la cybercriminalité

LA CYBERCRIMINALITÉ
Par Gérard Peliks
Expert sécurité
Cassidian CyberSecurity - Groupe EADS
Mai 2013
La criminalité se développe aujourd’hui sur un terrain moins risqué et plus fertile que celui du monde
réel car l’anonymat y est pratiquement assuré pour qui sait s’y prendre, et le dispositif policier, s’il n’est
pas inexistant, est très insuffisant pour surveiller le milliard d’individus qui se retrouvent sur le Net.
Pourtant cet espace virtuel est devenu aussi indispensable à l’économie des entreprises et aux relations
entre le citoyen et son administration que le téléphone et le courrier papier.
Le monde devient instable et dangereux. Les échanges se mondialisent et ne connaissent, sur la toile,
pas de frontières. Dans ce monde virtuel où tout est à craindre, les amis de nos amis peuvent être nos
pires ennemis et les clients de nos partenaires peuvent être nos concurrents. La montée du terrorisme et
une situation économique très perturbée engendrent un impérieux besoin de sécurité.
Connaître les menaces qui pèsent sur les systèmes d’information, comprendre les mesures de sécurité
à mettre en place et déjà un premier pas est franchi vers un monde Internet plus sûr, un monde où
l’économie et la culture pourront se développer harmonieusement, malgré les pièges et les coups de
boutoirs des hackers qui foisonnent sur la toile.
Un livre blanc de Forum ATENA
Un livre blanc
1 / 23
SOMMAIRE
LA CYBERCRIMINALITÉ .............................................................................................. 1
1.
INTRODUCTION À LA CYBERCRIMINALITÉ ......................................................... 4
1.1.
LES VULNÉRABILITÉS ......................................................................................................... 4
1.1.1. Des logiciels plus vulnérables qu’avant ? ...................................................................... 4
1.1.2. Le cycle de vie d’une vulnérabilité ............................................................................... 4
1.1.3. Quelle cible, Microsoft, Apple, UNIX, Smartphone ? ....................................................... 4
1.1.4. Des vulnérabilités qu’on n’attendait pas ....................................................................... 4
1.2.
LES MENACES .................................................................................................................. 5
1.2.1. Les menaces internes ................................................................................................ 5
1.2.2. Les menaces externes ............................................................................................... 5
1.2.3. Les inquiétudes ........................................................................................................ 6
1.2.4. Quelques types de menaces ....................................................................................... 6
1.3.
LES ATTAQUES ................................................................................................................. 6
2.
LES ATTAQUES PAR INFECTION .......................................................................... 7
2.1.
2.2.
2.3.
3.
LES ATTAQUES SUR LE WEB................................................................................ 8
3.1.
3.2.
3.3.
4.
LES VIRUS ET LES VERS ...................................................................................................... 7
LES CHEVAUX DE TROIE ...................................................................................................... 7
LES ADAWARES, LES SPYWARES ET LES ROOTKITS ....................................................................... 7
LA DÉFIGURATION OU DEFACING ............................................................................................ 8
LE DÉNI DE SERVICE DISTRIBUÉ ............................................................................................ 8
LE CHANTAGE .................................................................................................................. 8
LES ATTAQUES SUR LA MESSAGERIE .................................................................. 9
4.1.
LE SPAM OU POLLUPOSTAGE ................................................................................................ 9
4.2.
LE MASS MAILING ............................................................................................................. 9
4.3.
LE PHISHING ................................................................................................................... 9
4.3.1. La genèse de l’attaque............................................................................................... 9
4.3.2. Le Phishing ............................................................................................................ 10
4.3.3. Les acteurs en présence .......................................................................................... 10
4.3.4. Le déroulement de l’arnaque .................................................................................... 11
4.3.5. Le pharming ou l’attaque sur les DNS ........................................................................ 12
4.3.6. Le Vishing .............................................................................................................. 12
4.4.
LE BOTNET ................................................................................................................... 13
4.4.1. La marche des zombies ........................................................................................... 13
4.4.2. Mais qui sont ces spammeurs ? ................................................................................ 13
4.4.3. Il y a un zombie dans ma sacoche ! .......................................................................... 13
4.4.4. Le maître du botnet ................................................................................................ 14
4.4.5. Le SPAM et le déni de service ................................................................................... 14
4.4.6. Le commanditaire ................................................................................................... 14
4.4.7. Les contre-mesures pour un monde sans zombies....................................................... 15
5.
LES ATTAQUES QUI PORTENT SUR VOTRE CRÉDULITÉ ...................................... 16
5.1.
LE HOAX ......................................................................................................................
5.2.
LA FRAUDE NIGÉRIANE .....................................................................................................
5.2.1. Des soucis et une urgence .......................................................................................
5.2.2. Nom de code SCAM 4-1-9 ........................................................................................
5.2.3. D’abord votre identité à produire ..............................................................................
5.2.4. Ensuite le coffre à louer et des pots de vin à distribuer ................................................
5.2.5. Et puis les coordonnées bancaires à fournir ................................................................
5.2.6. Et finalement de réels soucis et bien des tourments quand éclate la bulle ......................
5.2.7. Quelques chiffres qui font frémir ...............................................................................
5.2.8. Que peut-on y faire ? ..............................................................................................
5.2.9. Aidée-moi je vous en conjure … ................................................................................
6.
16
16
16
16
17
17
17
18
18
18
18
LE PUMP AND DUMP ......................................................................................... 19
6.1.
6.2.
6.3.
UNE SOCIÉTÉ COTÉE ET QUI MÉRITE D'ÊTRE CONNUE .................................................................. 19
LE PUMP (LE GONFLAGE ARTIFICIEL) ..................................................................................... 20
POMPEZ, POMPEZ, IL EN RESTERA TOUJOURS QUELQUE CHOSE… .................................................... 20
Un livre blanc
2 / 23
6.4.
6.5.
6.6.
6.7.
DE QUI RECEVEZ-VOUS CES E-MAILS… ET POURQUOI VOUS ? ........................................................
LE DUMP (LA LIQUIDATION ET LA FIN DU RÊVE) ........................................................................
QUE FAIRE CONTRE CETTE ARNAQUE ? ...................................................................................
FIN DU RÊVE .................................................................................................................
21
21
22
22
7.
EN CONCLUSION : RETOUR VERS LE MONDE RÉEL ............................................ 22
8.
A PROPOS DE L’AUTEUR ................................................................................... 23
Un livre blanc
3 / 23
1.
INTRODUCTION À LA CYBERCRIMINALITÉ
1.1. LES VULNÉRABILITÉS
Prenons comme exemple parmi tant d’autres, une vulnérabilité qui a fait beaucoup parler d’elle dans
les milieux des bases de données. Cette vulnérabilité pourtant connue, et pour laquelle il existait un
correctif depuis six mois, qui affectait les serveurs MS SQL a été exploitée par le ver Slammer, à partir du
25 janvier 2004.
Moins de dix minutes après la première injection de ce ver quelque part sur le net, plusieurs dizaines
de milliers de serveurs MS SQL ont été contaminés autour de la planète entraînant un sérieux
ralentissement des transactions sur la toile.
Cet événement est intéressant à plus d’un titre. Outre la vitesse fulgurante de propagation de ce ver,
on a remarqué que le correctif de l’éditeur qui corrigeait cette faille connue n’avait pas été implémenté sur
la plupart des serveurs MS SQL. Si la faille était connue par les experts en base de données, elle l’était
aussi par les hackers et ceux-ci ne sont donc pas restés bien longtemps inactifs.
1.1.1. DES LOGICIELS PLUS VULNÉRABLES QU’AVANT ?
Tout logiciel peut présenter des vulnérabilités qui sont autant de portes ouvertes dans la sécurité des
systèmes d’information et par lesquelles les hackers vont s’engouffrer. Un logiciel est une œuvre souvent
très complexe et ses auteurs ne sont pas à l’abri de commettre des erreurs au cours du développement et
de la maintenance du produit.
Les CERT sont des organismes à qui vous pouvez vous adresser pour décrire des vulnérabilités
trouvées et des attaques subies. Les CERT répertoriaient quelques dizaines de vulnérabilités il y a dix ans
et en signalent plusieurs milliers aujourd’hui.
Les logiciels sont-ils alors aujourd’hui plus sujets aux vulnérabilités qu’il y a dix ans ? Non, mais malgré
tous les efforts méritoires fournis par les entreprises pour former leurs développeurs à écrire du code sans
failles, comme le nombre d’instructions qui composent les logiciels, même en langage évolué, ne cesse de
croître, la complexité suit. La probabilité de trouver des erreurs augmente également.
1.1.2. LE CYCLE DE VIE D’UNE VULNÉRABILITÉ
Une vulnérabilité ne reste pas méconnue bien longtemps. Le nombre de sites attaqués, suite à une
vulnérabilité trouvée dans un logiciel présente un cycle de vie particulier.
Au début peu de sites sont concernés par les attaques car peu de monde a entendu parler de la
vulnérabilité. Après quelques jours, parfois quelques heures, suite à la publicité faite sur le trou de
sécurité trouvé, le nombre de sites touchés par des attaques croit brusquement pour se stabiliser quand le
correctif est disponible. Mais le nombre de sites attaqués ne tombe pas à zéro car le correctif n’est pas
appliqué sur tous les sites qui présentent cette vulnérabilité. Les attaques se perpétuent encore longtemps
après la disponibilité du correctif. Le nombre d’attaques finit par décroître, mais c’est surtout du au fait
que les attaquants se tournent vers l’exploitation de nouvelles vulnérabilités pour lesquelles il n’y pas
encore de correctif.
Les attaques qui se déchaînent entre la publication de la vulnérabilité et la fourniture de son correctif
appelées les « zero day attacks » peuvent faire très mal sur des systèmes d’information incapables de se
protéger !
1.1.3. QUELLE CIBLE, MICROSOFT, APPLE, UNIX, SMARTPHONE ?
On dit habituellement que les vulnérabilités affectent essentiellement les logiciels de Microsoft. Il n’en
est rien. Les logiciels sous les différents UNIX et autres systèmes d’exploitation ne sont pas épargnés.
D’ailleurs, d’après les CERT, 45% des vulnérabilités sont trouvées sous UNIX et « seulement » 16% sous
Windows. Ainsi, côté vulnérabilités, les navigateurs Firefox ou Chrome ne sont pas la réponse à Internet
Explorer ; le serveur Web Apache n’est pas la réponse à Internet Information Server et Thunderbird n’est
pas la réponse à Outlook ! On ne peut donc que vivre dangereusement.
1.1.4. DES VULNÉRABILITÉS QU’ON N’ATTENDAIT PAS
Des vulnérabilités sont découvertes même aux endroits où on ne supposait vraiment pas pouvoir en
trouver. Ainsi une banale image JPEG, intentionnellement mal formée peut permettre à un hacker de
prendre le contrôle de votre poste de travail suite à une vulnérabilité qui affecte les logiciels Microsoft
Office que vous utilisez pour l’interpréter.
Un livre blanc
4 / 23
Mais pouvez-vous vous passer de lire des images quand vous naviguez sur la toile, quand vous écrivez
des documents sous Word ou quand vous développez une présentation sous PowerPoint ?
Un humoriste a fait remarquer que si les voitures présentaient les mêmes défauts que les logiciels,
personne n’oserait rouler avec. L’informatique est omniprésente, il faut bien utiliser des logiciels, alors
surtout, ne pas négliger de placer des solutions de sécurité et d’installer les correctifs aussitôt qu’ils sont
disponibles chez l’éditeur qui a votre confiance.
1.2. LES MENACES
On distingue les menaces d’origine interne et celles d’origine externe. Les menaces internes sont celles
provenant des utilisateurs situés dans votre réseau, les menaces d’origine externe viennent des
utilisateurs situés en dehors de votre système d’information. Ce sont celles dont on se méfie le plus, mais
c’est peut-être une erreur. De nombreuses attaques réussies proviennent de l’intérieur d’un système
d’Information.
1.2.1. LES MENACES INTERNES
Les menaces d’origine interne sont induites par la maladresse des
méconnaissance des outils qu’ils utilisent mais aussi hélas par leur malveillance.
utilisateurs,
par
leur
C’est par exemple un fichier pourtant classé confidentiel, qui se retrouve publié par la presse alors qu’il
contient des informations nominatives ou diffamatoires, avec toutes les conséquences pénales ou civiles
que cette menace peut entraîner pour l’employé et aussi pour le dirigeant de l’entreprise qui n’a pas su
assumer sa responsabilité de protéger l’information qu’il détient.
C’est le téléchargement d’outils logiciels « craqués » dont l’utilisation est illicite car sans licence ou de
fichiers ou pages Web délictuelles. En France, par exemple, la consultation de pages Web pédophiles ou
racistes est un délit pénal et la loi réprime aussi le dirigeant de l’entreprise qui n’a pas pris les mesures de
contrôle indispensables pour réguler l’utilisation du Web par ses employés.
Les menaces portent aussi sur la perte de productivité, voire même de marchés, suite à la saturation
de la bande passante par un employé qui télécharge des fichiers de très grosse taille, sans prendre
conscience de la gêne causée aux autres usagers.
Mais ce sont aussi des actes de malveillance perpétrés par des utilisateurs de l’intérieur et les
protections périmétriques mises autour du réseau pour faire face aux menaces venant de l’extérieur sont
évidemment inopérantes.
1.2.2. LES MENACES EXTERNES
Sans négliger les simples tentatives de malveillance gratuite qui ne constituent pas les menaces les
plus inquiétantes, les menaces d’origine externe peuvent être à caractère stratégique, idéologique ou
terroriste. Savez-vous que nos échanges d’informations ont été depuis plusieurs années, à notre insu,
captés et analysés par un gigantesque dispositif de grandes oreilles, le réseau Echelon, réparti sur
plusieurs pays, en particulier les USA, le Canada, la Grande Bretagne, l’Australie, la Nouvelle Zélande,
avec radars d’écoute, satellites, et batteries d’ordinateurs parmi les plus puissants du monde pour
analyser les informations captées ?
Difficile d’échapper à ce réseau d’espionnage électronique et informatique dont le but avoué était de
lutter contre le terrorisme et les narcotrafiquants, mais qui a aussi servi de stations d’écoute pour
favoriser l’économie des pays qui hébergeaient ces grandes oreilles. Ceci constitue une menace réelle pour
nos économies nationales.
Cette menace est toujours actuelle, et même plus que jamais actuelle avec le développement
inquiétant des actes de cyberespionnage. Avec moins de moyens mais beaucoup de compétences, la mafia
et les terroristes sont aussi à l’écoute des échanges et utilisent le réseau public pour organiser leurs
actions ou paralyser les nôtres.
Les codes source des éditeurs de logiciels parmi les plus renommés sont volés et analysés pour en
découvrir les vulnérabilités. L’armée américaine, et d’autres armées, disposeraient même d’équipes de
hackers dotées de grands moyens pour infiltrer ou attaquer les infrastructures informatiques ennemies.
Mission impossible, pensez-vous ? Dans l’industrie, qui sont nos amis et qui sont nos ennemis ?
Les menaces évoluent très vite et deviennent de plus en plus complexes à contrer. Nous n’en sommes
plus, comme il y a 20 ans, à essayer de découvrir des mots de passe pour pénétrer dans un réseau.
Aujourd’hui on s’offre des services de hackers particulièrement efficaces ou on loue du temps machine sur
des réseaux d’attaque aussi nombreux que volatiles.
Mais si le niveau de menaces est de plus en plus élevé, les connaissances requises pour lancer des
attaques sont de plus en plus basiques parce que les outils pour attaquer sont de plus en plus conviviaux.
La cybercriminalité rapporterait par an, plusieurs centaines de milliards de dollars.
Un livre blanc
5 / 23
1.2.3. LES INQUIÉTUDES
Face à ces menaces, quelles sont les inquiétudes majeures ressenties par les entreprises ? Ce sont
bien sûr les vers et les virus qui sont toujours médiatisés jusqu’à faire la une des journaux télévisés et qui
constituent une menace réelle. Ce sont les SPAM qui encombrent les boîtes aux lettres et entraînent une
perte considérable d’heures de travail passées à les supprimer. Ce sont encore les informations
confidentielles qui s’envolent dans la nature avec les fichiers clients, les conflits internes et les secrets de
fabrication, et qui se retrouvent chez les concurrents, chez les clients et dans le grand public.
C’est le réseau de l’entreprise qui tombe suite à une attaque par déni de service distribué. Le
développement du BYOD (Bring Your Own Device), du Cloud Computing, du Big Data, des objets
communicants n’ont pas fini de justifier les inquiétudes légitimes des entreprises. On ajoute à tout cela,
les attaques sur les infrastructures sensibles d'un pays qui peuvent entrainer des effets catastrophiques
pour la population.
1.2.4. QUELQUES TYPES DE MENACES
Classons les menaces les plus présentes en commençant par la plus médiatisée : le virus. Un virus
s’attache à un logiciel porteur qui le véhicule et qui doit être exécuté pour que le code malfaisant qui
l’infecte puisse agir et infecter d’autres logiciels.
La menace la plus rusée est le ver, qui diffère du virus parce qu’il n’a pas besoin d’être hébergé par un
programme infecté pour arriver jusque chez vous sur votre système d’information. Le ver est autonome et
pénètre dans votre réseau et sur votre poste de travail sans que vous n’ayez à exécuter la moindre action
malheureuse, ni commettre la moindre maladresse (autre que celle d’être connecté au réseau !). Le ver
arrive chez vous par le réseau, le plus souvent en passant par une faille d’un logiciel de votre poste de
travail.
La menace la plus sournoise est sans aucun doute le cheval de Troie. C’est un logiciel qui ne cause pas
de dégâts apparents mais qui au contraire se fait oublier et vous observe, capte vos informations et les
envoie à son destinataire qui alors peut en faire un usage dommageable. Le cheval de Troie peut observer
les frappes des touches de votre clavier, et vous aurez beau chiffrer votre information, lui la reçoit en
clair. Il peut se situer au niveau de la fenêtre d’accueil par laquelle vous entrez votre mot de passe ou
votre code PIN, ou être tapi dans votre système de fichiers où il scrute vos informations pour
éventuellement les dévoiler.
La menace la plus répandue est sans doute le macrovirus, variante des virus, qui, s’il est présent chez
vous, a de grandes chances d’infecter tous les fichiers que vos fichiers Office ouvrent.
Et enfin la menace la plus imparable est le dépassement de buffer. Si le programme que vous utilisez
présente ce type de vulnérabilité, une information entrée dans votre programme peut entraîner
l’écrasement de ses instructions par des instructions conçues par le pirate et entrées en tant que données.
Alors, ce n’est plus votre programme qui s’exécute mais les instructions entrées par le hacker qui peut
prendre ainsi le contrôle de votre poste de travail.
Mais les menaces ne seraient pas grand chose s’il n’y avait aussi les attaques qui sont une
concrétisation de ces menaces et quand ces attaques exploitent les vulnérabilités de vos programmes, il
est difficile de les arrêter avant qu’elles n’aient atteint leur but !
1.3. LES ATTAQUES
Les attaques sur les systèmes d’information, qu’elles soient brutales ou feutrées, menacent aujourd’hui
chacun de nous pour peu que nous soyons, ou que notre système d’information soit connectés. Une
récente étude de Sophos indique qu’un poste de travail connecté à l’Internet, sans protection efficace, a
50% de (mal)chance d’être infecté au bout de 3 minutes et la quasi-certitude d’être infecté au bout d’une
heure. Les attaques ciblent particulièrement les applications les plus utilisées sur le Net que sont le Web et
la messagerie, et les plus redoutables sont formées par une combinaison savamment dosée de plusieurs
attaques.
Nous avons déjà évoqué l’action des CERT pour répertorier les vulnérabilités. Les CERT répertorient
également les attaques depuis une vingtaine d’années et montrent que celles-ci augmentent de manière
quasi exponentielle et dépassent cette année les 500 000. Une attaque peut cibler un seul poste de travail
ou plusieurs dizaines de milliers de réseaux.
Il y a quelques années, la motivation des attaquants, était simple : nuire et détruire, souvent par défit,
par pur plaisir ou simplement par vengeance. Aujourd’hui leur but principal est de soutirer de l’argent et
les nouvelles attaques qui s’annoncent sont encore plus inquiétantes. Elles commencent dans le monde
virtuel et se poursuivent dans le monde réel où elles retrouvent les victimes rencontrées sur le Net, et s’en
prennent à leur vertu ou à leur vie.
L’image de l’adolescent féru de nouvelles technologies, dans sa chambre encombrée de bandes
dessinées, de documentations techniques et de canettes de coca, et qui mène des attaques au hasard,
Un livre blanc
6 / 23
depuis son PC ou son MAC hors d’âge, pour prouver à ses copains et ses copines à quel point il est
redoutable n’est plus de mise.
Une étude récente indique que seulement 10% des attaques sont menées par des hackers en herbe
qui recherchent la notoriété, 60% par la petite cybercriminalité et 30%, les plus dangereuses, sont des
attaques de grande ampleur perpétrées par des organismes mafieux, parfois officiels. Aujourd’hui les
hackers redoutables sont plutôt des professionnels qui ciblent leur victime et combinent le « social
engineering » et les outils sophistiqués qu’ils conçoivent pour leur usage personnel.
Les attaquants vont jouer sur la peur, l’incertitude et le doute, c’est dire que les piliers du commerce
électronique se trouvent menacés par cette criminalité qui se regroupe en mafias organisées.
Ce qui motive aujourd’hui le hacker … c’est de gagner de l’argent facilement, en prenant un minimum
de risques. Un virus a montré la voie. Avec les botnets, la cybercriminalité se professionnalise et propose
ses services en location. Le chantage se répand laissant présager une utilisation de l’Internet
particulièrement inquiétante.
2.
LES ATTAQUES PAR INFECTION
2.1. LES VIRUS ET LES VERS
Si les virus et les vers sont partout, ils ne constituent pas pour autant la seule cause d’infection. En
2004 un nouveau type de virus a réalisé la plus violente attaque que le cyber monde ait connu. Mydoom
est arrivé par la messagerie. Si la messagerie ne suffisait pas pour l’infection, Mydoom se donnait une
deuxième chance en passant par le logiciel « peer to peer » Kazaa.
En juillet 2001, le virus Code Red s’est installé sur 250 000 systèmes autour du monde en 9 heures. En
janvier 2004, Slammer a mis 10 minutes pour infecter plusieurs dizaines de milliers de serveurs. Les virus
et vers deviennent polymorphes en changeant de signature pour échapper aux anti-virus. Ils s’en
prennent d’ailleurs parfois en priorité à l’antivirus qui les traque, puis à votre navigateur pour vous isoler
et vous empêcher de trouver de l’aide sur la toile.
Plus proche de nous, le ver Conficker, à partir de 2008 s'est attaqué plus particulièrement aux
domaines de la santé et des administrations et a ralenti considérablement le fonctionnement de leurs
installations. Bien peu d'organisations ont été épargnées. Et ce ver sévit toujours aujourd'hui…
Le ver Shamoon, envoyé par l'Iran vers les installations pétrolières de l'Arabie Saoudite, a détruit en
octobre 2012, l'information contenue sur 30 000 ordinateurs de la société Aramco, avant de sauter sur le
producteur de gaz Gazprom au Qatar.
2.2. LES CHEVAUX DE TROIE
D’après une étude de Sophos, les vers et virus ne constituent que 35% des infections. 62% sont
constituées par des chevaux de Troie qui sont des logiciels qui se font oublier, une fois qu’ils ont infecté
votre poste de travail mais qui écoutent ce que vous faites. Le but, pour les moins nocifs, est de connaître
vos habitudes d’achat sur la toile, mais certains cherchent à connaître vos mots de passe, vos codes
d’accès et vos coordonnées bancaires.
Les attaques dites "APT", Advanced Persistent Threats qui consiste à utiliser le social engineering pour
entrer dans un système d'information, afin de s'y maintenir et d'exfiltrer les données sensibles se
multiplient. Bercy, Areva, Sony en ont fait les frais. Beaucoup sont sous attaque mais ne s'en sont pas
encore aperçus.
2.3. LES ADAWARES, LES SPYWARES ET LES ROOTKITS
Quand vous passez un programme d’éradication de spywares sur votre PC pour la première fois, vous
êtes étonné du nombre de programmes espions qu’il y trouve. Les adawares et les spywares sont deux
variantes de logiciels espions qui résident sur votre poste de travail et qui diffèrent par leur finalité.
Les adawares s’intéressent plutôt à vos habitudes, aux pages Web que vous consultez, par exemple,
afin de mieux cerner votre personnalité. Parfois vous êtes surpris de voir passer sur une page Web, une
bannière publicitaire particulièrement ciblée sur vos préoccupations du moment. Vous avez acheté sur la
toile un appareil photo numérique ? Deux jours après, sur une page Web qui n’a rien à voir avec votre
achat, vous voyez passer une bannière qui vous propose d’acquérir une mémoire supplémentaire adaptée
à votre achat pour en augmenter la capacité.
Le but des spywares, moins défendable, est de vous espionner, souvent pour capturer votre mot de
passe ou votre code PIN.
Un livre blanc
7 / 23
Et pour cacher le tout, il y a les rootkits qui rendent furtifs les logiciels qu’ils accompagnent, en jouant
sur les paramètres systèmes. La découverte et l’éradication des logiciels indésirables sont alors beaucoup
plus problématiques.
3.
LES ATTAQUES SUR LE WEB
3.1. LA DÉFIGURATION OU DEFACING
Le Web est souvent la première image institutionnelle qui présente l’entreprise et le premier contact
que prend un client alors il faut soigner particulièrement sa page d’introduction. C’est pour cela que les
attaques sur cette page intéressent les hackers.
Exploiter un défaut de protection en écriture pour accéder directement au serveur qui héberge les
pages Web d’une entreprise et en modifier le contenu est fort excitant pour l’attaquant. Les réussites sont
parfois croustillantes pour le grand public, mais catastrophiques pour les victimes.
On parle ainsi d’un site Web d’un grand voyagiste qui vendait des billets en ligne et dont la page de
garde montrait un avion montant dans un ciel sans nuages vers des destinations de rêve. Après
défiguration, cette même page montrait l’avion en flamme. Commanderiez-vous alors des billets en ligne
sur ce site ?
On parle aussi d’un site consacré à l’habillement de luxe et qui montrait un magnifique manteau de
vison porté par une superbe créature. Après défiguration du site, la page montrait un bébé vison, tirant la
créature par la manche de son manteau, qui s’écriait en larmes : « ils ont écorché ma maman ! »
Citons aussi un site qui donnait des conseils juridiques avec un bouton pour entrer en contact avec un
conseiller, et dont la défiguration, avait dédoublé le bouton avec la légende « si vous êtes blanc, cliquez
sur ce bouton, si vous êtes noir cliquez sur celui ci ».
Même le site de Microsoft, même le site de la CIA ont subi les ravages de la défiguration. Un beau
matin, ce pourrait être le vôtre.
3.2. LE DÉNI DE SERVICE DISTRIBUÉ
Plus que tout autre applicatif, le serveur Web va être la cible d’attaques en déni de service distribué
qui consistent à lui envoyer des centaines de milliers de sollicitations pour saturer sa bande passante et le
mettre hors d’état de servir ses pages Web à ceux qui en ont besoin.
Que faire pour empêcher cette attaque ? Si vous pouvez protéger un site Web contre des agressions,
vous ne pouvez pas empêcher qu’on le sollicite et il est facile d’envoyer un nombre incroyable de requêtes
vers un site Web cible. Le virus Slammer le faisait déjà en janvier 2003 et les botnets aujourd’hui nous en
donnent facilement la possibilité, moyennant finance. L'Estonie en a fait les frais, en 2007 et a été isolé de
l'Internet pendant plusieurs jours.
3.3. LE CHANTAGE
Aujourd’hui une dérive particulièrement inquiétante de la cybercriminalité se confirme. De plus ou
moins passive, la cybercriminalité passe au stade actif et direct et les hackers deviennent des maîtres
chanteurs en tirant parti des outils qu’on a évoqués jusque là, dans une chorale qui va vite devenir
assourdissante.
Quand un site dont l’existence commerciale repose sur la présence et la disponibilité de son site Web
sur l’Internet, site d’enchères en ligne, casino, vente de voyages, reçoit ce type de courriel :
« Je lance une attaque en déni de service sur votre site, qui va durer quinze minutes, et vous allez en
constater immédiatement les effets. Sachez que je peux lancer une attaque vingt fois plus puissante qui
pourra durer plusieurs heures. Si vous ne souhaitez pas être exposé à un tel désagrément, vous me
versez 7000€ avant ce soir, 19h00 sur ce compte ».
Suivent les coordonnées d’un compte situé dans un pays où la législation concernant ce genre de
transactions est assez floue et le maître chanteur pratiquement intouchable.
Mais vous, comme particulier, vous pensez pouvoir échapper aux maîtres chanteurs ? Détrompezvous, vous pourriez fort bien constater un jour que vous ne pouvez plus lire vos fichiers Word, PowerPoint
et Excel. Seule votre messagerie semble encore fonctionner correctement et vous avez reçu un courriel
qui vous annonce que plusieurs de vos fichiers ont été chiffrés et que la clé pour les déchiffrer vous sera
envoyée moyennant la somme de 100€.
Un livre blanc
8 / 23
Aujourd'hui les maîtres chanteurs se font passer pour la police ou la gendarmerie et bloquent votre poste
de travail jusqu'à paiement d'une amende par eCash ou par un autre moyen de paiement électronique,
seule fonction que votre poste de travail peut effectuer désormais. Et le paiement ne débloquera pas bien
entendu votre poste.
4.
LES ATTAQUES SUR LA MESSAGERIE
La messagerie est, avec le Web, l’outil le plus utilisé sur les réseaux, donc le plus attaqué. Du hoax au
SPAM en passant par le mass mailing et le mail bombing, on rencontre un choix d’attaques qui ne cesse
de se diversifier.
4.1. LE SPAM OU POLLUPOSTAGE
Plus vous êtes présent sur l’Internet et plus vous recevez des SPAM.
De petite gêne à ses débuts parce qu’il était rare, le SPAM est devenu un véritable fléau qui fait hélas
de cet outil merveilleux d’efficacité qu’est la messagerie, un vecteur de perte de temps et encombre nos
boîtes aux lettres.
La CNIL définit le SPAM comme un envoi massif, et parfois répété, de courriers électroniques non
sollicités, le plus souvent à caractère commercial, à des personnes avec lesquelles l'expéditeur n'a jamais
eu de contacts et dont il a capté l'adresse électronique dans les espaces publics de l'Internet.
Plus vous participez à des forums de discussion publics, plus votre nom figure dans des listes de
diffusion et dans des annuaires, plus vous laissez votre adresse de messagerie sur les sites Web, plus
vous recevrez des SPAM.
Messages proposant des excitants ou des montres Rolex à des prix incroyables ou encore la suite
complète Microsoft Office Professional ou Photoshop à 10% de son prix réel, nos boîtes aux lettres sont
encombrées par ces messages indésirables.
Un conseil, ne vous désabonnez jamais d’une liste de messagerie que vous identifiez comme étant du
SPAM car c’est ce qu’on attend de vous pour être sûr que votre adresse est active et continuer de plus
belle.
4.2. LE MASS MAILING
Le mass mailing est un envoi massif de courriels vers la boîte aux lettres que l’attaquant veut saturer.
Il existe des outils qui permettent d’entrer dans une boîte de dialogue « l’origine » et la destination des
courriels, l’adresse du serveur de messagerie qui enverra la rafale de courriels, le texte et le sujet et enfin
le nombre de courriels à envoyer en une seule fois (1, 100, 10000 ?).
Le mass mailing est une gêne non seulement pour le destinataire mais aussi pour le serveur de
messagerie qui achemine les courriels et pour les fournisseurs d’accès Internet. Aujourd'hui, les botnets
fournissent un moyen facile d'envoyer des mails en masse pour lesquels la remontée vers les sources est
quasi impossible.
4.3. LE PHISHING
4.3.1. LA GENÈSE DE L’ATTAQUE
Le mot Phishing est une combinaison du mot Phreaker qui désignait l’attaquant qui piratait un central
téléphonique dans les années 1960 pour téléphoner gratuitement, et du mot fishing qui désigne le
pêcheur.
Il combine l’utilisation de la messagerie et du Web pour faire tomber la victime dans le panneau et lui
soutirer des renseignements qu’elle ne donnerait jamais si elle n’avait pas suffisamment confiance à qui
les lui demande. Sa variante plus technique, le Pharming, utilise une combinaison d’attaques sur le
serveur de noms de domaine et le Web pour arriver au même résultat.
Tout commence quand par naïveté, par manque de méfiance ou de connaissances suffisantes sur ce
qui se pratique sur la toile, la future victime révèle ses coordonnées bancaires électroniques à un
cybercriminel qui utilise, pour les obtenir, la ruse et la technique dans le cadre d’un business model
éprouvé.
Un livre blanc
9 / 23
Comment le cybercriminel peut-t-il réussir à faire que la victime lui révèle ses coordonnées bancaires ?
Ce ne sont pas les moyens qui manquent, le social-engineering montre ici quelques-unes de ses multiples
facettes !
4.3.2. LE PHISHING
Le Phishing ou l’arnaque en trois étapes :
Première étape on lance l’hameçon sur la toile, et ce ne sont pas les poissons qui manquent.
L’attaquant envoie un courriel qui semble, par exemple, provenir de votre banque. Le logo, les fonts, les
couleurs, tout vous fait penser que le courriel provient de votre banque qui a un gros problème : votre
compte a été la proie d’un hacker et vous avez sans doute été volé mais la banque assume. Vous devez
juste cliquer sur l’URL proposé dans le courriel pour aller sur votre compte en ligne répertorier les dégâts
subis. Autre variante, le système informatique de la banque a subi un regrettable incident et quelques
comptes ont été effacés, aussi faut-il que la future victime se connecte immédiatement sur son compte
électronique pour constater les dégâts éventuels la concernant. Bonjour le stress et les poussées
d’adrénaline !
C’est grave, pas de temps à perdre ! Pour ne pas perdre un temps précieux, l’e-mail propose
justement un hyperlien pour que le client se connecte directement sur la page d’entrée de son compte
bancaire, juste par un clic de souris. La future victime se retrouve donc sur cette page beaucoup plus
rapidement que si elle avait du saisir l’URL de sa page de connexion à partir de la barre d’adresse de son
navigateur. Elle fournit alors, dans l’urgence et le stress, les renseignements demandés : login, mot de
passe, numéro de compte, numéro de carte de crédit, et pendant qu’on y est, code secret de la carte et
tous autres renseignements indispensables. Mais le serveur de la banque s’est déconnecté juste après la
saisie des paramètres demandés et avant que l’internaute ait pu arriver sur son compte. Celui-ci refait une
tentative directement à partir de son navigateur et constate que, heureusement, tout va bien, son compte
ne présente aucun problème… si ce n’est que la future victime vient de passer au statut de victime
potentielle et probable.
C’est la deuxième étape de l’arnaque car bien entendu vous n’avez pas été sur le Web de votre banque
mais sur celui très éphémère du pirate et qui ressemble comme deux gouttes d’eau à celui de votre
banque.
Avez-vous vérifié l’adresse Web où votre courriel vous a conduit ? Avez-vous vérifié que le cadenas au
bas de la page de votre navigateur est fermé, traduisant un échange sécurisé par SSL ? Avez-vous
téléphoné à votre banque pour vous inquiéter du courriel qu’elle vous a envoyé ? Avez-vous tenu compte
des avertissements que toutes les banques sérieuses ont envoyés à leurs clients pour les mettre en garde
contre le Phishing en leur précisant que jamais elles ne demanderaient par messagerie de rentrer sur un
compte ?
L’e-mail, vous l’aviez compris, n’a pas été envoyé par la banque et l’hyperlien dans cet e-mail ne
conduisait pas sur le site de la banque mais vers un site appartenant au cybercriminel, simulant celui de la
banque de celui que nous appellerons désormais « la victime ». Le site simulant la banque n’ayant pas lieu
d’exister plus longtemps à la même place, personne ne retrouvera de site Web à l’adresse laissée dans les
fichiers logs de la victime qui a fourni ainsi au cybercriminel tous les renseignements lui permettant de
rentrer sur son compte bancaire et l’utiliser pour des transferts vers d’autres comptes.
Il existe des kits de Phishing qui aident à réaliser des sites Web parfaitement simulés.
La troisième étape est, pour le hacker, d’utiliser les renseignements gentiment entrés et grâce
auxquels le pirate va entrer cette fois ci sur la page Web de votre vraie banque pour vider, à votre nom,
tous vos comptes, ou plutôt de demander à une « mule » de faire ce travail.
Les mules, ou "agents de transfert de fonds", en langage plus technique, sont des internautes de la
même région que la victime qui moyennant finances, soutirent de l’argent de ces comptes compromis.
Parfois les mules naïves n’ont même pas conscience que cette pratique est illégale.
Cantonné au début au marché US, les courriels d’accroches d’une attaque par Phishing étaient tous
écrits en anglais et concernaient les Américains qui avaient ouvert des comptes dans ces banques. Il était
alors facile, pour nous qui recevions de tels courriels, de flairer l’arnaque.
Le problème est qu’aujourd’hui les courriels, de même que les sites Web sur lesquels l’arnaque repose,
sont pour la plupart écrits dans un français sans reproche et imitent à s’y méprendre les banques les plus
connues.
4.3.3. LES ACTEURS EN PRÉSENCE
Le cybercriminel qui peut désormais accéder aux comptes bancaires de ses victimes ne va pas, bien
évidemment, vider les comptes dont il a maintenant la maîtrise, de tout leur contenu pour remplir le sien.
Ce n’est pas ainsi que fonctionne le business model car nous parlons ici des cybercriminels, qui sont de
Un livre blanc
10 / 23
vraies crapules sans scrupule, pas des naïfs comme le sont les victimes. C’est là qu’apparait un
intermédiaire indispensable dans le business model : la mule.
Ainsi commence l'arnaque qui se joue entre trois familles d’acteurs, les victimes qui ont un rôle
uniquement passif, le cybercriminel qui va bénéficier en toute impunité d’un flot continu d’argent
difficilement traçable et… les mules, chevilles ouvrières, qui par leurs actions intermédiaires permettent
au business model de fonctionner si bien.
Les mules sont recrutées par le cybercriminel ou ses complices parmi une population d’individus qui
possèdent un compte en banque, une connexion internet et un peu de temps devant eux pour effectuer un
travail bien rémunéré, simple, régulier, sans risque, et qui ne demande de plus aucune compétence
particulière. Le recrutement des mules se fait par relations de parrainage, par forums, par sites Web
d’offre d’emploi, ou même par des forums de recrutement tout à fait honnêtes par ailleurs. Le boulot
proposé fait même l’objet d’un contrat en bonne et due forme, provenant souvent aujourd’hui d’un pays
d’Europe de l’Est. La mule a un superviseur qui contrôle son travail. Tous les attributs qu’on peut
s’attendre à trouver dans un contrat de travail honnête, à temps partiel et à domicile peuvent être réunis
dans le contrat qui lie la mule au cybercriminel dont la mule n’a pas flairé, ou n’a pas voulu flairer l’état
peu recommandable.
4.3.4. LE DÉROULEMENT DE L’ARNAQUE
Il est demandé à une mule de lire souvent sa messagerie car elle sera avertie par cet outil que des
sommes d’argent vont être créditées régulièrement sur son compte bancaire, dont elle a communiqué les
coordonnées électroniques à son « employeur » au moment de la signature du "contrat". Chaque fois que
son compte est crédité, ici d’une somme de 52,20 euros, là de 43,72 euros, une autre fois de 28,50 euros,
jamais de très grosses sommes mais les transferts sont fréquents, la mule doit se rendre à sa banque et
tirer l’équivalent de la somme en liquide. Elle peut garder pour elle, c’est écrit sur son contrat, 8 à 10% de
la somme, au titre de sa commission.
Elle envoie le reste par mandat international, les frais de poste sont remboursés, vers une certaine
adresse à garder secrète, sous forme de mandats internationaux qui ne laissent pas de traces, ou par
Western Union qui n'est pas très regardant, quand il s'agit de petites sommes. Si la mule réside en
général dans la même région que sa victime, le cybercriminel lui réside ailleurs, le plus souvent loin des
mules et de ses victimes, dans un pays où la législation est peu contraignante concernant les transferts de
fonds.
La pompe à billets étant amorcée, de partout arrivent vers le cybercriminel, ou ses intermédiaires, des
mandats et les petits ruisseaux finissent par former de grandes rivières, voire même des océans.
Oui mais si une mule garde tout l’argent qui arrive sur son compte ?
Alors le cybercriminel déclare que cette mule n’honore pas « honnêtement » son contrat sur un forum
très lu par la société des cybercriminels. Dès lors la mule n’a plus aucune chance de continuer à bénéficier
de ces opérations lucratives et régulières. Alors pourquoi la mule se compromettrait-elle pour garder
quelques dizaines d’euros alors que bon an, mal an, l’argent devrait tomber régulièrement avec les 8à
10% des sommes en transit qu’elle conserve ? De plus, souvenez-vous, le cybercriminel possède les
coordonnées bancaires de ses mules qui peuvent bien se retrouver victimes d’un vidage électronique total
de leur compte bancaire !
Mais la victime ne s’aperçoit-elle pas que des sommes sont tirées de son compte pour alimenter des
comptes qu’elle ne connaît pas ? Oui parfois, alors elle s’en étonne auprès de son banquier, mais les
transactions sont régulières, la victime est bien la seule personne à pouvoir accéder à son compte,
puisqu’elle est la seule à connaître son mot de passe et ses coordonnées bancaires ! Elle n’aurait pas été
naïve au point de les communiquer à des tiers ?
Celui qui peut s’apercevoir à la longue que quelque chose ne tourne pas rond, c’est le banquier de la
mule. Celle-ci peut se trouver en peine d’expliquer l’origine des petites sommes qui arrivent régulièrement
sur son compte et qui précédent systématiquement, de sa part, des demandes de liquidités.
Quand le banquier réagit, la mule est frappée d’interdit bancaire, mais pour le cybercriminel, qui ne
fait ni dans la dentelle, ni dans les sentiments, quelle importance ? Une mule de perdue, dix de
retrouvées… Oui le métier de mule est éphémère, c’est là son moindre défaut.
Exemple de recrutement d’une mule (je suppose  )
De : xxxxxxxxxx
Envoyé : mercredi 19 décembre 2007 19:59
À : *************
Objet : For: ************
Un livre blanc
11 / 23
Good day!
A respectable "e-Trust"; company is seeking for employees in the USA.
If you are interested in finding a secure job, please, respond to us and we will be happy to give you more details.
At this moment we are enlarging our staff and you have a chance to become a member of our team and get additional
earnings spending 2 - 3 hours per week.
You don't need any special experience for this position.
What we offer:
Flexible program: two hours/week at your choice, daytime and evening time, mainly checking your e-mail. Work at
home: checking e-mail and going to the bank. Part time - no need to leave your current job - if you already work.
2-3 hours free during the week (mainly in the evening / non-business hours) for communication.
Important:
Adult age (must be over 18 years old)
U.S. work authorization
You don't need to sell or buy anything.
You don't need to make personal investments to start your work.
Requirements:
General internet knowledge including working with Microsoft Office (Word/Excel), familiarized with financial terms
(debit/credit, invoices etc.) familiarized with banking procedures (wire transfers, withdraws etc.) No diploma required.
Students accepted.
If You are interested in our job offer, please, reply to this letter.
Contact us: [email protected]
Finalement de très nombreuses petites sommes d’argent transitent régulièrement par l’Internet,
depuis les comptes des victimes dont le cybercriminel, ou ses intermédiaires, possèdent l’accès vers les
comptes bancaires des mules et de nombreux mandats internationaux sont émis par une cohorte de mules
de tous pays vers l’adresse postale du cybercriminel ou celles de ses intermédiaires.
Pas vu, pas pris, mais s’il est vu et si des plaintes sont déposées, quelles sont alors les lois qui
s’appliquent et celles-ci sont régies par la législation de quels pays ?
4.3.5. LE PHARMING OU L’ATTAQUE SUR LES DNS
Et si les internautes devenaient méfiants ? S’ils ne cliquaient plus sur des hyperliens proposés dans des
courriels venant soit disant de leur banque ? S’ils saisissaient directement l’adresse Web de leur compte
en ligne à partir de leur navigateur ? Alors les attaques par Phishing ne pourraient plus aboutir, et c’est là
qu’intervient une attaque plus technique : le pharming, ou l’empoisonnement des serveurs de noms.
Sur l’Internet, les êtres humains entrent des adresses comme www.mabanque.fr, les machines
comprennent des adresses internet comme 189.23.1.14. Entre ces deux façons d’interpréter les adresses,
il y a des machines qui convertissent, ce sont les DNS.
Une attaque ciblant le DNS que votre accès à l’Internet utilise, en passant par une de ses
vulnérabilités, pour que l'adresse www.mabanque.fr ne soit pas convertie en 189.23.1.14 mais en
192.17.7.28 qui est l’adresse internet du site Web du hacker et le tour est joué. Vous avez, à partir de
votre navigateur, entré la bonne adresse du site Web de votre banque mais vous êtes aiguillé sur le
mauvais site, celui du hacker, et ensuite vous commencez directement à subir le Phishing à partir de
l’étape 2. Tant que votre serveur DNS reste compromis, cette attaque est imparable.
Cette attaque dite en « DNS Poisonning » est difficilement identifiable, surtout quand on ignore ce
qu’est une table de correspondance et que de plus on n’y a pas accès.
Pour rendre cette arnaque inopérante, il faudrait non pas saisir l'adresse "nom de domaine" du site Web,
mais directement son adresse IP (sur 4 octets dans le cas de l'Ipv4).
4.3.6. LE VISHING
Vous vous méfiez ou êtes allergiques au Web et à l’informatique en général, et pour discuter avec
votre banque, vous préférez utiliser votre téléphone portable ? Alors a été conçue une variante du
Phishing et du Pharming qui consiste à vous envoyer un SMS vous alertant de téléphoner d’urgence à un
numéro de téléphone vert, suite à un gros problème que vous avez avec votre banque. Le numéro vert est
celui d’un centre d’appel qui simule celui de votre banque et qui vous pose les questions initiales que le
faux Web vous aurait posées au sujet de vos coordonnées bancaires pour permettre de vous identifier et
de cerner, par téléphone, où est le problème. On parle alors d’attaque en Vishing, la voix a remplacé la
Un livre blanc
12 / 23
data mais le résultat est le même : vous avez révélé, au cybercriminel, vos coordonnées bancaires
électroniques.
Ensuite, quelle que soit la ruse utilisée pour obtenir les coordonnées bancaires de la victime, qu’elle
n’aurait jamais du divulguer, c’est trop tard, le « business model » s’applique.
4.4. LE BOTNET
4.4.1. LA MARCHE DES ZOMBIES
Déjà plusieurs millions de PC dans le monde, connectés à l’Internet, peut-être parmi eux le vôtre, suite
à une infection virale, sont passés, à l’insu de leurs propriétaires, à l’état de zombies. Venu avec un virus
ou toute autre méthode, caché dans les profondeurs des fichiers du PC, un client IRC1 reste discrètement
actif. Ce logiciel est à l'écoute de son maître, le serveur IRC. Quand le serveur IRC situé sur le poste du
hacker lance une requête sur le net, immédiatement tous les clients IRC à l’écoute exécutent le service
demandé qui peut être par exemple de déclencher une attaque en déni de service distribué vers une cible
qu’on veut faire tomber.
Lorsque, contaminés par un code malicieux, des PC se réveillent, c’est tout un monde des ténèbres qui
s’active sur le Net et ces PC, devenus zombies, sortent de leur léthargie pour envahir la toile, dévorer les
bandes passantes des réseaux et laisser sur les messageries des honnêtes gens de bien étranges
missives.
Percevez-vous dans la nuit cette marche des zombies qui approchent de votre poste de travail ?
4.4.2. MAIS QUI SONT CES SPAMMEURS ?
D’où viennent ces masses de SPAM que vous recevez sans cesse et qui saturent vos boîtes aux
lettres ?
L’examen des e-mails des expéditeurs montre que ce sont rarement des mêmes adresses que partent
ces messages et les adresses semblent être de vraies adresses électroniques. Et c’est le cas ! Ces
expéditeurs existent bel et bien dans le monde réel et seraient très étonnés si vous leur demandez
d’arrêter de vous envoyer des SPAM car ils n’ont pas conscience d’être des spammeurs et pourtant ils le
sont.
Leurs postes de travail ne sont plus exclusivement sous leur contrôle, mais sont aussi sous le contrôle
d’un personnage occulte, tapi dans un endroit obscur de l’Internet. Ce personnage commande à distance
une armée de PC, et parmi eux peut-être le vôtre.
Le vôtre ? Mais alors vous envoyez aussi des SPAM ? Oui, en effet, vous ne le savez pas mais vous
envoyez des e-mails pour promouvoir telle marque de pilules de Viagra, des montres de contrefaçon, des
diplômes usurpés, des actions à bas prix et dont le cours monte rapidement et encore d’autres produits
connus pour être des arnaques. Peut-être un jour, une de vos connaissances, destinataire d’un e-mail qui
vient de vous, s’en étonnera. Peut-être même recevrez vous un SPAM de vous-même ! Et vous spammez
aussi par votre Smartphone.
Des enquêtes récentes indiquent que près de 95% des SPAM sont envoyés par des ordinateurs
« zombies » qui exécutent, à l’insu de leur propriétaire, des ordres venus d’ailleurs. La France est bien
placée au rang des pays qui émettent des SPAM, les États-Unis occupent la première place, pourtant, ni
les Français ni les Américains ne sont connus pour avoir comme passe temps l’envoi de SPAM. C’est bien
dans ces pays que l’on compte le plus d’ordinateurs devenus des zombies.
4.4.3. IL Y A UN ZOMBIE DANS MA SACOCHE !
Un ordinateur devient zombie après contamination par un virus ou un ver spécialisé appelé le bot. Ce
code malicieux arrive par la voie classique empruntée par les virus : la messagerie, le Web, le Peer to
Peer… Les vers qui prolifèrent causent l’infection de millions de victimes. Ce programme malicieux installe
sur le PC cible un service client qui ouvre un canal, souvent un canal IRC (Internet Relay Chat), par lequel
le PC contaminé se met à l’écoute sur le Net, d’ordres qui proviennent d’un serveur IRC dont l’adresse a
été communiquée à la victime au cours de l’infection. Ce serveur peut contrôler des centaines, des
milliers, des millions de PC contaminés par un bot. On appelle botnet, l’ensemble de ces PC zombies qui
agissent en réseaux virtuels, aux ordres d’un maître.
1 Internet Relay Chat
Un livre blanc
13 / 23
Le bot ne détruit pas les données du PC et n’altère pas le fonctionnement des services, mais en utilise
les ressources. Le propriétaire du PC ne perçoit aucune anomalie si ce n’est parfois une petite ou une
grande lenteur sur le fonctionnement habituel.
La question qui se pose aujourd’hui n’est pas de savoir si vous êtes contaminés mais combien de bots
se battent en duel pour prendre le contrôle de vos postes de travail.
4.4.4. LE MAÎTRE DU BOTNET
Supervisant les PC contaminés règne, tout puissant et très écouté, le maître du botnet. Si le réseau
virtuel à sa disposition se compose de cent mille PC devenus zombies, une activation par le maître de ses
zombies, parmi lesquels se trouve peut-être votre poste de travail, qui leur demande d’envoyer chacun dix
e-mails à une liste communiquée, différente pour chaque zombie, et c’est un million de SPAM qui partent
sur l’Internet, alimentant la prolifération des milliards de SPAM quotidiens.
Le maître du botnet qui enverrait directement de son poste de travail un million d'e-mails, passerait
immanquablement pour un spammeur. Dans ce modèle, ce sont des dizaines de milliers de PC qui
envoient chacun dix mails, quoi de plus naturel et qui pourrait s’en inquiéter ?
Bien sûr il peut sembler facile de remonter jusqu’au poste de travail qui active les zombies composant
un large botnet. C’est pourquoi le poste de travail du maître du botnet change souvent d’adresse.
L’adresse repérée est alors celle d’un serveur qui n’existe plus. Mais alors le serveur parti sans laisser
d’adresse perd-il automatiquement la possibilité d’être entendu s’il n’est plus à l’endroit que les zombies
écoutent ? Non car avant de partir pour s‘établir sous d’autres cieux momentanément plus sereins, avec
une adresse provisoire pour quelques jours ou quelques heures, le serveur demande à chaque PC zombie
de se mettre à jour en téléchargeant la nouvelle adresse qu’il devra désormais écouter après le départ du
maître.
Pas vu, pas pris mais quand bien même il serait repéré, qui porterait plainte ? Et contre qui et quelles
lois s’appliqueraient ? Le maître du botnet n’agit bien sûr pas sur le sol de pays où la législation pourrait
l’inquiéter. Tout de même, les grands constructeurs, éditeurs de logiciels et fournisseurs de services, tels
Microsoft, s'associent avec les polices nationales pour faire tomber les botnets, et rencontrent un succès
certains. Le nombre de SPAMS quotidiens a diminué de manière sensible.
4.4.5. LE SPAM ET LE DÉNI DE SERVICE
Le SPAM n’est qu’un des services inavouables que le botnet permet. Le déni de service est une autre
attaque pratiquée par les zombies à la demande du maître. Qui peut envoyer des mails peut aussi
consulter un Web, alors quand le maître du botnet ordonne à ses cent mille PC zombies de solliciter,
chacun cent fois, le Web institutionnel de votre société… Félicitation pour le succès de votre vitrine, elle
recevra dix millions de sollicitations en un temps record mais, malheureusement pour vos vrais clients,
votre Web, incapable d’absorber une telle charge sera vite rendu indisponible par saturation de sa bande
passante.
Et cette attaque en déni de service se produit au pire moment, celui où vos affaires exigeront que
votre Web soit en parfait état de fonctionnement et qu’il réponde rapidement aux sollicitations, comme
c’est le cas quand vous sortez un nouveau produit ou un nouveau service en ligne.
4.4.6. LE COMMANDITAIRE
Un point important a été jusque là laissé de côté. Pourquoi le maître du botnet commet-il ces actions
néfastes qui de plus, dans certains pays, constituent parfois un délit pénal, sanctionné par exemple en
France par les lois Godfrain, articles 323-1 à 323-3 du code pénal ? Il faut savoir que les cybercriminels
aujourd’hui n’agissent plus, en général, pour la gloire ou pour la délicieuse poussée d’adrénaline ressentie
suite à une attaque destructive qui réussit. Aujourd’hui c’est le business qui motive les attaques et c’est
bien pour gagner un argent facile que le maître du botnet a conquis son réseau de zombies et l’exploite.
Là intervient le commanditaire, personnage le moins recommandable de ce modèle économique. Le
maître du botnet n’est qu’un exécutant, et si je puis me permettre en me plaçant du côté obscur de la
force, un commerçant qui offre un service. Possédant, sous sa cyber-autorité un nombre impressionnant
de postes de travail prêts à lui obéir, le maître du botnet va proposer aux enchères l’utilisation de son
réseau de PC infectés en passant par des moyens occultes comme des forums spécialisés ou le bouche à
oreilles. Sa notoriété s’acquiert par le nombre de PC qui composent son botnet et par l’importance des
sites attaqués.
Attaquer en déni de services une grande banque durant telle plage horaire en activant tel nombre
PC zombies, ce sera fait moyennant un tarif à discuter. Pour attaquer votre concurrent en déni
services, ce sera un autre tarif dépendant de sa notoriété. Pour l’envoi de quelques millions de SPAM,
sera encore un autre prix, de toute façon moins élevé que si les messages partaient par la poste. La loi
l’offre et de la demande joue aussi pour le cyber criminel.
Un livre blanc
de
de
ce
de
14 / 23
Nous voici revenus au temps des assignats qui remplissaient de gens, peut-être honnêtes, les cachots
de la Bastille.
4.4.7. LES CONTRE-MESURES POUR UN MONDE SANS ZOMBIES
Des contre-mesures peuvent être mises en œuvre mais sont-elles efficaces ? Tout dépend, comme
c’est souvent les cas en matière de défense, si c’est l’attaquant ou le défenseur qui prend une longueur
d’avance et du temps de réaction.
Le modèle du botnet repose sur les communications entre maître et zombies en utilisant un canal IRC.
Il suffirait de bloquer ce canal sur le PC infecté par un firewall personnel bien configuré. Mais les botnets
passent de plus en plus aujourd’hui par le port 80 qui est celui du Web et utilisent le protocole du Web.
Vous ne pouvez bloquer le port 80 sinon, vous n’auriez plus d’accès possible à la toile.
Le PC devient zombie quand il est contaminé par un bot, qui n’est en fait qu’un virus ou un ver
particulier. Il suffit donc d’éradiquer ce code malfaisant par un anti-virus efficace, mais les bots
aujourd’hui ont atteint un haut niveau de sophistication et sont d’autant plus difficiles à déceler qu’ils sont
souvent accompagnés d’un rootkit. Le rootkit est un logiciel qui modifie en profondeur des parties du
système de fichier du poste infecté, de manière à ce que ni le programme qu'il rend furtif (le ver), ni lui,
ne peuvent être repérés par les moyens classiques de défense.
En observant un PC contaminé durant sa phase d’activation, peut-on essayer de remonter au maître
du botnet ? En fait chaque PC zombie n’est pas systématiquement activé lors d’une attaque. Le maître
d’un botnet de plusieurs centaines de milliers de PC zombies peut en activer une dizaine de milliers pour
telle attaque, une autre dizaine de milliers pour telle autre. Ceci explique qu’il peut se passer du temps
entre deux attaques qu’on demande à un PC de perpétrer.
Le personnage à coincer, judiciairement parlant, devrait être le commanditaire qui, moyennant
finances, profite de l’existence des botnets. Celui-ci, contrairement au maître du botnet ne réside pas, en
général, dans un pays où les lois anti cybercriminalité n’existent qu’en théorie. Mais là encore, si toutes les
précautions sont prises, il est difficile de réunir les preuves des pratiques malveillantes qui l’accusent.
La cybercriminalité recherche des gains moins risqués sur le monde virtuel que ceux des attaques et
des arnaques faites dans le monde réel, et les botnets sont un parfait exemple de cette nouvelle tendance.
Le botnet utilisé comme générateur de SPAM et de déni de services
Certains botnets se composeraient de plusieurs dizaines de milliers de PC zombies prêts à lancer des
attaques. De nombreux SPAM qui saturent vos boîtes aux lettres proviennent aujourd’hui de réseaux de
botnets, et votre PC est peut-être un relais involontaire de cette nouvelle cybercriminalité.
Un livre blanc
15 / 23
5.
LES ATTAQUES QUI PORTENT SUR VOTRE CRÉDULITÉ
5.1. LE HOAX
Le hoax ou canular joue sur la naïveté qui réside en chacun d’entre nous, même chez les plus
méfiants. On peut vous mettre en garde contre un virus particulièrement dangereux et on vous indique
comment l’éradiquer en supprimant la cause : un programme résidant sur votre disque. Mais ce
programme est en fait un programme système parfaitement honnête et de plus nécessaire pour la bonne
marche de votre système. Quand vous l’avez effacé, vous n’avez plus qu’à tout réinstaller.
Un autre exemple de hoax vous prend par les sentiments. La petite Noélie, 9 ans est atteinte de
leucémie et a besoin d’une greffe de moelle osseuse avant la fin du mois. Sauvez-la, utilisez vos listes de
messagerie pour trouver le donneur avec le bon groupe sanguin introuvable. Que cette chaîne de
solidarité est belle et que la demande est louable ! Si ce n’est que Noélie a 9 ans depuis plus de quinze
ans et n’a jamais existé. Vous avez ainsi fait un don à cette association de bienfaisance, mais votre argent
tombe directement dans la poche de l'arnaqueur. Vous pensiez bien agir, vous vous fait arnaqué.
On peut aussi ruiner un marché honnête en signalant que dans des cinémas de telle ville on a trouvé
sur les sièges des aiguilles infectées par le virus du sida, ou alors vous raconter l’histoire de la banane
tueuse, contaminée par une bactérie ravageuse, ou encore vous avertir que le chat de votre voisine a
contracté le H5N1.
Un site, fort bien fait, répertorie les hoax www.hoaxbuster.com et propose même un moteur de
recherche de hoax par mots clés. A consulter impérativement avant de commettre une bêtise.
5.2. LA FRAUDE NIGÉRIANE
Qu’elle vienne par courriel du Nigeria, des Philippines ou d’ailleurs, avec la fraude nigériane ou
carambouille, la chasse aux pigeons est ouverte. Le pigeon, c’est vous, et l’agresseur est toujours
quelqu’un en grand danger dans son pays d’origine, mais détenteur d’une énorme somme d’argent, qui
vous demande de l’aider à faire transférer cette somme vers un pays plus calme, en passant par votre
compte en banque, et moyennant bien sûr pour vous une commission conséquente.
Le business Model est, vous vous en doutez, non pas de vous offrir de l’argent mais de vous en
soutirer en exploitant par exemple les coordonnées bancaires que vous aurez transmises.
5.2.1. DES SOUCIS ET UNE URGENCE
Lorsque les cavaliers de l’apocalypse chevauchent les ténèbres, laissant autour d’eux un océan de
misère, de carnage et d’horreurs, au milieu des champs dévastés, se trouve toujours une âme grise qui
tire profit de ces situations tragiques.
Dans un pays en proie aux tourments de la guerre, de la famine, de la terreur, la veuve éplorée du
ministre des finances décapité, ou le fils préféré d’un riche marchant dépecé, découvre dans les comptes
du défunt un magot caché. Mais comment profiter du trésor dans cette situation critique ?
C’est là que vous intervenez. Vous qui avez la chance de vivre dans un pays libre et stable où la loi
protège le citoyen et lui permet d’élever sa famille dans un monde sans dangers ; vous qui êtes
honorablement connu pour être un travailleur sérieux, un père responsable, un gars bien sous tous
rapports, on peut vous faire confiance.
Ce trésor trouvé au fond de la tourmente, si on imaginait un moyen de le transférer provisoirement sur
votre compte, vous rendriez un immense service à cette personne qui survit dans le plus profond
dénuement et vous mériteriez un dédommagement pour votre gentillesse : 20% de cette somme sur un
montant de plusieurs millions d’euros !!!
Vous êtes d’accord certainement sur deux points : d’abord que vous êtes quelqu’un de bien, ensuite
que dans les pays exotiques en proie aux troubles dont nous abreuvent tous les soirs les journaux
télévisés, l’instabilité côtoie la corruption généralisée. De plus, la somme que vous pourrez gagner juste
en rendant service, est précisément celle dont vous avez besoin pour satisfaire votre vœu le plus cher,
achat immobilier, voiture de luxe, voyage autour du monde… et puis il est urgent d’aider cette personne
en danger.
5.2.2. NOM DE CODE SCAM 4-1-9
A l’origine, ces appels au secours proviennent du Nigéria, pays qui a subi de plein fouet la récession
des cours du pétrole, dans les années 80. Certains « financiers » se sont alors reconvertis dans la fraude,
nouveau filon pour gagner l’argent qui ne coulait plus naturellement. SCAM signifie « arnaque » en anglais
et « 419 » est l’article du code pénal nigérien qui punit la fraude qui gangrène le pays.
Un livre blanc
16 / 23
Cet appel au secours, appelé communément « fraude nigériane », qui aujourd’hui vous arrive plutôt
par e-mail que par courrier postal, car il est plus rentable et plus facile d’atteindre des centaines de
millions de correspondants par les moyens électroniques, a pris par dérision le nom de code « SCAM
419 ». Vous l’avez compris, il s’agit bien d’une arnaque et l’argent qu’on vous fait miroiter est purement
fictif.
Le SCAM 419 représente aujourd’hui un pourcentage non négligeable du total des SPAM émis, la
plupart en utilisant des botnets. Des centaines de millions de destinataires reçoivent ces messages et
parmi eux toute une volée de pigeons va répondre et se faire plumer.
5.2.3. D’ABORD VOTRE IDENTITÉ À PRODUIRE
La fraude nigériane n’a pas pour but de vous faire gagner des millions de dollars, mais plutôt de vous
soutirer des milliers d’euros. Supposons que vous preniez contact avec votre correspondant dans la
détresse, pour lui rendre service, et aussi un peu, avouez-le, pour gagner des millions.
Le correspondant va vous demander de lui envoyer, de préférence par Fax, votre état civil (la
photocopie des pages de garde de votre passeport fera l’affaire). Des feuilles à en tête de votre société,
avec des champs laissés en blanc, seraient aussi utiles (pour un futur SCAM papier vers d’autres pigeons
potentiels). Vous êtes un gars bien mais vous devez prouver que vous êtes bien celui à qui on pense.
Il vous demande d’envoyer ces documents par Fax plutôt que par e-mail. Il ne vous le dira pas mais il
ne veut pas chercher votre réponse dans sa boîte e-mail encombrée par le courrier intensif qui lui arrive.
Ceux qui pratiquent le SPAM connaissent sans doute l’ampleur des retours engendrés par de grandes
quantités de e-mails envoyés à l’aveuglette.
Ces renseignements d’état civil ne sont pas grand chose et vous n’avez d’ailleurs rien à cacher. A ce
stade vous êtes déjà un pigeon, mais vous ne le savez pas encore. Ces renseignements seront précieux au
cybercriminel qui utilisera les divers éléments d’identité fournis pour amorcer d’autres tentatives de
fraudes et les vendra aux acheteurs de listes d’adresses e-mail qualifiées. Vous êtes coopératif, c’est bien.
Vous êtes cupide, c’est mal, et en plus naïf… et ça va vous coûter cher.
5.2.4. ENSUITE LE COFFRE À LOUER ET DES POTS DE VIN À DISTRIBUER
Jusque là on ne vous a pas demandé vos coordonnées bancaires pour transférer le magot. Vous êtes
un peu méfiant, bien sûr mais pas encore inquiet. Il y a un petit problème : l’argent est immobilisé dans le
coffre d’une banque qui est loué 50 euros par semaine et votre correspondant n’a plus de quoi régler la
location. La somme devrait être débloquée avant deux semaines, alors si vous pouviez envoyer 100 euros,
cela garantira que la somme sera toujours disponible au moment où le transfert se fera. Qu’est-ce
qu’investir 100 euros pour qui veut gagner des millions ?
Il faudra aussi distribuer un pot de vin au directeur de la banque, bienveillant jusqu’à présent, qui
accepte de fermer les yeux sur cette transaction pour le moins insolite. 400 euros suffiront car dans ce
pays, c’est une grosse somme. On ne vous a toujours pas demandé vos coordonnées bancaires et vous
envoyez ces 400 euros par mandat, car vous savez investir !
Comme vous êtes décidemment quelqu’un de bien, votre correspondant veut vous prouver que lui
aussi est un honnête homme. Il va vous envoyer tous les documents qui vont vous prouver l’existence de
cette très grosse somme et vous fournir toutes les garanties que vous allez bientôt être millionnaire. Les
photocopies, les timbres fiscaux, les taxes pour obtenir ces documents coûtent cher, environ 1000 euros,
mais ce sera la preuve de sa bonne foi et ainsi vous saurez que vous êtes déjà, quasi officiellement, un
millionnaire. Ça vaut le coup d’investir cette somme qui est en quelque sorte le prix de l’assurance d’être
un nouveau riche, et 1000 euros pour vous ne représentent désormais plus grand chose.
5.2.5. ET PUIS LES COORDONNÉES BANCAIRES À FOURNIR
Vous avez reçu les papiers officiels qui établissent que vous allez être dépositaire de la grosse somme
dont 20% sera votre commission. Peut-être à ce stade là aviez-vous même oublié que c’est seulement
votre commission que vous allez garder, pas la totalité de la somme transférée ? Tout est prêt pour la
transaction, mais sur quel compte bancaire votre correspondant doit-il opérer ? Inutile de dire que votre
discrétion absolue est requise pour ne pas faire capoter l’affaire et mettre en danger la vie de votre
correspondant. Le mieux est de lui fournir tous les renseignements pour qu’il opère directement lui-même
avec la complicité du directeur de la banque locale et en toute discrétion, la transaction sur votre compte.
Comme vous avez été si coopératif, ce n’est pas 20% mais 22% de la somme que vous pourrez garder.
A ce stade là, votre correspondant est devenu votre ami. Un ami que vous allez sauver et qui va faire
votre fortune. Alors login, mot de passe et tout ce qu’il vous demande pour qu’il opère la transaction vers
votre compte, vite vous les lui envoyez.
Un ami ne peut trahir votre confiance. Penser qu’il pourrait profiter des renseignements que vous lui
avez fournis sur votre compte en ligne pour le vider ? Autant penser que des martiens vont atterrir ce soir
sur votre pelouse et que le Phishing n’est pas que pour les autres !
Un livre blanc
17 / 23
5.2.6. ET FINALEMENT DE RÉELS SOUCIS ET BIEN DES TOURMENTS QUAND ÉCLATE LA BULLE
Nous y voilà, la somme est disponible mais se trouve toujours bloquée dans le pays. Plutôt que
d’effectuer la transaction par e-mail, car certes les progrès de l’authentification forte et du chiffrement ont
rendu les transactions très sécurisées, mais cette transaction là qui sort de l’ordinaire, sera encore plus
sûre et plus discrète si vous allez chercher vous-même cette grosse somme sur place, avec la complicité
des douaniers. Leur complicité est garantie si vous envoyez tout de suite 3000 euros qui leur seront remis
avant votre arrivée. Et avec ces 3000 euros, ne vous inquiétez pas pour le visa d’entrée dans le pays, il ne
vous sera pas demandé et on viendra vous chercher à l’aéroport. Décidemment il y a de par le monde des
pays bien corrompus ! Enfin si on peut aider son prochain et en plus gagner des millions, tout le monde y
trouvera son compte, douaniers compris… et on ne lèse personne bien au contraire.
Et vous voilà débarqué sans visa dans ce pays inconnu et vous voilà passé du cybermonde dans le
monde bien réel. Oui on est venu vous chercher à l’aéroport, pas pour vous remettre la somme mais pour
vous plumer de tout ce que vous avez emmené. La bulle de béatitude dans laquelle vous étiez entré vient
d’éclater et vous n’êtes pas content ? Allez vous plaindre et n’oubliez pas que vous êtes entré sans visa
sur ce territoire où l’on assassine…
D’ailleurs vous ne repartez pas, vous êtes retenu en otage et c’est à votre famille ou à vos proches de
payer une forte rançon pour votre libération. Ensuite comme vous êtes moins dangereux mort que vivant,
plutôt que de vous relâcher…
5.2.7. QUELQUES CHIFFRES QUI FONT FRÉMIR
Avec le SCAM 419 je vous ai accompagné jusqu’aux portes de l’enfer en brossant les contours d’un cas
extrême. Tous les pigeons qui répondront à cette escroquerie en bande organisée n’en mourront pas mais
tous seront atteints dans leur fierté et dans leur porte-monnaie. Alors mieux vaut ne pas donner suite à
un e-mail qui laisse apparaître une tentative de fraude nigériane.
Et pourtant, cette fraude est une arnaque très lucrative et fort répandue. Elle rapporterait par an plus
de trois milliards de dollars et plus de 200 millions d’euros pour les arnaques qui concernent des Français.
Plusieurs personnes ont même payé de leur vie le fait d’avoir été piégées. Inversement, en février 2003 à
Prague, un consul nigérian, innocent, a été tué par vengeance par un Tchèque qui, suite à un SCAM 419,
s’était retrouvé sans provisions.
5.2.8. QUE PEUT-ON Y FAIRE ?
Le SCAM 419 est avant tout un SPAM. Il convient de le traiter comme tous les autres SPAM qui
envahissent votre messagerie. Soit vous êtes aidé par un filtre anti spam qui vous le signale comme étant
un message indésirable, soit c’est vous le filtre anti spam et vous agissez comme il convient : vous le
supprimez sans vous donner la peine de le lire jusqu’au bout.
Ne donnez jamais sur votre identité plus de renseignements que nécessaire, et seulement à ceux que
vous jugez en avoir besoin, et méfiez-vous des vols d’identité pratiqués automatiquement par les
programmes potentiellement indésirables que vous chargez à votre insu à partir de la toile.
Si vous avez du temps et de l’humour, répondez au prochain SCAM par la tactique du pot de miel
(appelé « SCAM Baiting » dans ce cas). Pas à partir de votre vraie adresse e-mail, mais à partir d’une
adresse créée pour l’occasion. Rassurez-vous, parmi les centaines de milliers d’e-mails qu’il émet, votre
correspondant ne fera pas la relation entre votre adresse et celles à qui il a envoyé son appel au secours.
Bien évidemment ne donnez aucun renseignement réel sur vous et faites patienter votre
correspondant entre vos e-mails. Lui est pressé de vous plumer mais il n’y a aucune urgence pour vous.
L’avantage est donc dans votre camp. Si beaucoup engagent la conversation avec ces cybercriminels, ça
augmentera le volume des e-mails inutiles mais ça rendra cette arnaque difficilement praticable.
5.2.9. AIDÉE-MOI JE VOUS EN CONJURE …
Voici pour terminer un e-mail délicieux et authentique, que j’ai un peu raccourci mais conservé dans
son intégrité et son orthographe pas toujours académique. Vous reconnaitrez tous les ingrédients du
SCAM 419 qui maintenant n’ont plus de secret pour vous. Il est écrit en Français car on assiste à une
migration de ces arnaqueurs vers les pays de l’Afrique francophone et bientôt sans doute vers l’Amérique
du sud pour les SCAM 419 qui seront écrits en espagnol.
VOTRE HONNEUR,
Je vous prie de bien vouloir m'excuser pour cette intrusion qui peut paraître surprenante à première
vue d'autant qu'il n'existe aucune relation entre nous. Je voudrais avec votre accord vous présenter ma
situation et vous proposer une affaire qui pourrait vous intéresser.
Je me nomme Mlle KABORE Alizeta D'origine Burkinabeé née et vivante en Côte D'ivoire, j'ai 20 ans et
je suis la fille aînée, des 2 enfants (dont mon Petit-Frère 11 ans Malick ) de mon Père Mr KABORE
Un livre blanc
18 / 23
PAGWENDE, qui était un négociant et producteur très riche en café et cacao et puissant, Assassiné lors
des derniers évènements survenu à DUEKOUE (dans la guerre en Côte d'ivoire) parce que soupçonné de
financer la rébellion.
Après la mort de mon père, ma mère détenait une Attestation de Solde Bloquée et Sécuriser à mon
nom dans une Compagnie de Sécurité de la place d'une valeur de (2.700.000. Euros) Deux Millions Sept
Cents Milles EUROS.
Ma mère ne pouvant plus supporter le décès de son mari (feu mon père) mourut 4 mois plus tard
d'une hypertension artérielle dans une clinique privé à Abidjan.
Ainsi 2 jours avant sa mort, elle m'informa de tous les documents relatifs justifiant l'existence d'un
compte bloqué d'un montant de : (2.700.000 EUROS) Deux Millions Sept Cent Milles EUROS que mon père
nous à laisser comme héritage sous forme d'effets de famille contenu dans une malle, dont LES ACTES
NOTARIALES, sont chez un NOTAIRE et elle me confia le NOM ET LE CABINET, et elle me conseilla
sagement d'ouvrir un compte fiable à l'étranger dans lequel ces fonds doivent être transférés selon le
testament de mon défunt Père.
Elle me recommanda aussi de chercher une personne à l'étranger qui pourrait honnêtement me faire
bénéficier de son assistance pour sauver ma vie et assurer mon existence. Je vous donnerai 15% sur mes
fonds pour l'aide que vous voudriez bien m'apporter.
Ce que je voudrais pour mon petit frère c'est de lui trouver une ÉCOLE DE FOOTBALL une fois là bas. Il
joue vraiment très bien.
C'est pourquoi à la recherche de quelqu'un, je suis tombée sur vous et je vous écris, pour que vous
m'apportiez votre aide.
Du fond du cœur, Je vous en conjure si pouvez, aidez nous je vous en prie et nous vous en serons Gré.
S.V.P veuillez garder la discrétion à cause des problèmes sociaux politique que nous vivons en ce
moment en Côte d'Ivoire.
Je compte sur votre bonne foi et votre honnêteté pour que mon héritage soit transféré le plus vite
possible. Personne à part vous, le notaire et moi ne connaît l'existence de ces fonds. S'il vous plaît,
contactez moi urgemment dès réception de ce courrier et surtout veuillez gardez la discrétion, la
confidentialité et l'honnêteté.
Dans l'espoir de vous relire et d'une suite favorable.
Aidée-moi je vous en conjure.
Mlle KABORE ALIZETA et KARIM
[email protected]
Tant qu’il y aura sur terre des gens cupides ou naïfs au point de penser que l’Internet ouvre un monde
où la réalité ne s’applique plus, des papiers du genre de celui-ci pourront ne pas être inutiles.
6.
LE PUMP AND DUMP
Les moyens évoqués ci-dessus, mis en œuvre conjointement, peuvent donner lieu à une attaque
particulièrement virulente qui est le « Pump and Dump ».
Le Pump and Dump est une arnaque qui s'appuie sur les mécanismes boursiers, l'Internet, la
messagerie et la possibilité d'effectuer des achats en ligne. Il utilise le spam et les botnets. Comme pour
toutes les arnaques, le maillon faible qui permet à cette attaque de réussir est la crédulité de ses victimes.
6.1. UNE SOCIÉTÉ COTÉE ET QUI MÉRITE D'ÊTRE CONNUE
L'arnaqueur choisit une société cotée sur le marché. Cette société existe déjà ou a été créée pour
l'occasion. Il achète une bonne partie des actions. La société étant en général petite et inconnue, il est
difficile de vérifier le montant de ses avoirs, sa santé financière et de connaître exactement quels sont ses
produits ou ses services. Il est par contre facile de manipuler le cours de cette action. Ses actions sont
cotées sur un marché appelé l’OTC « Over The Counter » ou encore le « Pink Sheet », moins connu que le
Nasdaq, le NYSE ou l’Euronext mais qui s’en soucie ? Cette petite société, souvent dormante, n'étant pas
connue, ses actions ne sont pas recherchées donc elles ne valent pas grand chose. Pour que la société
prenne de la valeur, il faut que ses actions obtiennent les faveurs du marché et soient sous le feu de la
rampe. Il faut donc en faire la promotion. C'est ici que l'Internet et en particulier le spam et les botnets
vont aider l'arnaque à prendre forme.
Vous recevez par messagerie une proposition d'achat d’une action miracle, une action à très bas prix,
mettons 12 cents par action. L'action est toujours cotée au départ à quelques cents ou à quelques
Un livre blanc
19 / 23
centimes d'euros d'où le nom de « Microcap Stock fraud » pour cette arnaque plus connue sous le
qualificatif de « Pump and Dump » qui traduit mieux son mécanisme.
6.2. LE PUMP (LE GONFLAGE ARTIFICIEL)
Le cours de cette action, vous promet l’e-mail, va monter et même présenter une ascension
fulgurante, du rarement vu dans le monde de la bourse ! Des promoteurs et même des analystes
financiers, vous informe par e-mail, qu'ils prévoient qu'elle va atteindre les 14 cents le lendemain et sans
doute dépasser les 50 cents à la fin de la semaine. La semaine suivante, l'action dépassera les 1,2 $ et
atteindra un record de 3 $ avant la fin de la quinzaine puis s'élèvera encore.
Vous n'êtes pas convaincu par cette société car vous vous méfiez des transactions par l'Internet, avec
tout ce qu'on raconte sur la cybercriminalité ? Vous avez raison ! Mais le lendemain, vous recevez un
nouvel e-mail qui vous assure que le cours de cette action a atteint les 16 cents et le surlendemain, un
autre e-mail vous annonce qu'elle est à 28 cents. Vous pouvez vérifier par le Web, sur les systèmes de
cotation électroniques des marchés où cette action est cotée, c'est vrai ! L'action est réelle et son cours
est bien celui qui est annoncé.
Tiendriez-vous le bon filon pour rapidement vous enrichir sans prendre un risque excessif ? Non, vous
êtes toujours méfiant mais jour après jour, vous constatez que cette action grimpe à la lumière des emails quotidiens que vous recevez et des recherches sur le Web que vous faites. Vous voilà rassuré, mais
un peu attristé d’avoir tant tardé à exploiter ce filon.
Quel dommage de ne pas en avoir acheté un gros volume alors que cette action était cotée à 12 cents,
maintenant qu'elle dépasse les 2 $ ! D'autant que la parité euro / dollar vous est favorable alors
n'attendez plus, vous en commandez 300 au cours du jour. Les jours suivants vous suivez avec
gourmandise le cours de cette action qui monte, qui monte, qui monte. Fin financier que vous êtes et
acquéreur impulsif qui sent l'évolution du marché financier, vous en achetez encore et encore.
6.3. POMPEZ, POMPEZ, IL EN RESTERA TOUJOURS QUELQUE CHOSE…
Mais non, vous n'êtes pas seul sur l'Internet à recevoir ces alertes pour l'achat de cette action
alléchante ! Des dizaines de millions d'internautes ont reçu les mêmes messages que vous et nombre
d'entre eux ont acheté comme vous une quantité plus ou moins importante de cette action vraiment
fabuleuse dont l'ascension peut être effectivement vérifiée, et même être inscrite au livre des records. Qui
se soucie de la valeur réelle de la petite société ? Sa valeur n’est-elle pas celle de son action qui monte ?
Ainsi est fait le monde capitaliste que vous avez si bien perçu !
Mais si tant d'internautes ont reçu les mêmes messages, ne serait-ce pas du spam ? Et donc ces
messages ne devraient-ils pas être bloqués par les filtres mis en place par les fournisseurs d'accès, par les
entreprises, peut-être par vous-même sur votre poste de travail ? Apparemment ils ne le sont pas puisque
vous recevez ces e-mails.
Ces e-mails sont des spams, en effet, mais dans le combat entre les spammeurs et les filtres
antispams, toute l'ingéniosité des arnaqueurs est mise en œuvre. De spams initiaux sous forme de textes,
facilement identifiables par les filtres antispams et donc bloqués, le texte est maintenant placé dans une
image gif ou jpeg qui n'a bien entendu rien à craindre des logiciels d'analyse de texte. Mais une image
isolée constituant un e-mail, et de taille fixe, envoyée à des millions d'exemplaires ne peut-elle pas être
assimilée à un spam, la signature étant sa taille ? Oui, et c'est pourquoi les images n'ont pas une taille
fixe. Chaque e-mail présente une taille différente, calculée aléatoirement, grâce notamment à des micropoints disposés dans l'image, que vous ne voyez pas mais qui conditionnent sa taille, ou encore on joue
sur la bordure de l'image qui n'est jamais tout à fait la même d'une image à l'autre. L’important est que
ces images portent toutes le même texte et c'est ce que vous lisez, sans même remarquer que le texte est
en fait une image.
Mais un e-mail constitué d'une image seule, quelle que soit la taille de cet e-mail, ne peut-il pas être
assimilé à un spam ? Sans doute, c'est pourquoi le spammeur va parfois faire suivre son image, d'un texte
aléatoire qui est souvent un poème ou n'a aucun sens mais peut importe puisque vous lirez le texte
contenu dans l'image, pas le texte qui la suit. Et si les filtres antispams se mettent à analyser l'image pour
détecter si elle contient un texte en identifiant des caractères ? Et bien le spammeur va incliner le texte
dans l'image, et le filtre ne reconnaitra pas les caractères. Et l'on voit aujourd'hui apparaître des spams
contenant des fichiers MPEG où un analyste vous raconte la progression du cours des actions. Après le
texte pur, après le texte contenu dans une image, voici le son et parfois on croit mieux ce qu'on entend
que ce qu'on voit. Imaginez ce que devient la taille des spams ! Et il est à prévoir qu'après la messagerie,
ce genre de spams va envahir vos Smartphones.
Un livre blanc
20 / 23
6.4. DE QUI RECEVEZ-VOUS CES E-MAILS… ET POURQUOI VOUS ?
Si on ne peut se fier au filtre antispam pour bloquer le message, au moins un message envoyé à des
millions d'exemplaires, à partir d'une même adresse e-mail, sera évidemment reconnu comme étant un
spam. L'émetteur ne va t’il pas se retrouver dans des listes noires de spammeurs ? Oui, sûrement, et c'est
pourquoi l'arnaqueur n'envoie pas ses e-mails à partir de son adresse mais utilise un ou plusieurs réseaux
de milliers de PC, devenus « zombies » suite à une contamination par un logiciel malfaisant, un « bot ».
Ce réseau de PC zombies qui obéit aux ordres d'un maître s'appelle un « botnet ». Peut-être d'ailleurs
votre poste de travail fait partie d’un ou de plusieurs botnets. C'est le cas du PC qui vous a envoyé l'email, à l'insu du plein gré de son propriétaire, bien entendu. Vous remarquerez d'ailleurs que jour après
jour, les e-mails d'alerte sur le cours de l'action ne proviennent jamais de la même adresse e-mail ;
forcément il n'y a pas de corrélation entre les adresses d'envoi des messages et les adresses de ceux qui
les reçoivent.
L'arnaqueur loue l'utilisation d'un botnet pour envoyer les e-mails de Pump and Dump. Chacun des PC
contaminés envoie une centaine d’e-mails à une liste d'adresses qui lui est communiquée par le maître du
botnet. Votre adresse en fait partie, c'est pourquoi vous êtes destinataire. Et comme les botnets peuvent
être composés de milliers de PC, des millions de messages, à raison de quelques dizaines par PC, partent
sans qu'on puisse se douter d'un fonctionnement anormal et remonter à la source de cette
cybercriminalité.
Mais plus il y aura d’internautes qui recevront ces e-mails, plus il y aura d'acheteurs et donc plus le
cours de l'action va monter et maintenant que vous êtes possesseur d’un gros volume de cette action, cela
va dans le sens de vos intérêts donc tout va bien jusqu'à présent.
6.5. LE DUMP (LA LIQUIDATION ET LA FIN DU RÊVE)
Maintenant que l'on sait que malgré tous les filtres antispams qu'ils rencontrent, les messages passent,
revenons au modèle économique du Pump and Dump. L'action existe et grimpe réellement obéissant à la
loi de l'offre et de la demande. Une fois la frénésie d'achat de cette action amorcée, portée par le bruit
assourdissant des spams quotidiens, son cours s'envole car immense est la demande et fréquents sont les
achats impulsifs sur le net.
Quand l'action a atteint un certain seuil, soudain toute publicité sur son cours cesse. L'arnaqueur a
vendu aux acquéreurs en folie les actions qu'il détenait depuis le début, c'est-à-dire la majeure partie du
volume des actions disponibles. Le cours de cette action a pris beaucoup de valeur et bien entendu
l'arnaqueur empoche la plus-value qui est bien réelle. Sans publicité, aucune demande d'achat ne se fait
plus sur le Net. Son cours accuse alors une pente négative, les actionnaires affolés vendent et
brusquement le cours s'effondre jusqu'aux alentours de ce qu'il valait au début de l'arnaque, c'est-à-dire
quelques cents.
De toute évidence, cet e-mail est l'amorce d'une escroquerie en Pump and Dump
Des milliers de naïfs, spéculateurs du dimanche et financiers en herbe, se sont ainsi fait arnaquer et
ont perdu leur investissement. Seul l'arnaqueur, qui avait toutes les cartes en main, a vendu au bon
Un livre blanc
21 / 23
moment et quitte le cybermonde emportant le pactole qu'il utilisera dans le monde réel. Il laisse sur le
carreau du Net les arnaqués qui n'ont plus que les forums de discussion pour exprimer leur désarroi, si du
moins ils n'ont pas honte de reconnaître qu'ils se sont fait avoir.
Où est exactement la malhonnêteté ici ? C'est simplement l’utilisation des mécanismes boursiers et
personne n'est obligé de croire ce qu'il lit dans ses e-mails et de penser que le cours d'une action est juste
une question d'offre et de demande et n'est pas corrélé avec la valeur réelle de la société cotée.
6.6. QUE FAIRE CONTRE CETTE ARNAQUE ?
Les filtres antispams qui éliminent une partie des e-mails indésirables et les antivirus qui éliminent une
partie des bots qui servent à envoyer les spams diminuent le risque de recevoir des messages d'incitation
à s'enrichir sans prendre de risques en utilisant la bourse. Mais rien ne peut diminuer la naïveté du
cybernaute, si ce n'est la connaissance des diverses facettes de la cybercriminalité qui devrait le mener
vers plus de sagesse et en particulier vers plus de méfiance vis-à-vis des messages provenant de sources
qu'il ne connait pas, surtout quand il y a un enjeu financier.
Parfois une société honnête constate que le cours de son action décolle sans raison et redescend pour
se stabiliser à sa valeur initiale. Une explication est que son action a été utilisée dans une arnaque de
Pump and Dump.
Parfois ce sont des sociétés elles-mêmes qui organisent l'envol artificiel du cours de leurs actions en
pratiquant le Pump and Dump. Parfois elles payent des promoteurs pour le faire à leur place. Certains
« analystes financiers » peuvent être payés par une entreprise pour annoncer que son action est mirifique,
ce qui n'est pas illégal en soi, à condition que l'entreprise déclare cette transaction entre elle et l'analyste
et le montant payé pour ce service, ce qu'elle oublie le plus souvent de faire !
Si ce « dopage du cours d'une action » est prouvé, la société peut être inquiétée par la législation du
pays dans lequel son action est cotée, si législation il y a. On cite une banque en Lettonie qui s'est fait
coincer pour avoir utilisé cette arnaque.
Devant ces pratiques douteuses, des autorités de contrôle veillent.
Une action dont le cours s'envole, sans raison valable, peut attirer l'attention de cette autorité et c'est
le combat entre le gendarme et le voleur.
La SEC (Securities and Exchange Commission), le gendarme de la bourse aux États-Unis, équivalent
de notre AMF, a suspendu pour quelques jours la cotation de plusieurs dizaines de sociétés convaincues de
l'escroquerie de Pump and Dump. Des éditeurs, tels que Verisign, proposent aux organismes et analystes
boursiers un kit logiciel pour traquer les arnaqueurs.
6.7. FIN DU RÊVE
L'action miracle d'une société inconnue, proposée par l'Internet, qui fera de vous un richissime et
heureux financier est de toute évidence un leurre et ne se rencontre pas que dans le cas du Pump and
Dump.
S'il était si facile de s'enrichir, en prenant si peu de risques, ça se saurait. Pourtant beaucoup de
pigeons se font avoir et ce type de cybercriminalité rapporte plusieurs centaines de millions d'euros par an
aux cybercriminels. Gardez à l'esprit que si une occasion d'achat d'une action qui s'envole est trop belle
pour être vraie, c'est sans doute que cette occasion est fausse ; et si un inconnu s’adresse à vous pour
vous faire entrer dans le monde des nantis, c’est probablement un arnaqueur.
Nous voyons à ce sujet l'importance de l'information et des médias qui la porte dans notre société et
les dégâts qu'elle peut causer quand elle est manipulée pour aider la fraude.
7.
EN CONCLUSION : RETOUR VERS LE MONDE RÉEL
Il y a déjà quelques prémices et ce phénomène va hélas sans doute s’amplifier. L’Internet va être
utilisé pour repérer ou attirer les victimes potentielles dans le monde réel. Les clubs de rencontres cachent
parfois de bien grands dangers, surtout pour celles et ceux sans expérience qui croient que tout le monde
est gentil et correct. Surveiller l’utilisation du Web, des forums par vos enfants est loin d’être un conseil à
écarter.
On a vu déjà des cybernautes qui ne font plus la différence entre le monde virtuel et le monde réel. On
cite un Japonais qui a tué son ami parce qu’il avait vendu sur le net l’identité virtuelle que ce Japonais
s’était attribuée. Il y a aussi une dame qui s’est fait violer par un voisin qui avait reçu un courriel semblant
provenir de sa future victime et qui lui demandait de le faire.
Un livre blanc
22 / 23
Le monde est plus que jamais un espace dangereux, mais il existe des contre-mesures juridiques et
techniques pour se protéger. Mieux vaut donc les connaître et les utiliser.
8.
A PROPOS DE L’AUTEUR
Gérard PELIKS est expert sécurité chez Cassidian CyberSecurity, groupe EADS.
Il préside l'atelier sécurité de l'association Forum ATENA, et anime l'activité sécurité du
Cercle d'Intelligence Économique du Medef Ile-de-France. Il est membre de l'ARCSI et
du Club R2GS.
Gérard Peliks est chargé de cours dans des écoles d'Ingénieurs, sur différentes facettes
de la sécurité.
gerard.peliks (at) cassidian.com
Les idées émises dans ce livre blanc n’engagent que la responsabilité de leurs auteurs et pas celle de Forum ATENA.
La reproduction et/ou la représentation sur tous supports de cet ouvrage, intégralement ou partiellement est autorisée à
la condition d'en citer la source comme suit :
© Forum ATENA 2013 – La cybercriminalité
Licence Creative Commons
-
Paternité
Pas d’utilisation commerciale
Pas de modifications
L'utilisation à but lucratif ou commercial, la traduction et l'adaptation sous quelque support que ce soit sont interdites
sans la permission écrite de Forum ATENA.
Un livre blanc
23 / 23