Les offres des cybercriminels permettent à n'importe qui de lancer des cyberattaques

Les cybercriminels se sont inspirés de l'industrie du logiciel et ont adapté son modèle économique à la criminalité en ligne : c'est le "cybercrime-as-a-service". Au lieu de fournir à leurs clients les outils pour commettre des cyberattaques, ils facturent plutôt la prise en charge de toute la chaîne de valeur. Après avoir payé, le cybercriminel néophyte n'a plus qu'à récolter le fruit de la cyberattaque, ce qui rend la cybercriminalité accessible à n'importe quel escroc et joue un rôle non-négligeable dans l'explosion actuelle des cyberattaques.
François Manens

8 mn

(Crédits : Reuters)

Et si le cybercrime était accessible à n'importe qui ? Peu le savent encore, mais ce scénario catastrophe est déjà une réalité. C'est la promesse du "cybercrime-as-a-service", c'est-à-dire les offres clés-en-main vendues sur le "dark web" (le web clandestin) par les organisations cybercriminelles. Cette démocratisation de la cybercriminalité explique même en partie l'explosion actuelle des cyberattaques, expliquait à La Tribune Guillaume Poupard, le patron de l'Agence nationale de sécurité des systèmes d'information (Anssi).

De fait, la cybercriminalité est devenue depuis quelques années un véritable secteur économique, qui a repris à sa sauce, pour le pire, le fonctionnement de l'industrie du logiciel.

Lire aussi Cyberattaques : "une grande crise est possible et comporte un risque systémique" (Guillaume Poupard, ANSSI)

Le modèle du "SaaS" adapté à la cybercriminalité

Pour comprendre comment fonctionne le "Caas" (cybercrime-as-a-service), il faut comprendre le SaaS (software-as-a-service), c'est-à-dire le modèle économique des logiciels, dominant dans l'industrie du logiciel depuis le début des années 2010. Ce modèle repose sur un changement de paradigme de la propriété à l'usage. Avant la révolution numérique, les éditeurs de logiciels vendait un produit physique, depuis ils commercialisent son utilisation clés-en-main.

L'un des exemples les plus symboliques de ce changement est celui d'Office, la célèbre suite bureautique de Microsoft (Word, Excel, PowerPoint...). Pendant deux décennies, il fallait payer en une fois pour se procurer une licence, sous la forme d'une clé qui permettait d'activer la suite logicielle sur son ordinateur. Mais en 2011, Microsoft a lancé Office 365 : une version en ligne, et donc plus flexible, de son produit. Pour l'obtenir, les clients s'abonnent au mois ou à l'année, avec la garantie d'une maintenance (corrections de problèmes et mises à jour) effectué par l'éditeur lui-même. Bref : tous les problèmes sont gérés par l'entreprise, et le client n'a qu'à profiter du produit... dont il n'est plus propriétaire.

Des entreprises de tous secteurs ont décliné ce modèle serviciel : on parle aujourd'hui de "Plateforme-as-a-service", de "mobilité-as-a-service" ou encore d'"infrastructure-as-a-service". Mais aussi, de "cybercrime-as-a-service".

Lire aussi Plongée dans la jungle du cloud, vaste marché de plus en plus convoité

Des botnets aux phishing en passant par les rançongiciels, le cybercrime est un business comme les autres

Car oui, le milieu cybercriminel n'a pas échappé à cette transformation des usages. Plutôt que de vendre des produits malveillants, parfois complexes à exploiter pour les acheteurs, une grande partie des malfaiteurs offre désormais leurs services sous forme de prestation. Le phénomène a atteint une telle popularité que le rapport du ministère de l'Intérieur sur « l'état de la menace numérique en 2019 », faisait pour la deuxième année consécutive mention du terme « cybercrime-as-a-service » (CaaS).

Le gouvernement insistait dans son texte sur le principal problème posé par la popularisation du modèle de « CaaS ». Concrètement, il permet à n'importe quelle personne prête à dépenser un peu d'argent de lancer une cyberattaque, alors qu'il fallait auparavant avoir un minimum de compétences techniques. « Il suffit désormais de payer un « prestataire » pour qu'il active son réseau de machines infectées à votre profit », constatent les rapporteurs. Tout simple, mais dévastateur.

A l'origine, le modèle serviciel est surtout venu soutenir l'activité des "botnets", ces ensembles de milliers de machines infectées capables d'agir à l'unisson sous les commandes d'un même opérateur. Pour quelques centaines d'euros, un individu pouvait louer la capacité d'attaque de l'un d'entre eux. Les "botnets" sont notamment utilisés pour les attaques par déni de service (ou DDoS) qui font tomber les sites ou applications des victimes en les surchargeant de requêtes.

Mais aujourd'hui, le modèle "as-a-service" se décline pour toutes les cyberattaques : phishing, rançongiciel, diffusion de malware... Certains offrent même des services annexes comme de l'hébergement de sites malveillants, ou des procédés de blanchiment de bitcoin (appelés "mixeurs").

"Les opérations de "cybercrime-as-a-service" ont baissé de façon significative la barrière à l'entrée pour les nouveaux criminels qui peuvent désormais simplement acheter un service , au lieu d'apprendre comment commettre un cybercrime", développe Derek Manky, responsable du laboratoire de recherche de l'entreprise Fortinet, dans un article publié en 2020.

Plus de barrière technique pour lancer des cyberattaques

Dernier exemple marquant de cette évolution de l'offre cybercriminelle, le 21 septembre, l'équipe de sécurité de Microsoft a publié un rapport rare sur une opération de "phishing-as-a-service", baptisée "BulletProofLink". Le "phishing" pourrait être considéré comme le degré zéro de la cybercriminalité, car relativement peut technique : il consiste à envoyer un message frauduleux dans l'objectif de piéger ses cibles pour qu'ils donnent des informations personnelles. Les malfaiteurs s'en servent avant tout pour voler des identifiants ou des données bancaires.

Avant, les personnes intéressées par cette activité malveillante avaient deux choix :

  • Développer leur propre modèle d'email et de site malveillant, et lancer la campagne eux-mêmes. Autrement dit, ils devaient avoir quelques compétences en développement, en plus de l'organisation la campagne.
  • Acheter un « kit de phishing » -pour quelques dizaines d'euros- avec des modèles d'email et de sites préconçus par des personnes compétentes. Si ce produit ouvrait la porte de la cyberdélinquance à des individus incapables de développer leurs propres modèles, ces derniers devaient tout de même apprendre à monter le site de phishing, organiser l'envoi des emails ou encore de gérer la récupération des informations volées. Parfois, sans succès : c'est pour cette raison qu'une bonne partie des phishings semblent grossiers.

Avec son modèle de PaaS [phishing as a service, Ndlr], BulletProofLink propose une troisième option. Contre le paiement d'un abonnement, l'organisation prend en charge de toute la chaîne de valeur du phishing : de la création des imitations d'emails et de sites à la récupération des mots de passe de victime, en passant par l'envoi des emails et la gestion du site.

Autrement dit, le client n'a qu'à payer et pointer sa cible, et il recevra les identifiants dérobés en cas de réussite de l'attaque. Le tout, avec un accompagnement personnalisé.

Le rançongiciel, clou final du "cybercrime-as-a-service"

Mais si le concept de "cybercrime-as-a-service" fait de plus en plus parler, c'est avant tout à la faveur de l'effroyable ascension des gangs rançongiciels (ransomwares, en anglais) depuis 2017. Tous les principaux groupes fonctionnent sur un modèle de « ransomware-as-a-service » (ou RaaS), avec une activité partagée sur deux niveaux.

Au cœur de l'organisation se trouvent les "opérateurs", qui conçoivent et mettent à jour le logiciel malveillant. Ils gèrent également la communication du gang sur les réseaux cybercriminels ainsi qu'avec les victimes, et ils se chargent du recrutement de personnes externes à la structure, les "affiliés".

Deuxième maillon de la chaîne, les affiliés peuvent être comparés à des travailleurs indépendants. Ils passent un processus de sélection -plus ou moins exigeant selon les organisations- afin d'obtenir le droit d'exploiter le rançongiciel développé par les opérateurs. Charge à eux ensuite de trouver les meilleures méthodes pour infecter les victimes, même si parfois les opérateurs offrent quelques outils en plus du rançongiciel.

Les affiliés s'exposent à la place des opérateurs : en cas de raté, les autorités remonteront à eux en premier. Mais en cas de succès, c'est le jackpot : si la victime finit par payer la rançon, l'affilié responsable de l'attaque recevra entre 70% et 80% du montant de la part des opérateurs, qui se seront occupés de la négociation.

La modèle RaaS protège les opérateurs, mais ne pas contrôler toute leur chaîne de valeur peut leur coûter cher. Si un affilié maladroit s'en prend à la mauvaise cible -par exemple une infrastructure critique comme les oléoducs de Colonial Pipeline-, et s'attire les foudres des plus hautes autorités, les forces de l'ordre ne feront pas de distinction entre le gang et son partenaire. C'est ainsi que le gang Darkside a pris une retraite anticipée, sans que l'on ne sache si les autorités ont rattrapé ses membres, où s'ils ont disparu avant que ce ne soit le cas.

Reste qu'à plus grande échelle, le cybercrime-as-a-service favorise le développement des activités cybercriminelles :

"Ce nouveau modèle économique a mené à une industrialisation du cybercrime. Il permet une spécialisation des talents et une division du travail au sein même des organisations, ce qui les rend plus efficaces et profitables", conclut Derek Manty dans son article de recherche.

Autrement dit, les cybercriminels peuvent allouer plus de temps au développement de leurs logiciels malveillants, en plus d'attirer toujours plus de clients.

François Manens

8 mn

Sujets les + lus

|

Sujets les + commentés

Commentaires 3
à écrit le 29/09/2021 à 10:43
Signaler
Merci pour cet article, une bonne nouvelle donc exposant comme internet est bel et bien un réseau peer to peer tellement éloigné du cercle fermé de ceux qui détruisent le monde en ronflant.

à écrit le 28/09/2021 à 20:18
Signaler
Les cyber criminels ne sont pas enquiquinés du matin au soir par une administration tâtillonne qui les empêche d'innover, leur interdit d'utiliser ceci ou cela ou leur impose un code du travail ubuesque. Le résultat et les profits sont là ! Il y a...

à écrit le 28/09/2021 à 17:22
Signaler
Donc! En conclusion, on devrait décréter qu'il serait criminel de continuer sur cette voie, mais, malheureusement, le criminel... c'est l'autre!

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.