En juin dernier, le ministère de l’Intérieur publiait son rapport relatif à l'état de la menace liée au numérique en 2018. On apprenait notamment que les plaintes liées aux cybermenaces ont augmenté de 32 % entre 2016 et 2017. Les services de la place Beauvau s’y inquiétaient également de la démocratisation du « cybercrime as a service » (CaaS). Consommer un service, un logiciel à la demande serait donc un modèle économique prisé des criminels. Alors que tous les processus informatiques ou presque peuvent aujourd’hui être « as a service », comment les capacités XaaS sont-elles mises à profit sur les marchés illégaux ? Le Monde informatique vous invite à découvrir le côté obscur des services cloud.

C’est Salesforce qui, en 1999, lance la première solution SaaS. Mais le terme Software as a Service n’est employé pour la première fois qu’en 2001. Ce modèle économique à la demande existait bien avant et a simplement été adapté aux technologies du web. Celui-ci s’est démocratisé plus tard, au début des années 2010, et est devenu aujourd’hui le moyen privilégié de commercialiser n’importe quel service. « Nous sommes aujourd'hui dans un nouveau paradigme avec le cloud où je vais consommer uniquement les services dont j'ai besoin » développe Sébastien Gest, Tech evangelist chez Vade Secure. « Et cette consommation à la demande, les hackers se la sont appropriée. »

(Crédit : Vade Secure)

Et si le ministère de l’Intérieur considère la mise à disposition de plateformes de location de logiciels malveillants comme « une tendance émergeante en 2017 », ce modèle est apparu un peu après sa démocratisation sur le marché légitime. Europol utilise le terme « Crime as a Service » pour la première fois dans son rapport iOCTA de 2014. Elle y indique que « le réseau clandestin n’est pas seulement complexe et très dynamique, il est aussi complètement fragmenté. Chaque acteur, des groupes criminels les plus sophistiqués aux cybercriminels débutants, à ses propres compétences et champs d’expertise particuliers. C’est cette division du travail et l’adoption de fonctionnalités de niche qui stimule l’économie criminelle et qui a créé une explosion de l’industrie as a service. Les compétences peuvent être monétisées et créer un accès plus large - voire un accès de masse - à des capacités criminelles qui auraient auparavant nécessité un niveau technique très élevé. »

Des codes et hiérarchies propres à chaque communauté

Le CaaS prend souvent la forme de plateformes où les fournisseurs mettent à disposition logiciels malveillants et services pour des personnes souhaitant lancer une ou des attaques sans avoir les compétences techniques pour le faire. Mais n’accède pas à ces solutions qui veut. Le commerce sur le Darkweb repose sur des forums. Organisés selon les produits vendus ou une thématique, ces lieux de discussions respectent des codes et une hiérarchie qui leur est propre. Ceci afin de ne pas laisser entrer n’importe qui sur une discussion, puisque tout le monde est en théorie anonyme sur le Darkweb.

« Comme ces marchés sont anonymes, il ne viendrait à l’esprit de personne de faire confiance à quiconque sur ce genre de sites, les retours des utilisateurs et vendeurs sont donc très importants » indique Sean Sullivan, conseiller en sécurité chez F-Secure. « Contrairement à une marque traditionnelle, un fournisseur CaaS ne peut pas résoudre un avis négatif par une campagne marketing. La réputation est primordiale dans ce secteur. » Pour bénéficier de malwares à la demande, il faut ainsi se rendre sur des forums spécifiques et avant tout intégrer la communauté, ses us et coutumes, son langage, etc.

Une fois un forum particulier intégré et la confiance gagnée, il est donc possible d’accéder à ces fameux services. Et tout comme il existe des centaines de solutions XaaS traditionnelles, les offres CaaS sont également légions.

RaaS, les SaaS des pirates

Le Ransomware as a service (RaaS) est de loin la méthode la plus populaire utilisée par les cybercriminels. Ces logiciels de demande de rançon s’y démocratisent et cause de grosses pertes financières aux entreprises. En 2016, Vadesecure indiquait que les ransomwares avaient fait perdre près d’un milliard de dollars aux victimes américaines.

Selon des chiffres Itsocial, repris par Altospam, plus d'une entreprise française sur deux ont déjà subi une attaque par ransomware. (Crédit : Altospam)

Le modèle économique est celui le plus répandu pour ce genre de solution. L’utilisateur de la plateforme paie un abonnement aux éditeurs de celle-ci. Une fois sur les terminaux des victimes, le malware va bloquer l’accès à toutes les données présentes sur ces derniers et demander de payer une rançon pour restaurer les informations. Au moment du paiement, une partie est reversée au lanceur de l’attaque et une autre à l’éditeur du maliciel. Les rémunérations varient en fonction des solutions utilisées. Elles portent des noms tels que Cerber, Satan, Stampado ou Philadelphia.

« Philadelphia illustre les stratégies et les caractéristiques de marketing communes et c’est ce qui rend le RaaS si populaire », explique James Lyne, responsable de la recherche sur la sécurité mondiale chez Sophos. « En combinant les pratiques de l’industrie du logiciel légitime, en proposant de la documentation, des mises à jour régulières et des interfaces utilisateur conviviales, les services RaaS sont devenus beaucoup plus viables pour les criminels souhaitant exécuter des campagnes d’attaque plutôt qualitatives sans avoir de compétences techniques. »

Le DDoS as a service

Utilisé pour mettre hors service un site web ou un serveur, le déni de service est aussi une solution prisée des pirates, bien qu’en recul d’après le ministère de l’Intérieur. En mode hébergé, le prix d’un DDOS varie en fonction du temps pendant lequel le système sera bloqué.

Pirater des serveurs pour offrir de l’IaaS

La cybercriminalité a aussi ses propres offres d'infrastructures. Dans un monde traqué par les autorités, les cybercriminels ont besoin de capacités de sécurité, d’anonymat et de résilience parés à toute épreuve. « Les fournisseurs d'hébergement jouent un rôle essentiel dans l'économie souterraine, fournissant un stockage sécurisé pour les outils d'attaque, les contenus illicites et les données volées » explique Europol dans son rapport. Elles doivent être d’autant plus intraçables que ces infrastructures sont redondées et hébergées sur des serveurs piratés. « Votre entreprise peut très bien héberger sans le savoir une partie des infrastructures utilisées par des cybercriminels » prévient Sébastien Gest.

Pour le Tech evangelist de Vade Secure, les fournisseurs de plateformes RaaS ou d’hébergement travaillent en équipes. Elles peuvent être mafieuses mais « des entreprises de cybersécurité peuvent très bien être aussi développeuses de plateformes de CaaS » estime l’expert. Il fait notamment référence à la société Hacking Team, société fournissant des outils illégaux de piratage, qui s’était fait elle-même hacker en juillet 2015. Les documents qui avaient fuité ont révélé que l’entreprise avait parmi ses clients l'Egypte, l'Ethiopie, le Maroc, le Soudan, l'Azerbaïdjan, le Kazakhstan, la Malaisie, le Bahreïn, Oman, l'Arabie Saoudite, ou les Emirats Arabes Unis...

Sébastien Gest l’assure, nombre de gouvernements sont liés de près ou de loin à ces activités. « Je ne sais pas pour la France mais on sait très bien qu'au niveau de la Corée, de la Russie et même au niveau des Etats-Unis, chacun de ces Etats travaille avec des sociétés de sécurité qui, globalement – on dira ce qu'on voudra – font des choses pour leur compte. » L’espionnage économique peut faire partie de ces choses...

Le Phishing as a service (PhaaS), de faux sites, clé en main

L’hameçonnage est utilisé pour obtenir des renseignements personnels à des fins d’usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte nationale d'identité, date de naissance, etc. Le plus souvent, une copie exacte d'un site internet est réalisée pour mimer le site internet officiel de l’entreprise où la victime pense se connecter. Les identifiants de connexion sont alors transmis aux pirates qui peuvent ensuite accéder au compte personnel de la victime.

De multiples modèles de sites étaient proposés sur Hackshit tels que Linkedin, Facebook, etc. (Crédit : Netskope)

Le Darkweb voit fleurir les offres permettant d’automatiser ou, tout du moins, simplifier le processus de phishing. Hackshit, par exemple, est un service de spam qui propose cela. De multiples modèles de sites sont proposés tels Linkedin, Facebook, etc. Un panneau d’administration permet également de gérer ses pages actives ainsi que les mots de passe volés. S’il était accessible sur Internet il y a quelques semaines, il semblerait que ce site ait été bloqué, ainsi que sa chaine Youtube. Mais la plateforme proposait également des niveaux d’abonnement à son service – Starter, Basic, Premium, comme pour un service traditionnel – dont le montant varie en fonction des services utilisés et du nombre de logs volés.

Comme chez un fournisseur traditionnel, Hackshit proposait plusieurs niveaux d'abonnements en fonction du temps d'utilisation, du nombre de logs volés, etc. (Crédit : Netskope)

Le Doxing as a service (DoxaaS), pour tout savoir sur quelqu’un

Mais l’usurpation d’identité peu aller plus loin que « simplement » subtiliser une information bancaire, ou « juste » un numéro de téléphone. Certains veulent avoir accès aux plus de données possibles sur une personne pour lui nuire, créer de faux papiers qui soient crédibles, etc. Dans ces cas-là, les données bancaires ne suffisent pas, l’adresse physique, électronique, la date de naissance, les comptes sociaux et autres identifiants peuvent être nécessaires. Il faut donc fouiller plusieurs sources pour agglomérer tout cela. Ce travail est connu sous le nom de doxing. Des plateformes telles que Hash Dox - découverte sur le dark web – proposent des services permettant de recevoir clé en main les informations personnelles sur quelqu’un.

Mille et un autres services

Plus largement, le modèle XaaS est étendu à l’offre de services sur le Darkweb. Comme pour le DoxaaS, des pirates proposent de mettre à disposition leurs compétences pour réaliser des actes illégaux. Ici, on ne paie pas une solution mais une personne qui réalisera tout ou partie du sale travail contre rémunération.

Des offres de hacking as a service sont notamment proposées, où un ou des pirates seront rémunérés pour hacker une boîte mail, un compte social ou pour faire de l’espionnage industriel. Des services de traduction sont aussi proposés, note Europol. « Comme la plupart des campagnes de mailing frauduleux sont diffusées souvent dans plusieurs pays, les attaquants peuvent avoir besoin de traduire leurs messages dans la langue locale – qu'ils ne parlent pas forcément - et pour maximiser l’impact de leur mail auprès des victimes. » Des services de blanchiment d’argent sont aussi à disposition.

Le Bitcoin ? Has been !

En parlant d’argent, on l’a compris, le but de ces modèles est d’à la fois rémunérer l’éditeur du malware ou le fournisseur de services en même temps que celui qui a perpétré l’attaque touche sa commission. En cela, les cryptomonnaies ont été une véritable bénédiction pour ces acteurs qui peuvent réaliser des échanges financiers intraçables. Intraçables ? Pas le Bitcoin pour Sébastien Gest, qui explique que « tant qu’ils restent sur la blockchain, les échanges sont traçables et il est possible de retrouver les personnes à l’origine des transactions. » D’après l’évangéliste, cette cryptomonnaie n’est quasiment plus utilisée sur le Darkweb. Les communautés pirates lui préfèrent des cryptomonnaies fongibles non traçables comme Zcash ou Monero.

Vers du serverless et de l’IA ?

Et ensuite ? « En ce moment, il y a un truc énorme qui se passe, et où les entreprises ont encore du mal, c'est le serverless » note Sébastien Gest qui pressent que ce paradigme pourrait, à terme, être mis à profit par les cybercriminels pour déployer plus rapidement leurs solutions. Et quid des algorithmes de machine learning, deep learning, de reconnaissance vocale, faciale, etc. qui se démocratisent de plus en plus dans les usages quotidiens ?

Leroy Terrelonge, directeur des opérations chez Flashpoint, tout comme Sean Sullivan, s’entendent à dire également que les communautés de discussions sur le Darkweb ont tendance à se refermer sur elles-mêmes. D’après le représentant de Flashpoint, il semble que les acteurs migrent désormais vers des plateformes moins ouvertes. Par exemple, des plateformes peer-to-peer moins traçables par les forces de l’ordre et plus sécurisées puisque les transactions se font d’une personne à une autre. « Nous avons aussi constaté ça sur des marchés où les malwares et les données sensibles sont stockées sur la page d’un vendeur » indique M. Terrelonge. « Donc si on veut acheter quelque chose, on va sur la page de ce vendeur particulier. »

(Crédit : D.R.)

Le problème de ces forums aujourd’hui est qu’ils agrègent à la fois des échanges commerciaux mais aussi d’autres discussions. « Donc une fois infiltré dans ces communautés, on voit tous les échanges de leurs membres et on peut se faire une image d’un vendeur qui donnerait trop de détail, etc. » Mais sur les « Shops », il n’y a aucune interaction entre le vendeur et l’acheteur, si ce n’est des commentaires sur les produits proposés, comme sur des sites d'e-commerce en somme.

L’activité cybercriminelle est donc liée de très près à l’activité légitime en ligne. Chaîne de distribution, vente, promotion, mises à jour, feedbacks, toutes les étapes sont quasiment les mêmes entre ces deux mondes. La R&D l’est aussi. Et si l’informatique progresse à une vitesse folle, chaque innovation technologique sera potentiellement mise à profit aussi pour mener des actions criminelles.

Pour lire la seconde partie de ce sujet, cliquez sur ce lien.