologies de
l’Information et de la Communication (OCLCTIC) qui est le point de contact In-
Cette mesure qui exige la conservation et la communication des données est sans con-
teste la plus importante de la Convention. Mais elle est aussi celle qui suscite le plus de
réticence de la part des États. La Russie a notamment considéré qu’elle constituait une
atteinte à la souveraineté nationale1. 1 : Pedro Verdelho, “The Effec-
tiveness of International Co-
operation against Cybercrime:
Un texte à portée limitée.
Examples of Good Practice,”
Très peu de signataires - Malgré ses objectifs louables, la Convention sur la cybercrimi- Discussion Paper (Draft), Project
nalité de Budapest a une portée limitée et les moyens de coopération policière et judi- on Cybercrime, Council of
ciaire sont encore insuffisants. Au 17 mars 2011, seuls 29 pays l’ont ratifiée. Parmi ceux Europe, March 12, 2008,
http://bit.ly/jL0kG6
qui l’ont signée, mais pas ratifiée, figurent notamment la Chine, le Royaume-Uni, la Bel-
gique, la Suède ou encore la Géorgie. La Russie estime quant à elle que ce traité est une
menace pour sa souveraineté nationale. Or, la Chine et la Russie sont des acteurs essen-
tiels dans le domaine de la cybercriminalité. Au deuxième trimestre 2009, 9,3% des bot-
nets venaient de Chine, et 5,6% de Russie.
Le manque de volonté des États - Il est aussi possible de constater un manque de vo-
lonté de la part de certains Etats. Une large partie des affaires traitées par les services de
police et de gendarmerie renvoient en effet vers l'étranger, souvent vers des pays qui
n'ont ni les moyens ni la volonté de coopérer efficacement. La coopération s’avère ainsi
particulièrement difficile avec des pays tels que les États-Unis, la Russie ou l’Ukraine qui
se montrent parfois réticents à communiquer des données stockées chez leurs fournis-
seurs d’accès à Internet. Le peu d’intérêt manifesté par certains États pour la lutte contre
la cybercriminalité s’explique à la fois par la difficulté des enquêtes et le fait qu’elles
concernent parfois des préjudices de faible montant à l’échelle d’une seule victime.
Le développement des cyberparadis - Il faut enfin noter que certains pays trouvent un
intérêt particulier à la cybercriminalité. Par exemple, le scam « 419 » (se référant au nu-
méro de l’article sanctionnant cet acte) représente aujourd’hui l’une des sources les plus
importantes de revenus étrangers pour le Nigéria. Certains États deviennent ainsi de
véritables « cyberparadis ». Les Pays-Bas refusent par exemple d’établir un lien entre une
personne et une adresse IP. En Russie, où la cybercriminalité est en plein essor, les cyber-
criminels bénéficient même d’une certaine tolérance tant qu'ils ne s'attaquent pas à des
intérêts nationaux. C’est cette impunité de fait qui a favorisé l’émergence d'un véritable
marché noir de logiciels malveillants.
Début 2010, la Russie a durci les conditions d’attribution des adresses en .ru. Les an-
ciennes conditions d’attribution des noms de domaine en .ru, trop laxistes, en avaient
fait l’extension la plus prisée par les spammeurs, à l’origine du phishing recueillant les
données personnelles telles que des identifiants ou numéros de cartes bancaires à re-
vendre sur les black markets. Peu de temps avant, la Chine avait elle aussi restreint
l’attribution de ses noms de domaines afin de lutter contre la contrefaçon.
Un Schengen du numérique ?
Une solution consisterait à permettre, à l’échelle européenne, un système similaire au
droit de poursuite et au droit d’observation prévu par la Convention de Schengen1. Le 1 : Les Accords de Schengen
droit d’observation (article 40) permet sous certaines conditions de poursuivre une fila- (l'Accord signé le 14 juin 1985,
ses protocoles ainsi que les
ture sur le territoire d’un autre État membre sur la base d’une entraide judiciaire. Le droit
accords d'adhésion des Etats)
de poursuite (article 41) permet sous certaines conditions « de continuer la poursuite ont donné lieu à l'adoption
sans autorisation préalable » sur le territoire d’un État voisin. Étendre ces possibilités à la d'une Convention d'ap-
lutte contre la cybercriminalité reviendrait à permettre à l’officier de police judiciaire de plication (Convention Schen-
gen du 19 juin 1990) puis à
réaliser, sans autorisation préalable, des actes d’enquête sur des serveurs et espaces de
différentes mesures de mise en
stockage situés dans l’un des pays ayant intégré les acquis Schengen. On parlerait alors œuvre. L'ensemble de ces
de « Schengen du numérique ». textes constitue l'Acquis de
Schengen.
Une telle solution présenterait cependant les mêmes lacunes que le système actuel. En
effet, comment savoir si les données sont dans ou hors de l’espace Schengen ? De plus, il
y a toujours restriction de la marge de manœuvre de l’officier de police judiciaire. Ce
dernier est toujours contraint de s’adapter aux frontières de l’espace Schengen, alors
En février dernier, a été évoquée, au cours d’une réunion du LEWP (Law Enforcement
Working Party, groupe de travail au sein du Conseil Justice et affaires intérieures de
l'Union européenne), la création d'une « frontière virtuelle Schengen » . Dans ce projet,
les FAI joueraient le rôle de « douaniers » en bloquant tout contenu jugé illicite prove-
nant de l’extérieur. Ce projet n’a cependant pas été accueilli favorablement par la cri-
tique qui l’a rapidement comparé aux procédés employés par la Chine. Mais surtout,
c’est l’impossibilité de mise en œuvre du projet qui a été soulignée.
Les Nations Unies jouent déjà un rôle essentiel dans l'amélioration de la coopération
internationale en matière de lutte contre la cybercriminalité. La Commission sur la pré-
vention du crime et la justice pénale a en effet tenu, en 2009, un débat portant sur la
fraude économique et la criminalité liée à l’identité. De plus, le Congrès des Nations
Unies d’avril 2010 au Brésil qui portait sur la prévention du crime et la justice pénale a
été l’occasion de discuter de la pertinence d’un nouveau texte international pour amé-
liorer cette lutte. Mais, comme l’a souligné le représentant de l’Espagne au cours de ce
Congrès, la rédaction d’une nouvelle Convention n’est pas nécessaire, l’utilisation des
outils existant déjà – la Convention de Budapest – dépendant surtout de la volonté poli-
tique des États.
Dans ces conditions, un modèle de sécurité active doit notamment se traduire par :
• Une meilleure gestion des événements sécurité. Les logs constituent des élé-
ments précieux, fréquemment sous-exploités. Triés, analysés, corrélés avec des
profils de risque, ils permettent souvent de détecter des signaux faibles.
• Une lutte renforcée contre les outils financiers et logistiques utilisés par les cy-
bercriminels. La chaîne cybercriminelle implique l’utilisation de systèmes de
monnaie virtuelle et de sociétés d’échange. Moins mobiles que les black mar-
kets eux-mêmes, ces opérateurs qui constituent le lien entre la criminalité tradi-
tionnelle et la cybercriminalité doivent être des cibles prioritaires pour les ac-
tions judiciaires ;
La lutte contre la cybercriminalité s’inscrit en effet dans le contexte plus large d’un
cybrespace devenu un terrain d’affrontement, où les relations entre acteurs doivent
aussi s’analyser en termes de rapports de force. Les causes de cette instabilité croissante
sont multiples :
• Alors que l’on était dans un espace essentiellement marchand géré par des
techniciens, le « politique » se réapproprie cet espace. Avec les aspects positifs
(rôle d’internet dans le développement de la démocratie, régulation d’un cer-
tain nombre de dysfonctionnements) et négatifs (censure et atteintes à la « neu-
tralité du net »).
Attaque DDoS (Distributed Denial of Service) - Attaque informatique ayant pour finalité
de rendre indisponible l’accès à un service en le saturant de requêtes.
Black Market - Plateforme marchande illégale sur laquelle s’échange biens, services et
renseignements destinés à la commission d’acte cybercriminel.
Checkers - Programme informatique qui permet de vérifier la validité d’une carte ban-
caire en effectuant une transaction en générale d’un faible montant.
Cheval de Troie - Un cheval de Troie (appelé également Troyen ou Trojan) est un pro-
gramme informatique, souvent d’apparence légitime, conçu pour exécuter subreptice-
ment des actions à distance à l’insu de l’utilisateur infecté.
CMS (Content Management System) - Un CMS est une famille de programme informa-
tique destinée à la conception et l’administration de plateforme Web ou d’application
multimédia.
CVV (Card Verification Value) - Il s’agit du cryptogramme visuel situé en général au dos
d’une carte de paiement qui a pour rôle de renforcer la sécurisation des transactions
bancaires.
Escrow - Tiers de confiance qui va permettre de finaliser une transaction entre deux
personnes n’ayant jamais traité ensemble auparavant.
Exploit kit - Un exploit kit est un pack de programme malicieux qui est principalement
utilisé pour mener à bien des attaques automatisées afin de propager des programmes
malveillants.
Iframe - Contraction de “Inline frame”, l’Iframe est une balise HTML qui permet d'afficher
au sein d'une page Web des informations stockées sur un serveur différent.
Iter criminis (Chemin du crime) - Processus, étapes franchies par la personne souhaitant
commettre une infraction.
MBR (Master Boot Record) - Egalement appelé “zone amorce”, le MBR est le premier
secteur adressable d’un disque dur. Il intègre une routine d’amorçage dont la finalité est
de charger le système d’exploitation.
Money Mule - La « Money Mule » est une personne qui transfère ou récupère de l’argent
ou des marchandises pour le compte d’autrui, dans le cadre d’escroquerie dont elle n’est
souvent pas conscience.
Rippers - Le ripper est un cybercriminel qui se fait passer pour un vendeur légitime sur
un site de Black Market ou qui crée de faux sites de Black Market, afin de récupérer le
montant de ces transactions illégales, sans offrir de réelles contreparties.
Spam - Selon la CNIL, le spam se caractérise par « l’envoi massif et souvent répété de
courriers électroniques à des personnes avec lesquelles l’expéditeur n’a jamais eu de
contact et dont il a récupéré les adresses électroniques de façon irrégulière ».
Injection SQL - Ukne injection SQL exploite une faille de sécurité d’une application web
en introduisant une requête SQL non prévue. Cette injection permet d’interagir avec la
base de données de l’application et ainsi de compromettre sa sécurité.
VPN (Virtual Private Network) - Interconnexion de réseaux locaux sécurisée via tunnel. Ce
dernier assure la sécurisation du réseau par des algorithmes de chiffrement.
Zombie (ordinateur) – Ordinateur préalablement infecté afin d’être sous le contrôle d’un
pirate informatique, un Botnet est composé de milliers d’ordinateurs zombies.
Cette équipe réalise des missions de veille, d’analyse et de conseil dans le domaine de la
sécurité des systèmes d'information et de la lutte contre la cybercriminalité. Elle anime
également le site Secu-Insight.fr, un portail d'informations dédié à la sécurité des sys-
tèmes d’information et aux cyber-risques.
L'offre cyber-
cyber- sécurité de CEIS
Guillaume TISSIER
Directeur du pôle Risques Opérationnels
01 45 55 60 29 - gtissier@ceis.eu
Nicolas CAPRONI
Consultant spécialisé en cybercriminalité et sécurité des systèmes d'information
01 45 55 58 67 - ncaproni@ceis.eu
Barbara Louis-Sidney
Consultante spécialisée en cybercriminalité et sécurité des systèmes d'information
01 45 55 58 72 - blouis@ceis.eu
● Stratégies et opérations ●
● Technologies de l’information ●
A paraitre