LMI : Pouvez-vous nous présenter l’activité de FlashPoint ?

Leroy Terrelonge : Je travaille chez Flashpoint depuis trois ans. Ce que nous faisons, c’est trouver des communautés sur le Darkweb où des malfaiteurs se rassemblent et organisent des activités illicites en discutant et échangeant des idées entre eux. Nous essayons de nous infiltrer dans ces communautés. Pour y parvenir, nous utilisons différents moyens. Parfois ça passe tout simplement par une inscription sur un forum. On remplit un formulaire ou on parle avec les administrateurs. Mais parfois, notre stratégie d’infiltration doit être plus élaborée. Dans certains cas, il faut passer un examen, avoir le soutien d’autres membres de la communauté, etc.

Nous sommes environ trente personnes. Chacun a sa région d’expertise dans le monde. Pour moi, c’est le Moyen-Orient, l’Afrique et la France. D’autres collègues sont focalisés sur l’Europe de l’Est, en particulier la Russie et l’Ukraine. D’autres sur la Chine et l’Asie pacifique ou les Amériques. Et nous avons une équipe dédiée aux djihadistes.

Comment organisez-vous la surveillance de ces communautés ?

Chacun est responsable des forums qu’il infiltre. Mais parfois il faut collaborer pour parvenir à entrer dans une communauté. Par exemple, je me souviens d’une fois où un collègue devait entrer sur un forum russe et les administrateurs de ce forum voulaient une preuve que cette personne avait des compétences avancées en programmation. Ils voulaient un code source. Mais mon collègue n’en avait pas sous la main. Moi, je travaillais sur un projet de programmation. Je lui ai donné le code que j’avais écrit et il a pu l’utiliser pour accéder à ce forum.

Aujourd’hui, nous surveillons plusieurs centaines de ces communautés chez Flashpoint. Dans certaines, nous sommes actifs très régulièrement, tous les jours. Dans d’autres qui sont moins intéressantes du point de vue des informations que nous cherchons pour nos clients, mais où il est important d’avoir une présence, ce n’est pas important d’être très actif. Personnellement je m’occupe d’une cinquantaine de forums, mais je ne suis pas impliqué pleinement dans tous.

Combien de temps nécessite une infiltration dans ces forums ?

Pour les communautés les moins avancées, ça peut prendre une heure ou deux. Pour celles les plus complexes, ce sont de vrais écosystèmes. Par exemple, dans les communautés russophones, il y a différents niveaux de forum. Donc quand on débute, on intègre un forum basique où on apprend petit à petit son activité. Et dès qu’on veut évoluer dans cette communauté, ce sont les acteurs des forums les plus avancés qui vont déterminer si l’on est prêt à grimper d’un niveau dans la hiérarchie. Donc parfois il faut accomplir toute une série d’activités pour pouvoir convaincre les membres de ces autres communautés d’intégrer leur cercle.

Une fois rentrés dans cette communauté, nous essayons d’obtenir le plus d’informations possibles qui pourront être utilisées par nos clients pour mieux se protéger des menaces liées à la cybercriminalité.

Comment s’organisent ces communautés ?

Chaque communauté à sa fonction. Certaines sont focalisées sur le développement des malwares. Ce sont souvent des forums russes qui s’occupent de ça. D’autres sont orientés sur la fraude et leurs membres discutent des différents types d’escroquerie et arnaques. Des forums sont évidemment spécialisés dans la vente de drogues, dans la falsification de documents, etc.

Chaque forum a également ses règles de comportement. Elles sont souvent écrites. Presque tous les forums ont une partie où on peut retrouver ces codes qui gèrent leurs activités. Mais d’autres règles ne sont pas écrites et se découvrent qu’une fois entré dans la communauté. Et si on enfreint ces conventions, on risque d’être banni ou de perdre sa crédibilité.

Que se passe-t-il si vous vous faites repérer ?

Il arrive parfois qu’on se fasse repérer par les administrateurs de ses lieux d’échanges sur le Darkweb. Normalement ils n’arrivent pas à nous identifier personnellement. Ils vont déterminer qu’on est là pour obtenir des informations mais ne peuvent a priori pas savoir qui nous sommes et ce que nous faisons vraiment. Si on est chercheurs, membres des forces de l’ordre, etc.

Mais s’ils arrivent à nous identifier personnellement, oui, ça peut devenir dangereux. Il y a eu des histoires où des entreprises de sécurité informatique ont été visées par des acteurs du Darkweb. Et pas forcément sous forme d’attaques virtuelles, mais parfois en plaçant une bombe dans les bureaux de l’entreprise en question. C’est pour ça qu’on essaie de diffuser le moins d’informations personnelles en ligne et de ne pas diffuser l’adresse de nos bureaux.

Avez-vous noté des changements dans les pratiques de ces groupes ?

Il y a cinq ans, les gens étaient contraints de faire leurs propres recherches, développer leurs propres méthodes pour cibler leurs victimes. Pour de la fraude, par exemple, ils étaient obligés de contrefaire les documents eux-mêmes, se procurer les données personnelles et pièces d’identité par leur propre moyen, etc. Mais maintenant, chaque acteur de l’écosystème à sa spécialité et on n’est plus obligé de tout faire soi-même. On peut embaucher d’autres personnes pour réaliser une partie de l’arnaque.

Tout est centralisé, on a juste à trouver le fournisseur de services ou de biens dont on a besoin depuis une seule plateforme. Et il est possible d’acheter tout cela à très bon marché. L’accès aux activités illicites est donc beaucoup plus simple et rentable que par le passé.

Que pouvez-vous nous dire de la notion de Cybercrime as a Service ?

Ca existe depuis quelques années, c’est assez récent mais ça n’a pas commencé hier. Par exemple, vous avez des sites qui sont utilisés pour s’attaquer aux sites web en effectuant un DDoS. Ces services peuvent être loués en fonction de la puissance et du temps de l’attaque. Ils sont assez abordables financièrement, c’est un paiement à l’heure et je dirais que pour une heure, ce genre d’attaque coûte une vingtaine de dollars.

Un autre exemple, si on veut louer un botnet pour amasser beaucoup d’informations sur des victimes, je pense que le paiement se fait plutôt au mois et représenterais peut-être 5 000 $ si la qualité du botnet est bonne. C’est un système très utilisé. Tout dépend de ce que les utilisateurs veulent faire avec ces services et les informations qui peuvent être recueillies par les botnets. Donc si on veut seulement revendre ces données, peut-être qu’on n’a pas besoin de les engranger soi-même, on peut juste les acheter à l’administrateur du botnet et le revendre à d’autres membres de sa communauté ou d’une autre. Mais si on veut monter ses propres attaques avec les informations recueillies dans le botnet, la meilleure solution de s’assurer que ces données sont fraîches et qu’elles n’ont pas été utilisées ailleurs, c’est de les sélectionner soi-même. D'où la location de botnets.

Ce qui a permis cet essor du Cybercrime as a Sservice c’est également la démocratisation des cryptomonnaies. Parce que ces forums existent depuis à peu près aussi longtemps qu’Internet mais la possibilité d’échanger des fonds n’étaient pas à la portée de tous avant l’arrivée des cryptomonnaies. Ca a donc facilité les échanges et le commerce dans les deep et Darkweb.

Les cybercriminels s’organisent, créent des partenariats entre eux, échangent, sont très attentifs aux retours de leurs clients. Exactement comment dans une entreprise traditionnelle finalement ?

Il y a en effet des similitudes avec l’activité des entreprises en général. Si tout le monde veut tout faire de bout en bout, ce n’est pas très efficace. Alors que si chacun se spécialise dans une partie de la chaîne de production, ça va rendre le processus plus efficace, il y aura plus de production et de capacité.

Il y a des acteurs qui sont très réputés pour le développement de malwares. Donc tout le monde attend leurs mises à jour avec impatience. Mais par exemple, un Trojan – pour récupérer les données bancaires des victimes – lancé va marcher pendant un certain temps, puis il va s’arrêter quand les chercheurs auront trouvé un moyen de le contrer. Donc les développeurs vont devoir reloader leur malware. Et les utilisateurs montrent souvent leur attente de nouvelles versions sur les forums. Les retours clients sont très important sur les deep et darkweb. Donc le fournisseur doit être très actif et attentif aux feedbacks et questions laissés sur son projet, pour ne pas perdre la confiance du client.

Comment cela se traduit-il du point de vue du développement des malwares ?

Normalement, les acteurs de ces communautés s’organisent et montent une équipe restreinte pour monter un malware avant qu’il soit diffusé aux autres membres de la communauté. Parce qu’ils savent que le risque que le logiciel malveillant soit découvert par des chercheurs ou des forces de l’ordre est plus faible s’il est d’abord utilisé et enrichi par seulement quelques personnes. Donc ils vont travailler de cette manière pendant une période de quelques mois. Quand le malware devient moins rentable, ils essaient de compenser financièrement en le vendant aux autres membres de la communauté. Donc l’utilisation du logiciel se généralise progressivement, la vente s’ouvre ensuite à d’autres forums. Mais à chaque élargissement de la vente, le risque que le logiciel malveillant soit découvert est plus fort. Donc sans pouvoir être trop précis, je dirai qu’il peut se passer d’un à deux ans avant que les antivirus protègent d’un malware.

Au début, le malware va coûter quelques milliers de dollars, disons de 10 000 à 20 000 $, ce qui n’est pas énorme pour un malware qui vient de sortir. Au fur et à mesure qu’il est utilisé par plus de personnes, le prix baisse parce que le malware devient donc moins efficace. Globalement, les prix ont tendance tout de même à augmenter car les capacités qui sont recherchées pour pouvoir continuer de contourner les mesures de sécurité des plus gros acteurs comme Microsoft, etc. sont toujours plus pointues.

Savoir précisément qui sont les utilisateurs de ces offres as a service dans les deep et darkweb est impossible. Mais est-il possible de faire ressortir des caractéristiques quelconques ?

La plupart des utilisateurs de ces outils sont motivés par l’argent. On parle beaucoup d’une menace possible des djihadistes. D’après ce que nous avons trouvé, dans ces communautés, il y a très peu de gens qui sont doués en informatique. Donc ces acteurs ne représentent pas une menace très importante de ce point de vue-là.

Je n’ai pas constaté personnellement de lien entre un acteur gouvernemental qui serait présent sur les deep et Darkweb. Mais d’autres acteurs ont été identifiés comme étant liés aux services de renseignements russes. Ce sont des agents américains qui ont révélé cela au New York Times. Par contre nous, de notre point de vue, nous n’avons pas la capacité de voir ça.

On a vu des cas où des salariés d’une entreprise voulaient nuire à leur employeur en vendant des informations confidentielles par exemple. Il y a un cas qui a été médiatisé récemment c’est celui du NSO group. Un employé de cette société israélienne a essayé de vendre leur code source sur le Darkweb et il est aujourd’hui poursuivi en justice. Mais je ne me rappelle pas de cas d’espionnage industriel ou d’attaque commandée par une entreprise pour nuire à un concurrent.

Je ne peux pas donner de noms de mon côté mais un cas très intéressant qui s’est produit il y a quelques temps, c’était un employé d’une grande entreprise de technologies qui figure parmi les Fortune 500 qui a aussi essayé de vendre le code source de ce groupe. Nous avons pu identifier la personne en travaillant en collaboration avec les forces de l’ordre en Israël. Cette personne a été jugée et est aujourd’hui en prison.

Pour lire la première partie de ce sujet, suivez ce lien.