Tout comme le crime, les cybermenaces ont souvent une finalité financière. Désormais, ce type d’activité se mène autant dans le réel que dans le virtuel, dans des endroits souvent discrets, à l'abri des autorités policières. Nommée Dark Net ou plus largement Deep Web, cette partie cachée de l’Internet est source de rumeurs et d’incompréhensions. Les chercheurs ESET, qui connaissent bien ces univers parallèles, collaborent régulièrement avec les organisations internationales telles qu’Europol, en leur fournissant toute information ou recherche leur permettant de les faire avancer dans leurs enquêtes.
Quelle différence entre le Deep Web et le Dark Net
Le Deep Web forme un ensemble de pages Internet non indexées par les moteurs de recherche classiques. Les pages non répertoriées peuvent correspondre à des formats particuliers difficiles à intégrer aux fonctions des moteurs de recherche, ou à des sites volontairement cachés, mais qui ne sont pas forcément illégaux. Certaines pages sont protégées par des mots de passe, d'autres sont chiffrées.
Le Dark Net est la partie du Deep Web où se déroulent des activités illégales. C’est pour cette raison que les utilisateurs doivent naviguer discrètement afin d’éviter de se faire repérer. Pour cela, il est nécessaire d’utiliser Tor® et de s’équiper d’un navigateur spécifique (ex° : Tor Browser®).
Comment s’organise le Dark Net ?
Le Dark Net est le lieu où les offreurs rencontrent ceux qui veulent acheter des biens ou services illégaux, dont la monnaie principale est le Bitcoin. L’organisation du cybercrime est similaire à celle d’une entreprise traditionnelle, plusieurs métiers sont nécessaires et complémentaires : les développeurs conçoivent les logiciels malveillants, mais ils ne sont pas pour autant ceux qui vont les exploiter.
En France, au sein de l'underground, les forums, places de marché et autres autoshops (e-boutiques tenues par un seul vendeur) nécessitent pour y accéder une adhésion. Cette adhésion est conditionnée par un score de réputation. Comme dans un gang mafieux, il faut montrer patte blanche grâce à une expérience reconnue par le groupe du forum concerné.
Une fois admis, les membres intègrent un classement toujours en fonction de leurs exploits et de leur notoriété. Les plus haut classés accèdent à des responsabilités d'administrateur de la place de marché ou du forum.
Toutefois, cet univers violent possède ses lois et il n’est pas rare que des luttes et rivalités entre cyber-marchands éclatent. Pour s'autoréguler, les administrateurs du Dark Net tentent d'imposer des règles. Un mur de la honte a même été créé sur certains forums. En effet, les cybercriminels n'hésitent pas à se blacklister entre eux.
Si l'on zoome sur ces espaces particuliers dissimulés sur Internet, on rencontre des environnements propres à certains pays (Japon, Russie, France, Grande-Bretagne...). La langue, la monnaie et les produits proposés participent à cette organisation segmentée via des frontières virtuelles.
L’underground français : un CA de 5 à 12 millions d'euros chaque mois
L’underground français reste relativement modeste avec près de 450 000 cybercriminels toutes compétences confondues. Selon plusieurs experts, dont ceux d'Europol et de la gendarmerie nationale, l'ensemble de ces transactions génèrerait entre 5 et 12 millions d’euros chaque mois en France.
Voici quelques principes de fonctionnement communs à tous les univers underground (forums, places de marché, espaces transactionnels...) :
- les cybercriminels sont souvent membres de plusieurs places de marché
- les forums et marchés émergent et disparaissent rapidement par crainte des forces de l'ordre et des conflits entre gangs qui défendent leurs places de marché
- plus le score de réputation est élevé, plus le cybercriminel est considéré comme étant de confiance
- les transactions s'effectuent de plus en plus via des tiers qui prennent une commission allant de 5% à 7%, souvent en monnaie Bitcoin
- les cartes prépayées obtenues avec de faux numéros de mobiles sont très utilisées
Que trouve-t-on sur le Dark Net ?
Selon la police et la gendarmerie françaises, les offres underground sont très structurées au plan tarifaire. Ainsi, au rayon drogues, le cannabis et le hachisch se vendent entre 6€ et 15€ le gramme, selon la qualité et l’origine. Le Dark Net offre quantité de services et produits illégaux : des clés passe-partout, de faux diplômes, des numéros de carte de crédit, de la drogue ou des armes… Mais aussi des trafics d’organes, une notice pour réaliser un attentat, des fichiers pédopornographiques et, ce qui nous intéresse ici, toute sorte de malwares : des ransomwares prêts à l'emploi, des RAT (outil de prise de contrôle à distance), des services botnet, tout comme des RoT (qui devraient constituer l’une des principales menaces en 2017 selon ESET). Des modèles sont déjà proposés sur les places de marché underground.
Une collaboration avec les autorités pour traquer les cybercriminels
ESET collabore depuis de nombreuses années avec des organisations internationales comme Europol(lire l’article sur la collaboration d’ESET en 2015 qui a permis de perturber les activités des botnets Dorkbot).
Jean-Ian BOUTIN, expert et chercheur en logiciels malveillants chez ESET, met l'accent sur la récupération de données des serveurs botnet afin de « comprendre d’où viennent les ordres qu’ils reçoivent ». Cette approche se fait en collaboration avec des organisations telles que le FBI, Microsoft, Interpol... « L'idée est de savoir qui se cache derrière les botnets », ajoute Jean-Ian BOUTIN. En 2017, la collaborationentre les autorités et les éditeurs experts en sécurité informatique est essentielle dans la lutte contre la cybercriminalité.
Benoît GRUNEMWALD
Directeur des Opérations - ESET France
À propos d'ESET
[1]Ransomware of Things : possibilité pour les cybercriminels de détourner des objets connectés et de demander un paiement de rançon pour que l’utilisateur puisse à nouveau avoir le contrôle de son IoT