Livre Blanc Gdata Blackmarket 2015

Copyright 2015 G DATA Software AG 2

G DATA WHITEPAPER CYBERCRIME / 2015

INCURSION DANS LE BLACKMARKET LES EXPERTS DU G DATA SECURITYLABS DEVOILENT LES

DESSOUS DES MARCHES CYBERCRIMINELS.



I. CYBERCRIMINALITE ...................................................................................................................... 5

II. LE BLACKMARKET, PLACE DES ECHANGES ................................................................................. 6

A. Un march de plusieurs milliards deuros ............................................................................................................ 6 B. Le deep web nest pas le darknet ............................................................................................................................ 6

III. STRUCTURES TECHNIQUES .......................................................................................................... 7

A. Forums .............................................................................................................................................................................. 7 B. Proxy et VPN anonymes .............................................................................................................................................. 7 C. Tor ....................................................................................................................................................................................... 7 D. Serveurs bulletproof .................................................................................................................................................... 7 E. Messageries instantanes .......................................................................................................................................... 8 F. IRC ....................................................................................................................................................................................... 8 G. Messagerie mobiles...................................................................................................................................................... 8

IV. LIEUX DECHANGES ...................................................................................................................... 8

A. WebStore ......................................................................................................................................................................... 8 B. SilkRoad Reloaded ........................................................................................................................................................ 9 C. DeepBay ........................................................................................................................................................................... 9 D. Pandora ............................................................................................................................................................................ 9 E. Agora ................................................................................................................................................................................. 9

V. RESEAUX ANONYMES ET RESEAUX PUBLICS .............................................................................. 9

A. Grams ............................................................................................................................................................................. 10 B. OnionCity ...................................................................................................................................................................... 10 C. Surfwax .......................................................................................................................................................................... 11 D. Torsearch ....................................................................................................................................................................... 11 E. Memex, le moteur deep web officiel .................................................................................................................. 11

VI. PRODUITS DISPONIBLES ............................................................................................................ 12

A. Logiciels malveillants ................................................................................................................................................ 12 1. Ransomware/Crypter ............................................................................................................................................. 13 2. Exploits ........................................................................................................................................................................ 13

B. Tutoriels pour les nouveaux ................................................................................................................................... 14 C. Matriel la vente ..................................................................................................................................................... 14

1. Faux papiers, pour tous les usages .................................................................................................................... 14 2. Armes et drogue en libre-service ...................................................................................................................... 14



3 Carding et skimming ............................................................................................................................................. 15

VII. DONNEES DISPONIBLES : DESCRIPTION ET TARIFS .................................................................. 15

A. Adresses email ............................................................................................................................................................ 15 B. Donnes de comptes email.................................................................................................................................... 15 C. Cartes bancaires ......................................................................................................................................................... 16 D. Fullz : lidentit complte ........................................................................................................................................ 16

VIII. BOTNET OUTIL DE CHOIX DU CYBERCRIMINEL ...................................................................... 16

A. Le botnet : dfinition ................................................................................................................................................ 16 B. cosystme du botnet ............................................................................................................................................. 17

IX. SERVICES A LA DEMANDE .......................................................................................................... 18

A. Attaques DDoS ............................................................................................................................................................ 18 B. Spam ............................................................................................................................................................................... 18 C. Installation de Bot ...................................................................................................................................................... 18 D. Attaques dhameonnage ...................................................................................................................................... 18 E. Chiffrement la demande (FUD).......................................................................................................................... 19 F. Multi Scanner ............................................................................................................................................................... 19

X. DU VIRTUEL AU REEL .................................................................................................................. 19

A. Le systme de monnaies virtuelles ...................................................................................................................... 20 1. WebMoney ................................................................................................................................................................. 20 2. Bitcoin .......................................................................................................................................................................... 21

B. Blanchiment des gains ............................................................................................................................................. 21 1. Achat sur le commerce lectronique ............................................................................................................... 21 2. Blanchiment des monnaies virtuelles ............................................................................................................. 21 3. Jeux en ligne comme passerelle........................................................................................................................ 22 4. Virements bancaires ............................................................................................................................................... 22

XI. LES TARIFS DU BLACKMARTKET....................................................................................................................... 23 XII. LES TERMES DE LA CYBERCRIMINALITE........................................................................................................ 24



I. CYBERCRIMINALIT Lconomie numrique a considrablement volu au cours de cette dernire dcennie, la cybercriminalit a suivi.

Ainsi, alors quen 2000 deux tudiants philippins concevaient le vers I Love You par simple jeu (infection de 3

millions dordinateurs en quelques jours), en 2012 ce sont par exemple 39 personnes qui taient juges pour avoir

infect plus de 13 millions d'ordinateurs et drob 100 millions de dollars avec le Botnet Zeus. Cette montisation

de la cybercriminalit repose aujourdhui sur des systmes dchanges parallles parfaitement structurs.

Les principales plates-formes cybercriminelles sont des forums lapparence peu diffrente des sites lgaux. Mais

dans la partie prive, seulement accessible aux membres, se cachent des places de march (blackmarket) o

chaque membre propose produits et services. Failles, donnes de cartes de crdit, adresses email, location de

botnet, etc. sont proposes. Mais aussi dautres produits de la vie relle : faux passeport, drogues, armes, etc. tout

sachte et se vend. De

vritables boutiques

spcialises sont aussi

disponibles sur Internet.

Annonces par bannires

publicitaires sur les forums, elles

proposent lachat en gros de

donnes (numro de carte

bancaire, compte PayPal). Des

achats qui disposent mme

dune garantie de retour en cas

de non-validit des donnes.

Comme toute conomie

parallle, la non-traabilit des

flux dargent est une priorit.

Cest l quintervient la monnaie

virtuelle, et bitcoin comme fer

de lance ! Avec les monnaies

anonymes, les cybercriminels

peuvent alors commercer en

toute tranquillit.

Si commercer virtuellement est

simple et sans grand risque, convertir sa monnaie virtuelle en argent rel est plus compliqu compte tenu des

contrles oprs par les services judiciaires et fiscaux. Mais comme pour tout problme, des solutions existent

Une lutte efficace contre le cybercrime, et les infections digitales qui en dcoulent, passe par une bonne

connaissance de ses rouages. Tout au long de ce dossier, les experts du G DATA SecurityLabs livrent un aperu de

cette nbuleuse quest le blackmarket.

Illustration 1 : lcosystme cybercriminel



II. LE BLACKMARKET, PLACE DES CHANGES

Parmi les infractions cybercriminelles, on peut recenser le vol ou le dtournement de donnes personnelles, le vol

didentifiants bancaires, la falsification de papiers didentit, lespionnage, lorganisation dactes de piratages

destins dsorganiser des entreprises, des mdias, ou encore la diffusion de logiciels malveillants.

Pour raliser ce type de mfaits, il est rare de disposer de toutes les comptences et ressources requises. Pour cela,

les cybercriminels peuvent se reposer sur la puissance du web. Mais ils nutilisent pas les acteurs classiques du web

pour commercer entre eux, ils nexploitent pas les rseaux courants pour mener leurs transactions dlictueuses. Le

dcor de leurs agissements est communment appel blackmarket. Sous ce terme gnrique sont recenss des

rseaux spcialiss sur lesquels il est possible de vendre, louer, ou acheter des produits ou services dlictueux.

Hormis laccs qui est logiquement plus confidentiel, les caractristiques de ces places de march diffrent peu

des forums et sites de ventes grand public. Sur ces espaces, certains offreurs utilisent publicits et offres spciales

pour attirer le client. Ces plateformes ont galement opt pour des systmes de notation inspirs des forums ou

sites denchres lgaux. Ainsi, lacheteur est assur de la qualit du vendeur. En cas de doute sur le produit, le

risque reste limit : beaucoup sont garantis. Un numro de carte bancaire qui ne fonctionne pas, un code qui pose

problme, avec certains fournisseurs et sur certains forums, cest du satisfait ou rembours !

A. Un march de plusieurs milliards deuros

Difficile de disposer de donnes tangibles sur ces rseaux par nature opaques.

chaque nouveau dmantlement de trafic, chaque intervention des autorits pour fermer une de ces places de

march occultes, ce sont des prjudices de centaines milliers deuros qui sont rvls.

la fin de lanne 2014, le FBI a par exemple tent de mettre un terme Silk Road 2.0. Ce site exclusivement

accessible depuis le rseau anonyme Tor, avait russi fdrer en une anne dexistence prs de 100 000 clients

(entre fin 2013 et fin 2014). En septembre, les ventes ralises sur le site auraient gnr environ huit millions de

dollars. Silk Road prlevait une commission de 8 15% sur chaque transaction. Un exemple parmi tant dautres

des volumes dargent changs en toute illgalit

B. Le deep web nest pas le darknet

Afin de comprendre quelles sont les sources dapprovisionnement du blackmarket, il convient de diffrencier deux

termes frquemment utiliss : deep web et darknet. Tous deux associs la cybercriminalit, ils nen restent pas

moins totalement diffrents dans leur approche et leur fonctionnement.

Le deep web englobe tous les contenus web non indexs. Bien quils ne soient pas protgs en accs, ils ne

peuvent pas tre trouvs par lintermdiaire dun moteur de recherche classique. Cest loppos du clear Web : la

partie visible du Web et facilement accessible partir dun moteur de recherche.

Le darknet est un rseau encore plus profond dans lequel ses utilisateurs ne se connectent qu' des personnes de

confiance. La plupart du temps, ces rseaux sont de petite taille et gnralement lents. Un darknet peut tre cr

par n'importe quelle personne et pour n'importe quel objectif. Mais la technique est le plus souvent utilise

spcifiquement pour crer des rseaux de partage de fichiers. Le dark web est quant lui la partie Web

(composes de pages web) du darknet. Le dark web est accessible via des systmes danonymisation, dont Tor est



le plus connu (voir chapitre III.C.). Mais dautres outils tels quI2P permettent galement daccder et de crer des

rseaux anonymes dans le darknet.

III. STRUCTURES TECHNIQUES Pour changer, commercer, et sorganiser, le tout anonymement, les cybercriminels ont besoin de structures

techniques ddies. Vous trouverez ci-dessous la base technique du systme.

A. Forums

Les forums du blackmarket fonctionnent comme les sites de petites annonces du

Clear Web. Les offres de vente sont postes directement dans les rubriques

thmatiques du forum. Si les annonces sont consultables par tous les utilisateurs

enregistrs du forum, une fois le contact tabli, les changes seffectuent le plus

souvent via les canaux de messagerie instantane (voir chapitre III.E.), jugs plus

discrets. Certaines offres (numros de carte, programmes malveillants, services) sont

diffuses simultanment sur plusieurs forums. Langlais et le russe sont les langues

les plus couramment utilises sur ces Forums.

B. Proxy et VPN anonymes

Naviguer sur les rseaux de manire anonyme est une ncessit pour les cyberdlinquants. Deux techniques sont

principalement utilises pour masquer ladresse IP de leur machine. Les proxys anonymes sont une premire

possibilit. Mais compte tenu de leur limitation technique, les connexions VPN anonymes leur sont gnralement

privilgies. La technologie VPN englobe lensemble des connexions de la machine, ce qui garantit lanonymat de

toutes les actions que peut entreprendre lattaquant. Bien entendu, proxys et VPN anonymes sont proposs par

des fournisseurs localiss dans des pays peu enclins aux cooprations judiciaires.

C. Tor

Le rseau dcentralis Tor rpond lui aussi au besoin danonymisation recherch par les cybercriminels. Ce rseau

Internet superpos dit en Oignon se compose de plusieurs couches, appeles nuds, ayant pour principe de

transmettre de manire anonyme les flux TCP : aprs un nud, il est dans quasi impossible de remonter ladresse

IP dune connexion Internet. Cette capacit danonymisation fait du rseau Tor une plateforme de choix pour le

cybercrime, si bien que la plupart des espaces de ventes et des forums utilisent ce rseau.

D. Serveurs bulletproof

Ces serveurs sont, si lon sen rfre la traduction littrale, lpreuve des balles. Ils proposent des hbergements

sans prendre en considration le type de donnes qui seront stockes ou lusage qui en sera fait. Des contenus

illgaux allant de productions rgies par le droit dauteur (film, musiques) aux images pdopornographiques y

sont stocks. Ces serveurs exploitent certaines failles de larchitecture DNS pour associer plusieurs adresses IP

une URL parmi lesquelles la technique fast flux qui rend trs difficile lidentification de ces serveurs. Le second

usage courant de ces serveurs bulletproof, cest la mise en place de serveurs de C&C (contrle et commande) qui

permettent de prendre le contrle dordinateurs infects par un trojan dans le cadre de cration de rseaux botnet

(voir chapitre VIII.).



E. Messageries instantanes

Trs utilise il y a quelques annes, la messagerie instantane ICQ a aujourdhui t supplante par des solutions

concurrentes (Skype, Talk, etc.). Elle reste toutefois ouverte tous et certains aficionados continuent utiliser cette

plateforme pour discuter entre amis. La plateforme est aussi trs utilise par les cybercriminels. Dans la plupart des

annonces postes sur les forums, les cybercriminels indiquent leur identifiant de messagerie instantane ICQ afin

de discuter plus librement des conditions et de raliser la transaction. Certains vendeurs ont mme dvelopp des

boutiques spcifiques travers cette plateforme. Des protocoles automatiss, fonctionnant par codes numriques,

permettent de passer des commandes sans mme sortir dICQ.

ICQ nest pas la seule messagerie utilise. Elle subit la concurrence de diffrents autres outils comme Jabber.

Jabber peut galement agir en complment dICQ : il exploite le protocole XMPP (le standard de la messagerie

instantane, galement utilis par la majorit des autres acteurs) et, en y ajoutant le module OTR (off the record),

permet de chiffrer lensemble des conversations.

F. IRC

Acronyme dInternet Relay Chat, lIRC est un autre protocole de communication qui a connu ses heures de gloire

dans les annes 2000. Ce systme de communication prend principalement la forme de groupes de discussion sur

lesquels les intervenants se connectent travers un canal spcifique. Conversation individuelle et transfert de

fichiers sont aussi possibles. Fortement concurrenc par la simplicit des messageries instantanes, lIRC est moins

utilis aujourdhui dans les usages courants. Mais compte tenu des possibilits danonymisation et de

communication de groupe, cest encore un systme particulirement apprci des cybercriminels.

G. Messagerie mobile

Le ct pratique des messageries instantanes sur mobiles gagne galement le secteur cybercriminel. Afin de

communiquer en toute impunit, notamment pour finaliser des transactions commences en ligne, un nombre

croissant de cybercriminels optent pour les messageries cryptes disponibles sur mobile. Plusieurs solutions, telle

que par exemple la messagerie Threema, sont proposes par loffreur dans ses annonces afin de pouvoir le

contacter plus directement.

IV. LIEUX DCHANGES Pour commercer, des places de marchs spcifiques sont cres. Elles utilisent les techniques de stockage et

danonymisation prsentes plus haut. Ces lieux dchanges utilisent les monnaies virtuelles pour toutes les

transactions (voir chapitre X.).

A. WebStore

Les Shops sont lquivalent des sites de commerce lectronique du clear web. On peut distinguer les shops

professionnels qui sont dvolus lachat de numros de cartes bancaires (carding) et dont les offres sont

structures, des shops amateurs par nature plus volatiles. Les shops voluent trs rapidement et quelques

semaines suffisent pour voir exploser loffre disponible.



B. SilkRoad Reloaded

Sans doute lun des plus importants blackmarket au monde connu comme le supermarch de la drogue et des

armes. Il a succd SilkRoad et SilkRoad 2.0, successivement ferms par le FBI. On y trouve des kits de piratage

informatique, de faux permis de conduire, passeports, documents dassurance ainsi que des services cl en main

de piratage ou de voies de faits et violences physiques. SilkRoad Reloaded a fait son apparition en janvier 2015,

non plus via Tor, mais via le rseau anonyme I2P.

C. DeepBay

Concurrent de SilkRoad, DeepBay est accessible via Tor. Supermarch de la drogue, cest une place de march trs

active qui utilise notamment Twitter pour racoler de nouveaux clients. Drogues, mtaux, donnes, armes, tabac ou

encore contrefaons, les rubriques sont aisment accessibles.

D. Pandora

Cette place de march particulirement rpute offre un large ventail de produits et services illicites. Pandora est

sans doute lun des espaces sur lequel les drogues et produits stupfiants circulent le plus. Mais nul nest prophte

en son pays et Pandora a subi une attaque en 2014 et a vu senvoler prs de 250 000 $ en bitcoins.

E. Agora

Agora est lune des places de march les plus populaires du deep web avec prs de 9000 rfrences disponibles.

Seulement accessible par invitation, cette plateforme est aussi rgulirement hors ligne

(https://dnstats.net/market/Agora).

V. RSEAUX ANONYMES ET RSEAUX PUBLICS Pour se dplacer sur le web parallle, il nest pas question de recourir aux outils de recherche classiques. Ces

derniers, norms, standardiss, nindexent pas les contenus illicites et quand bien mme ils le feraient, ils

conservent dans leurs logs et historiques, lensemble des traces laisses par les requtes des internautes. Ds lors,

pour naviguer dans le web profond et raliser des transactions sur le blackmarket, les cybercriminels se sont dots

doutils spcifiques.



A. Grams

Grams est un moteur de recherche qui a vu le jour en 2014. Il est conu pour mener des recherches sur les

diffrents lieux dchanges. Grams indexe notamment les produits disponibles sur Agora, Pandora, et Silk Road 2.

Les listings de contenus indexs sont actualiss toutes les 72 heures.

B. OnionCity

Onion.City est un moteur de recherche destin au DarkNet et aliment par le proxy Tor2Web. Ce dernier lui permet

daccder en profondeur au rseau danonymisation TOR. Il dtecte et indexe ainsi des sites .onion en agrgeant

les services undergrounds pour les rendre ensuite disponibles via un simple navigateur Web.



C. Surfwax

Conu pour afficher les rsultats de plusieurs moteurs de recherche en mme temps, Surfwax est un mtamoteur

qui autorise la cration des searchsets. Lutilisateur peut ainsi composer ses propres ensembles personnaliss

(listes) des sources qui peuvent alors tre enregistres. Surfwax est un outil particulirement adapt la recherche

deep web, car il rcupre des informations manant de sources que les moteurs de recherche classiques ne

prennent pas en considration.

D. Torsearch

Vritable porte dentre sur le rseau TOR, ce moteur de recherche est un passage incontournable pour pntrer

sur les blackmarkets et sites illicites du deep web. Considr comme le Google du deep web, Tor Search fait figure

de rfrence.

E. Memex, le moteur deep web officiel

Memex est un moteur de recherche qui permet dinspecter la partie invisible de la Toile, que les autres moteurs de

recherche nindexent pas. Ce moteur de recherche a t dvelopp par le DARPA (Defense Advanced Research

Projects Agency) qui est un laboratoire de recherche de larme amricaine. Memex nest pas utilis par les

cybercriminels, mais il permet de mesurer limportance du deep web, mais galement du darknet ! Ainsi, son

inventeur Chris White avance lhypothse que ce nouveau moteur pourrait devenir un outil destination des

forces de police, capables ds lors de rechercher sur le dark web les ventes de produits illgaux

(http://www.cbsnews.com/news/new-search-engine-exposes-the-dark-web/).



VI. PRODUITS DISPONIBLES

Sur le blackmarket, tout sachte et tout se vend, surtout si cest illgal ! Trois grandes catgories de biens

coexistent : les outils logiciels ou matriels dattaque (logiciels malveillants, matriel de skimming, etc.), les biens

lis au banditisme classique (drogue, arme, faux papiers didentit, matriels de cration de fausses cartes

bancaires), et les donnes utilisateurs voles (email, numro de carte bancaire, etc.), autrement dit les cibles

potentielles.

A. Logiciels malveillants

Lappellation gnrale de logiciel malveillant regroupe au sens large lensemble des codes malveillants dvelopp

dans le but de contrler ou dinfecter les machines.

Les places de march tant multiples et les moyens dchanges opaques, quantifier le volume des codes

malveillants changs sur ces plateformes est impossible. Mais en se basant, non pas sur les ventes des codes,

mais sur leur utilisation, il est possible davoir une vision assez prcise des typologies de codes changs. Les

donnes du G DATA Security Labs bases sur le nombre de signatures antivirales gnres montrent la rpartition

des grandes familles de codes nuisibles. Le graphique 1 montre ainsi que les trojan constituent la principale

catgorie de codes utiliss, et donc probablement changs sur les places de march. De fait, le trojan est la bote

outils du cybercriminel. Beaucoup plus cibls sur lactivit mercantile, les adwares connaissent une forte

croissance. Ces codes enregistrent les activits et les processus d'un ordinateur (habitudes de navigation, par

exemple) et affichent des

publicits dans les fentres des

navigateurs. Les adwares ont de

plus lavantage dtre souvent

dans la zone grise, autrement dit

la limite de la lgalit, si bien que

les risques pour leurs utilisateurs

sont quasi nuls. Les tlchargeurs

(downloader) ont pour mission de

charger ou de copier un fichier sur

l'ordinateur infect. En tant que

module indispensable toute

infection, ils sont eux aussi trs

prsents sur les places de march

cybercriminels.

Graphique 1 : volution des catgories de logiciels malveillants depuis 2012



1. Ransomware/Crypter

Bien que faisant partie de la grande famille des

malware, les ransomware constituent une

catgorie part sur les sites de vente. Ces logiciels

malveillants bloquent lordinateur et exigent le

paiement dune ranon pour en rendre le contrle

son propritaire. Les plus volus chiffrent les

documents contenus sur le disque dur,

empchant toute tentative de rcupration. Ces

programmes, camoufls dans des documents, soi-

disant lgitimes (fichier bureautique, conomiseur

dcran), sont massivement diffuss par envoi de

spam. Lattaquant na alors plus qu attendre que

les destinataires tombent dans le pige.

2. Exploits

Les exploits sont des programmes informatiques qui mettent en uvre l'exploitation d'une vulnrabilit, dune

faille, dans un logiciel. Chaque exploit est spcifique une version du logiciel et permet den exploiter une

vulnrabilit. Lexploitation dune faille dans un logiciel vulnrable offre des possibilits daugmentation de

privilges dans le systme dexploitation et ainsi lexcution de code malveillant. La finalit de ce type dattaque

est gnralement la prise de contrle de la machine attaque. En tant que porte dentre pour linfection, lexploit

est un des outils les plus recherchs sur le blackmarket. Les tarifs de ces exploits voluent en fonction du logiciel

cibl et de sa nouveaut. Ainsi, un exploit 0day (non diffus sur Internet et non corrig par lditeur) touchant

Windows (le systme dexploitation majoritairement utilis) peut se ngocier pour plusieurs milliers, voire

plusieurs dizaines de milliers deuros. Dernirement, la boutique ddie TheRealDeal a vu le jour sur le rseau

anonyme Tor. Cette nouvelle place de march se prsente comme le lieu de vente privilgi pour les exploits

techniquement avancs et forte valeur.

La commercialisation dexploit est une activit lucrative qui flirte bien souvent entre lgalit et illgalit. Des

socits ayant pignon sur rue se sont galement spcialises dans la recherche et la commercialisation dexploit

0day. Les grands diteurs souhaitant limiter les failles dans leurs programmes, ils sont prts dpenser beaucoup

dargent pour acheter ces exploits.

Rcemment, G DATA Software a dtect une campagne de malvertising (malware dans des bannires) qui dtourne le systme AdSense de Google. Elle touche les bannires publicitaires de Google Ads, trs utilises par les sites Internet et les annonceurs. Le principe de cette attaque consiste charger dans les bannires de publicit Google Ads une balise IFrame pointant vers une adresse compromise. Cette balise IFrame est charge et saffiche sur le site Internet. Le visiteur du site Internet est alors expos au risque que reprsente le code malveillant. Dans le cas

Graphique 2 : dtection des attaques via lexploit kit Nuclear.



de cette attaque, il sagit de lexploit kit Nuclear. Ce kit est disponible sur le march cybercriminel pour environ 1500 dollars.

B. Tutoriels pour les nouveaux

Inutile dtre un spcialiste pour bnficier des facilits du blackmarket. Comme sur le

clear web, les tutoriels ont le vent en poupe sur les rseaux parallles. Pour savoir

comment utiliser un proxy, utiliser tel ou tel exploit kit, ou tout savoir sur les diffrents

systmes de protection des cartes bancaires, des tutoriels sont disponibles la vente.

Ces modes demploi en anglais sont vendus accompagns de leurs captures dcrans

lgendes, limage de ce que lon peut trouver dans la presse spcialise pour apprendre configurer

un logiciel ordinaire. Certains tutoriels (au format PDF) sont gratuitement mis disposition dans des forums du

blackmarket, dautres sont vendus une trentaine deuros. Les thmatiques sont varies et les tarifs augmentent en

fonction de la technicit de lexercice.

C. Matriel la vente

Le blackmarket ne se rsume pas des places de march ddies aux programmeurs. Un pan entier est galement

consacr aux changes mafieux et criminels. Faux papiers, armes, drogues, mdicaments et matriels divers sont

proposs en toute impunit.

1. Faux papiers, pour tous les usages

Les faux papiers (passeport et pices didentit), sont des produits courants sur les

marchs parallles et largement utiliss dans les milieux criminels. La cration de faux

papiers reste une pratique onreuse. Une fausse carte didentit dun pays europen

se ngocie aux alentours des 1000 sur les sites spcialiss. Quant au passeport, il faut

compter environ 4000 . Il est noter que les tarifs diffrent en fonction du pays.

2. Armes et drogue en libre-service

Bien quils soient rels, les liens entre blackmarket et banditisme sont difficilement faits par le grand public.

Limage strotype des filires mafieuses colle difficilement celle des rseaux informatiques pirates. Mais deux

catgories de produits que sont les armes et la drogue remettent la finalit du blackmarket en

perspective. Internet constitue ainsi une plateforme de commerce privilgie pour la drogue. Des commerces plus

ou moins organiss ont t crs sur des places de march accessibles via le rseau Tor. Cocane, hrone, ecstasy,

marijuana sachtent par

exemple en Bitcoin (BTC). Du

ct des armes, le constat est

galement identique. Il est

ainsi ais de se procurer un

revolver sur des sites de vente

en ligne.



3. Carding et skimming

Gnrer des revenus par le piratage de cartes bancaires est une des activits privilgies des rseaux mafieux cybercriminels. Ceci passe en premier lieu par lutilisation dinformations de cartes bancaires (numro, date dexpiration et code de vrification) voles sur des plateformes de commerce lectronique lgales, mais galement par la cration et lutilisation de fausses cartes dans des magasins ou distributeurs de billets physiques. Mais crer de tels systmes ncessite du matriel. Parce que de tels achats ne sont pas aiss dans le commerce et parce quils pourraient galement alerter les autorits, loffre est disponible sur les marchs parallles. Lecteurs de bandes magntiques, imprimantes de cartes, systme de collecte poser sur les distributeurs automatiques de billets, tout le matriel ncessaire au vol et piratage des cartes est disponible. Bien entendu, ce matriel est galement disponible dans des boutiques lgales, mais elles ne permettent pas lanonymat propos sur le blackmarket.

VII. DONNES DISPONIBLES : DESCRIPTION ET TARIFS

Les donnes personnelles sont lessence mme du commerce cybercriminel. Sur ce domaine, le march se

segmente entre ceux qui volent les donnes, ceux qui les vendent et ceux qui les utilisent. Un email, une pice

didentit, un compte de rseau social ou encore un numro de carte bancaire, toute donne est valorisable.

A. Adresses email

Lemail est une des ressources ncessaires pour les activits cybercriminelles. Mme si

les attaques par infection de sites Internet (drive by) se gnralisent, les tentatives

dinfection et hameonnages par email restent prsentes. Dans cette optique,

disposer dune base email valide est un atout. Pour la collecte, plusieurs mthodes

existent. La plus simple consiste scanner les forums et pages web la recherche dadresse

email. Une autre consiste pntrer les systmes de base de donnes de web marchands ou de

fournisseurs daccs Internet. Enfin, il est galement possible de rcuprer une base email plus ou moins

grande dans lordinateur infect dune victime.

B. Donnes de comptes email

Disposer daccs des comptes email est une ressource trs intressante pour un cybercriminel. Lespace de stockage propos dans les Webmail tant croissant, beaucoup dutilisateurs y laissent la totalit de leur correspondance. Avoir accs cet espace ouvre donc un large ventail dattaques et de fraudes. Lune des plus courantes consiste usurper lidentit de la victime en envoyant un email ses

contacts. Sous prtexte dun voyage ltranger qui se passe mal, le dlinquant demande aux contacts denvoyer une somme dargent dans un pays tranger. Une campagne dinfection

ciblant les contacts de la victime est galement envisageable : la probabilit quune cible ouvre un document provenant dun de ses contacts est plus importante. Laccs aux autres comptes de la victime est galement envisager : via les emails de rcupration, il est ais de rcuprer identifiants et mots de passe de sites marchands, rseaux sociaux, et systme de paiement (PayPal). Autant dinformations pouvant ensuite tre utilises pour dautres mfaits ou revendues sur le blackmarket.



Pour se procurer des comptes email, plusieurs solutions sont possibles. Les attaquants ayant pour finalit la revente de ces donnes ralisent des campagnes dhameonnage ddies. Les bases email en poche, ils ralisent des campagnes spcifiques. Qui na pas reu de faux emails manant dOrange, Free ou SFR les invitant confirmer leur identifiant et mot de passe ? Dautres cyberdlinquants, dont la finalit est dutiliser les comptes emails pour leurs activits illgales, peuvent opter pour lachat. Les tarifs proposs voluent en fonction du pays cibl et du degr de validation des informations (compte valid). titre dexemple, 40 000 comptes email (identifiants et mot de passe) non valids se ngocient environ 20 dollars

C. Cartes bancaires

Acheter frauduleusement des biens et des services sur Internet est une activit

courante pour les cyberdlinquants. Pour cela, lutilisation de cartes bancaires voles

est ncessaire. Inutile de disposer de vritables connaissances techniques pour

acqurir ce type de donnes personnelles. Les places de march regorgent de cartes

bancaires voles. Sur les sites de vente, les cartes disponibles sont tries en fonction du

type de carte, de la date de validit, du pays dmission, etc. le paiement se fait en ligne. Les prix

varient de 1 100 et dpendent des places de marchs, du volume dachat, du type de carte ou du pays

dmission. Bien sr, le processus de validation de la carte joue un rle important sur le tarif. En moyenne une

carte bancaire internationale franaise est vendue aux alentours des 50 .

D. Fullz : lidentit complte

Tout connatre dune personne est possible et sur le blackmarket ce type

dinformation cote moins 100 ! Les fullz comprennent toutes les informations dun

individu. Lidentit complte comprend les noms et prnoms, la date et le lieu de

naissance, ladresse postale, les numros de tlphone, les comptes emails (et leurs

identifiants) ou encore les numros de carte bancaires. Certains fullz peuvent mme contenir

les identifiants daccs au compte bancaire de lindividu. Avec ces donnes, les possibilits de

nuisances sont infinies. Usurpation didentit en ligne, transfert bancaire, extorsion, attaque cible dans

lentreprise de lindividu, sont possibles. Cela peut aussi aller jusqu la location de voiture, de chambres dhtel ou

dappartements jusqu la cration de socits. Autant de dmarches qui impliquent juridiquement lindividu en

cas de non pays ou de poursuites.

VIII. BOTNET OUTIL DE CHOIX DU CYBERCRIMINEL Face de nombreuses actions internationales visant arrter les serveurs de commandes et de contrle, les rseaux botnet connaissent depuis ces dernires annes une dcroissance notable. Mais ils ne restent pas moins un outil de choix pour les cybercriminels. Contrler un rseau de PC zombies offre un large choix dactivits cybercriminelles. Revue de dtail.

A. Le botnet : dfinition

Un botnet (robot network) est un ensemble dordinateurs infects et contrls distance par une personne dans

le but de les utiliser des fins dlictueuses. Larchitecture dun botnet (la connexion Internet de chaque ordinateur

contrl) peut tre utilise pour de multiples actions : envoi de spam, campagne dhameonnage, distribution de

codes malveillants, DDoS (Distributed Denial of Service qui sature les serveurs informatiques de la cible et le rend

indisponible pour un temps donn), etc. Mais le contenu des ordinateurs contrls peut aussi tre utilis : donnes



bancaires, identifiants demail ou de boutique en ligne collecte sur les postes des utilisateurs peuvent faire lobjet

dune exploitation dlictueuse ou dune revente.

B. cosystme du botnet

En tant que systme complexe, le botnet requiert diffrentes comptences, et implique linteraction de plusieurs

intervenants qui commercent sur les places de marchs parallles. Les codes malveillants ncessaires linfection

et au contrle (incluant le serveur de contrle et de commande) sont les points de dpart de cette action

cyberdlinquante : sans code adapt, pas dinfection possible. Cest ce niveau quinterviennent les

programmeurs : des milliers de codes malveillants de tout type sont disponibles lachat sur les forums

spcialiss. Une fois le code en poche, il sagit alors de le diffuser au plus grand nombre. Sans comptence interne,

le dlinquant peut faire appel des services ddis. Il faut compter entre 20 et 100 pour linfection de 1000

ordinateurs, le prix est en fonction de la localisation des systmes. Plusieurs lments entrent en compte pour

dfinir le tarif des clients infects. Les pays disposant de connexion rseau plus rapide sont plus intressants. Les

habitants des pays les plus riches sont aussi les plus recherchs : leurs cartes bancaires et donnes personnelles

assurent une plus grande rentre dargent lattaquant.

Au final, il aura fallu dbourser plusieurs milliers deuros pour constituer le botnet. Il est alors temps de le

rentabiliser. Son propritaire va alors pouvoir compter sur les donnes quils renferment. En fonction de la qualit

des internautes infects, il va rcuprer sur les machines infectes les identifiants demails, de rseaux sociaux

voire de comptes bancaires. Autant de donnes valorisables sur les places de marchs. Lillustration 2 nest bien

entendu quune vision limite de lcosystme cybercriminel global. Fournisseurs dinfrastructures (serveurs

bulletproof), structures spcialises dans le blanchiment dargent (conversion de bitcoin en monnaie relle),

dlinquants spcialiss dans lachat frauduleux sur des sites de commerce lectronique, etc. une multitude

dautres acteurs du blackmarket bnficieront directement ou indirectement de ce botnet.

Illustration 2 : cosystme des botnet



IX. SERVICES A LA DEMANDE Il ne faut pas imaginer que les cybercriminels soient tous de fins techniciens, des informaticiens avertis. Dans le

banditisme classique, chacun a ses spcialits. Sur le secteur cybercriminel, il en est de mme. Lorsquils ne

matrisent pas une technique, les rseaux organiss sapprovisionnent en services et en comptences.

A. Attaques DDoS

Lorsquun cybercriminel souhaite mener une attaque sur une ou plusieurs cibles sans

disposer ncessairement du savoir-faire ou des outils ncessaires, il peut passer une

annonce spcifique sur le blackmarket, ou bien encore rpondre une offre dun pirate

sur ces mmes rseaux. Lorsque lon souhaite acheter une attaque DDoS par exemple,

la prestation est facture le plus souvent au volume dattaque par heure, par jour ou par

semaine. Pour une attaque cible sur un site, les tarifs varient lheure entre 10 et 200 .

B. Spam

Envie dinonder le web dun message publicitaire ou subversif ? Sur le blackmarket, il

suffit de souscrire un service denvoi, le plus souvent hberg sur un serveur

bulletproof, afin dviter que la source de la campagne soit traable. Plusieurs facteurs

influent sur le tarif : le volume de message adress, mais aussi la qualit du service denvoi

et sa capacit dtourner des dispositifs de protection comme les Captchas.

C. Installation de Bot

Les botnets sont des outils privilgis pour les cybercriminels. Mais comme dans la

plupart des cas sur le blackmarket, chaque tape de cration fait appel des sous-

traitants. Le dploiement du code malveillant fait partie des tapes incontournables.

Des acteurs spcialiss vendent ce service ceux souhaitant agrandir ou constituer un

botnet. Ce type de prestataires facture entre 20 et 100 pour du bot sur 1000 ordinateurs

situs en Europe. Un tarif aussi bas dmontre que la procdure est rapide. Linfection de site

Internet vulnrable par lutilisation dexploit kits est privilgie. Elle permet de rapidement toucher des

internautes non protgs.

D. Attaques dhameonnage

Sur le blackmarket, une campagne dhameonnage peut se mettre en place assez

simplement. Avec les kits cls en main, inutile dtre un spcialiste. Il est possible de

crer une page Internet falsifie en quelques minutes sans connaissances particulires.

En fonction de la notorit des tablissements cibls et de la qualit des kits (soin

graphique, orthographe soigne, etc.), les prix fluctuent entre 10 et 30 par page cre. Cette

page cre et stocke sur des serveurs web pirats, il suffit au cybercriminel dattirer les victimes

potentielles. L encore pas besoin de grandes connaissances et de matriel. Il suffit dacheter une base dadresse

email et de la diffuser par des systmes denvoi ddis. Lattaque complte naura finalement cot que quelques

centaines deuros.



E. Chiffrement la demande (FUD)

La cration dun code malveillant passe par une tape incontournable qui consiste

masquer le contenu du programme. Ce masquage (obfuscation), bas sur lutilisation

dun packer , permet de rendre plus difficile le code nuisible indtectable aux

solutions de scurit et aux analyses. Mais parce que masquer les composants dun

programme est une tche techniquement complexe, les programmeurs peuvent faire appel

des services de chiffrement la demande travers des sites spcialiss : contre moins de 10 euros, le

code transmis travers un formulaire est automatiquement chiffr. Le tarif de cette prestation dpend du

prestataire, et donc de la qualit du chiffrement, mais galement du volume demand, une dcote tant ralise en

fonction du volume. Une analyse multi scanner, comme explique dans le paragraphe suivant, finalise la procdure

en montrant au client que le camouflage est effectif. Il peut alors rcuprer son code par tlchargement.

F. Multi Scanner

Toute cration dun nouveau code malveillant passe par une ultime tape : la

vrification de sa non-dtection par les logiciels antivirus. Pour un usage lgal, un multi

scanner tel que VirusTotal fait lunanimit. Mais avec cette solution, tout code scann

non dtect est automatiquement envoy aux diteurs pour analyse. Autant dire quil

est hors de question pour un programmeur de codes nuisibles dutiliser une telle solution.

Cest pourquoi des sites spcialiss de multi scanners anonymes sont disponibles. Pour moins dun

euro, il est possible de faire scanner anonymement et simultanment son code avec 35 antivirus. Pour les gros

consommateurs, un paiement mensuel 30 est propos.

X. DU VIRTUEL AU REEL

Sil existe bien des rseaux de cyberterroristes qui souhaitent avant tout dstabiliser le systme et lopinion, ce sont

bien des motivations crapuleuses qui animent le blackmarket. Largent est donc le nerf de la guerre sur le Web

profond et les trafics en tous genres finissent toujours par se solder par une transaction financire. Ce passage du

virtuel au rel est ltape la plus dangereuse pour les cybercriminels, car elle peut permettre aux autorits dtablir

un lien avec le dlinquant. Mais plusieurs solutions existent pour viter les risques. Monnaies virtuelles et ingnieux

systmes de blanchiment sont disponibles.



A. Le systme de monnaies virtuelles

Quelle que soit la monnaie virtuelle considre, cest

dans la volatilit du dispositif que rsident les germes

de la cybercriminalit. Mme si ces monnaies nont a

priori jamais t penses pour contrevenir la

lgalit, elles prsentent toutes les caractristiques

susceptibles de faciliter les transactions illgales. Des

dizaines de monnaies numriques, existant pour

certaines depuis plus d'une dcennie, sont en

concurrence sur Internet. Pour la plupart chiffres,

elles peuvent servir tous types dchanges (lgaux

et illgaux) en se substituant des services de

paiement rguls. En thorie, la cration dun compte

permettant dutiliser un systme de monnaie

virtuelle implique que lauthenticit de lutilisateur

soit vrifie et quil justifie de son identit avec des

documents officiels. Mais nous lavons vu : il est ais

de se procurer ce type de documents sur le

blackmarket. Lorsque le cybercriminel dispose enfin

de son propre compte, il peut recevoir des sommes. Il

peut bien entendu utiliser cet argent virtuel pour

acheter produits et services sur le blackmarket, ou

toute autre place qui reconnat ces monnaies.

Mais la plus grande difficult rside dans linjection

de ces monnaies dans le systme conomique lgal.

Autorits financires et services fiscaux sont attentifs

aux mouvements financiers suspects. Mais l encore,

les cybercriminels peuvent compter sur des pays peu

regardants sur les lgislations financires.

1. WebMoney

Parmi les stars des paiements sur le blackmarket, Webmoney fait office de

figure historique. Cette solution a vu le jour en 1998 en Russie. Elle

revendique aujourdhui 28 millions dutilisateurs dans le monde. Ce systme

de transferts permet de raliser des transactions et deffectuer des

paiements en ligne. Diffrents porte-monnaie sont disponibles chez

Webmoney en fonction des pays/zones gographiques (WMZ pour les tats-

Unis, WME pour lEurope, etc.). Chaque porte-monnaie offre des taux de

conversion en fonction des zones et permet plus ou moins de passages dans

lconomie relle (en fonction des lgislations en vigueur).



2. Bitcoin

Bitcoin est la monnaie en vogue depuis ces dernires annes. Bitcoin est parfaitement anonyme. Ce systme qui a

vu le jour en 2009 repose sur le principe dune unit de compte. Chaque Bitcoin est identifi par son histoire depuis

sa cration jusqu' la date prsente o un agent le dtient, travers toutes les transactions dans lesquelles ce Bitcoin

est impliqu et qui sont reconnues par les signatures cryptographiques qui ainsi l'avalisent. Le 9 fvrier 2011, la

valeur du Bitcoin atteignait la parit avec le dollar. En juin 2011, le taux de change dpasse les 31 $, avant de

retomber sous les 4 $ en dcembre. Le 29 novembre 2013, la valeur d'un Bitcoin dpasse celle de l'once d'or. Au

cours actuel, un Bitcoin vaut environ 211 $. Les Bitcoins figurant dans les transactions dont un compte est

bnficiaire peuvent tre rutiliss par le titulaire de ce compte dans des transactions dont il est l'metteur,

condition qu'il puisse justifier de son identit au moyen de sa signature cryptographique, les comptes eux-mmes

tant anonymes. Les Bitcoins ainsi changs constituent une monnaie cryptographique, qui a vocation tre

utilise en tant que moyen de paiement. En juillet 2013, la Thalande a t le premier pays interdire le Bitcoin,

rejoint ensuite par la Chine, et la Russie.

B. Blanchiment des gains

1. Achat sur le commerce lectronique

Dans les cas les plus simples, et pour les petits volumes, les cybercriminels se rmunrent par lachat de produits

sur les sites dcommerce lectronique classiques. Ceux-ci peuvent tre raliss partir de monnaies virtuelles (sur

les boutiques qui prennent en charge ces moyens de paiement), mais galement partir de cartes bancaires ou de

comptes Paypal vols. Pour acheter en toute scurit les dlinquants se font livrer les produits achets dans des

drop zones . Des intermdiaires, gnralement enrls via des spams comme messagers ou personnes qualifies

en logistique, sont chargs de transfrer les produits. Lintermdiaire est bien rtribu pour sa prestation, souvent

sous forme de produits commands en mme temps que ceux du fraudeur. Maisons et appartements vides

peuvent galement tre utiliss, ce sont les House drop.

2. Blanchiment des monnaies virtuelles

Si linjection dans le systme conomique lgal de sommes dargent provenant de systmes de monnaies virtuelles

est techniquement possible, elle reste juridiquement complique pour ceux les ayant acquis par des actions

douteuses. Certaines plateformes telles que

WebMoney propose un panel de solutions afin

de disposer de sa monnaie virtuelle dans la vie

relle. Il est par exemple possible dinjecter de

largent dans des cartes prpayes, compatibles

avec les systmes de cartes les plus courants, ce

qui constitue la mthode offrant le plus grand

anonymat. Les transferts bancaires sont

galement possibles. Mais ces mouvements Source : http://bitcoinatmmap.com



pouvant alerter les autorits financires, les dlinquants optent pour des comptes bancaires de personnes dupes

(mules), ou ouverts laide de fausses identits. Avec les Bitcoins, il existe de puissants rseaux de change comme

Zipzap (qui revendique 25 000 implantations au Royaume-Uni, 240 000 en Russie). Des distributeurs de monnaies

prenant en charge les Bitcoins font galement leur apparition. Ils permettent de retirer des euros en change de la

monnaie virtuelle.

3. Jeux en ligne comme passerelle

Les jeux dargent sont des moyens de blanchiment intressants pour

les rseaux mafieux. Par le jeu des moyens de dpts et de transferts,

il est possible de transformer des monnaies virtuelles en monnaies

relles. Sur certains portails ddis, il est par exemple possible de

trier les casinos en fonction des mthodes de dpt proposes. Une

fois largent sur ces espaces de jeux, il est possible aprs quelques

parties de rcuprer son argent travers un virement sur un compte

bancaire. Sous prtexte de gain, les sommes sont alors blanchies.

Dans ce contexte, il est noter que les casinos en ligne utiliss pour

ces transactions sont l encore domicilis dans des pays aux

lgislations financires lgres, ce qui empche toute remonte

dinformation par les autorits financires.

4. Virements bancaires

Mme sils ont recours aux monnaies virtuelles et portefeuilles lectroniques, les cybercriminels finissent toujours

par montiser ce capital pour en disposer dans le monde physique. La solution la plus frquemment exploite par

les malfrats consiste publier des annonces sur le blackmarket (ou parfois par le biais de spams) afin de recruter

des mules . Ces dernires acceptent de recevoir des sommes quelles redistribuent ensuite sur dautres comptes

aprs avoir prlev une pitre commission. La promesse repose sur un travail facile et excut domicile



XI. LES TARIFS DU BLACKMARTKET

Produits Prix min Prix max RAT Gratuit 300 $ Stealer Gratuit 150 $ Crypter Gratuit 150 $ Bot (programme) Gratuit 10 000 $ Bot (code source) Gratuit 15 000 $ Tutoriel Gratuit 50 $ Kit exploit (location au mois) 50 $ 2 000 $ Services Service de chiffrement (FUD)/programme 2 $ 20 $ Attaques DDoS / heure 10 $ 200 $ Installations de bot pour 1000 (Europe) 20 $ 100 $ Donnes Fullz (Europe) 20 $ 70 $ American Express (Europe) Gratuit 50 $ Mastercard Gold (France) Gratuit 50 $ Carte Visa Premier (France) Gratuit 50 $ Passeport (Europe) 150 $ 2 000 $ Carte d'assur social (tats-Unis) 150 $ 2 000 $ Permis de conduire (tats-Unis) 150 $ 2 000 $ Un million d'adresses email 10 $ 150 $ Comptes Compte Steam Gratuit 150 $ Accs compte bancaire Gratuit 50 $ Compte PayPal Gratuit 50 $



XII. LES TERMES DE LA CYBERCRIMINALIT

Adresse IP : adresse Internet Protocol, adresse numrique servant lidentification des ordinateurs dans un rseau TCP/IP. Cette adresse comprend quatre chiffres (par exemple, 193.98.145.50). Elle se compose de deux parties : 1. Adresse du rseau logique 2. Adresse de lhte lintrieur du rseau logique. Puisque nous ne sommes pas capables de retenir des adresses IP, nous utilisons normalement des noms de domaine pour naviguer sur Internet. Packer : ils servent encoder des fichiers afin de compliquer la dtection des logiciels malveillants aux logiciels antivirus. Carding : le trafic de numro de carte bancaire est une des activits privilgies sur le blackmarket. DoS (Denial of Service) : attaque qui consiste bombarder un ordinateur (le plus souvent un serveur web) avec un nombre de requtes trs important. Ainsi, il devient incapable dassurer son service et scroule sous la charge. DDoS (Distributed Denial of Service) : une attaque Distributed-Denial-of-Service repose sur le mme principe quune attaque DoS normale, la seule diffrence quil sagit ici dune attaque rpartie. Ces attaques sont souvent effectues laide de milliers de PC zombies. Dump : un dump est une image de quelque chose, par exemple une copie dune base de donnes. Exploit : code permettant dexploiter une faille de scurit dans un ordinateur cible pour excuter un code de programmation. Flooding : terme gnrique dsignant diffrentes possibilits de surcharger ou de bloquer certains ordinateurs dun rseau par un afflux massif de requtes. File Transfer Protocol : protocole de transmission pour lchange de donnes entre deux ordinateurs. Le FTP ne dpend pas du type du systme dexploitation et du mode de transfert. Contrairement au HTTP, le FTP construit une connexion et la conserve durant tout le processus de transfert. FTP server : serveur mettant disposition des internautes des fichiers et des rpertoires tlcharger. Le plus souvent, le nom dutilisateur Anonymous et une adresse lectronique personnelle permettent de se connecter aux serveurs FTP publics. Certains virus et trojan installent leur propre serveur FTP, sur lequel on peut tlcharger des fichiers sur des ordinateurs infects. FUD (Fully UnDectable) : Fully UnDetectable signifie que les donnes (qui ont t cres avec le packer), ne peuvent tre dtectes par aucun logiciel antivirus. Hameonnage : tentative de collecter des donnes personnelles, comme les identifiants, mots de passe, numros de carte de crdit, codes daccs aux comptes bancaires, etc., par le biais de faux sites web ou de messages lectroniques falsifis. Hijacker : programme qui sinstalle de manire invisible et qui modifie les paramtrages du navigateur (par exemple, la page de dmarrage) et de ses fonctions (par exemple, la fonction de recherche). Les hijackers entrent donc dans la catgorie des trojan. En dtournant la page de dmarrage ou la fonction de recherche, les navigateurs Internet hijackers conduisent lutilisateur vers des pages web (souvent pornographiques). Parfois, ils font apparatre des barres de menu ou des fentres supplmentaires quil



est impossible de supprimer ou de fermer. Les navigateurs Internet hijackers utilisent souvent les failles de scurit et les points faibles des systmes pour sy implanter profondment. La suppression de ces fonctions de commande est souvent trs difficile. Internet Relay Chat (IRC) : protocole permettant deux personnes ou plus de communiquer par crit de manire instantane via Internet. Keylogger : un keylogger (enregistreur de frappe) permet denregistrer les entres sur le clavier et de les envoyer le cas chant. Les mots de passe et donnes personnelles peuvent ainsi tre extorqus. Messagerie instantane : communication directe entre deux ou plusieurs personnes. Les messages crits sont envoys immdiatement (Instant) et apparaissent dans linstant chez linterlocuteur. Tous les participants doivent gnralement tre connects chez le mme prestataire. VPN : un VPN permet dtablir des connexions encodes avec dautres ordinateurs ou dans dautres rseaux. Il est possible de dissimuler lintgralit de son trafic Internet via une connexion VPN. Dans ce cas, seul lIP de lordinateur qui permet dtablir une connexion est mis. Payload : il image en anglais la fonction destructrice dun virus. Lactivation de cette action peut tre lie une condition, un lment dclencheur (payload trigger). PC zombie : ordinateur contrlable distance partir dune porte drobe (backdoor). La machine zombie obit son matre qui la contrle partir dun serveur de commandes et de contrle (C&C). La plupart du temps, les PC Zombies sont runis sous forme de rseaux appels botnet. Proxy : il sert dintermdiaire entre lexpditeur et le destinataire, sachant que le destinataire ne connat pas ladresse de lexpditeur, mais seulement celle du proxy. RAT (Remote Administration Tool) : outils permettant aux fraudeurs de commander distance lordinateur des victimes. Skimming : attaque consistant copier les informations de cartes bancaires dutilisateurs par la transformation ou la manipulation de distributeurs automatiques de billets ou de moyens de paiement (distributeurs dessence). Social Engineering : tactiques de recherche utilises par un pirate informatique pour obtenir des informations dune personne ou dune structure, quil pourra utiliser ensuite pour lui nuire. Spyware : logiciel qui enregistre les activits et les processus excuts sur un ordinateur et qui transmet ces informations des tiers. Souvent, les Spyware sont exploits pour des encarts publicitaires ou analyser le comportement de navigation.

Livre Blanc Gdata Blackmarket 2015

Documents

Transcript of Livre Blanc Gdata Blackmarket 2015