Dans son rapport sur la cybercriminalité au premier trimestre 2009, la société
de conseil Fijan établit que la cybercriminalité rapporte plus de 10 000 dollars
par jour à un seul réseau pirate, une estimation qui inquiète, dautant que
cette forme de criminalité financière par Internet tend à sindustrialiser. Au
Nigeria, en Chine ou en Inde, on voit fleurir des e-commerces de kits Trojan ou
des « doses » dinfection à HTML, prêts pour lusage. Les fournisseurs répondent
ainsi à une demande, sans cesse croissante, doutils dintrusion indétectables
par les anti-virus.
Dans ce quil est désormais convenu dappeler
African connection, une main
dœuvre bon marché (kids) écume les forums de discussions et sites de
rencontres, afin de sapproprier des listes de-mails et de cartes de crédits.
Ils achètent les informations aux prix les plus bas pour les revendre en
dégageant une marge moyenne de 90 dollars/mensuel. Mais derrière lactivisme des
kids, se cachent de vrais
modèles économiques.
Le nigerian scam - Bien que le
FBI les chiffre à des millions de dollars par an, les gains générés par le
scam
nigérian sont extrêmement difficile à
évaluer. Les &grac34; des victimes culpabilisent et préfèrent garder le secret. Le
scam
nigérian arrive par e-mail,
principalement du Nigeria (doù son appellation « nigerian scam »), mais
aussi de plus en plus de Côte dIvoire, du Togo et dAfrique du Sud. Il est basé
sur le principe de storytelling :
« Vous avez gagné à la loterie ! » Ou alors un riche individu décédé en
Afrique a laissé une fortune en millions de dollars, quil faut mettre à labri
grâce au « bienfaiteur » que vous êtes. Mais avant, il faut envoyer une
somme dargent pour que votre gain ou la fortune du défunt (selon le cas) soit
débloqué ou sécurisé… Dans un cas sur trois, le
spam
sachève par «
Dieu vous bénisse !
»
Le phishing - Par un jeu de
procédés à prix minimes, le hacker
entre en possession de plusieurs
groupes dadresses électroniques, auxquelles il envoie une correspondance. Cette
dernière parvient aux cibles comme provenant de leur banque. Elle leur indique
un lien à suivre, qui débouche sur une page (généralement fort bien imitée) du
site de leur établissement bancaire. Lutilisateur est alors invité à fournir
les codes daccès à son compte. Le hacker
récupère les informations, les revend
sur Internet ou effectue des transactions financières via
e-gold.com. Le 23 octobre
dernier, le gouvernement nigérian a annoncé la fermeture de 800 sites Internet
frauduleux dans le pays, grâce au dispositif de répression « Eagle Craw ».
E-gold.com - Crée en 1996 par
Douglas Jackson, e-gold.com
est le site de référence des
transactions financières cybercriminelles. On y accède en créant un compte aussi
simplement que sur Yahoo! ou
Gmail, sans véritable contrôle
didentité. Complètement offshore,
e-gold.com
permet deffectuer des transactions
dor virtuel 100% convertibles en or physique dans limmédiat. Une fois
effectuées, les transactions sont absolument irréversibles. Le-gold
est actuellement la monnaie
électronique la plus répandue dans le cyberespace.
Le pack CC - Il sagit dun
ensemble comprenant un numéro de carte bancaire, sa date de validité et le code
de sécurité, constitué des trois chiffres situés au dos de la carte. Des
milliers de numéros dérobés sont vendus chaque jour dans le cyberespace. La
vente en gros est la plus courante. Deux ou trois CC complets pré-testés
permettent ensuite den écouler plusieurs dizaines. Impossible à garantir
dans lheure qui suit leur compromission, ces packs obligent les trafiquants
professionnels à tisser des réseaux de confiance assez hermétiques. Chez les
vendeurs au détail, les prix oscillent autour de 5 dollars lunité sur les
marchés en ligne.
Lespionnage industriel – Une
simple clé USB abandonnée dans les couloirs dune entreprise ou la pièce jointe
dun courrier électronique chargé dun cheval de Troie peuvent permettre
daccéder aux secrets industriels dune entreprise. Un cheval de Troie coûte 700
dollars en moyenne (hors mise à jour). Deux situations se présentent dans la
quasi totalité des cas : lespion (amateur ou professionnel) agit seul ou à la
demande dune entreprise concurrente de la cible. Les informations ainsi
collectées sont ensuite cédées contre plusieurs dizaines, voire des centaines de
milliers deuros. Ce type de crime ne fait jamais la une des journaux, pour la
simple raison que sa publicité ne profite ni à lassaillant, ni à sa victime.
Le racket en ligne - Ici, le
pigeon est traditionnellement une entreprise du e-commerce. Comme dans le cas
dun enlèvement classique, le preneur dotage exige une rançon, menaçant
dendommager le serveur de la cible de manière graduelle. Lentreprise qui
sexécute reçoit une protection à durée déterminée. Celle qui refuse de payer
sexpose à des dégâts plus importants... Le montant initial des rançons, qui
oscille ordinairement autour de 10 000 dollars, peut très vite atteindre les 50
000 dollars. La tendance haussière du racket électronique est proportionnelle au
développement du commerce en ligne dans plusieurs pays.
Le Money muling - Très prisé
parmi les dernières inventions, le Money
muling, promu à un bel avenir daprès les analystes, consiste à attirer les
internautes sur des sites apparemment légaux. On y propose des postes de type
« agents de transfert de fonds » qui sont en réalité des emplois écran
appartenant à des réseaux de blanchiment de capitaux. Ces derniers brassent
environ trois trillions de dollars par an. Les effets dévastateurs de la crise
financière internationale sur le marché de lemploi sont propices au
développement du Money muling.
Avec le développement des banques en ligne en Chine et en Inde, le business de
la cyber-piraterie financière a de belles perspectives de croissance devant lui,
du moins jusquà ce quune législation transnationale soit adoptée et appliquée
par tous les Etats à cette forme de criminalité sans frontière.
|