La cybercriminalité made in France

Les attaques cybercriminelles dont la France est victime chaque année sont souvent attribuées à des organisations criminelles étrangères. Si ce phénomène est une réalité, il est cependant loin de recouvrer la totalité des situations. En effet, les cybercriminels français sont bien souvent oubliés et, de fait, leurs profils très peu connus.

Pourtant, un évènement récent bouscule de nombreuses certitudes quant à l’identité de certains pirates qui sévissent sur le web : décembre 2011, l’identité de l’administrateur d’un célèbre forum cybercriminel actif depuis 2009 est dévoilée sur un forum concurrent (cette information a été néanmoins effacée très rapidement). La consonance de son nom est tout à fait évocatrice, elle est bien française.

Exemple d’une partie de la longue tirade rédigée par un administrateur d’un forum cybercriminel contre un forum concurrent tenu par le pirate français. Le nom et le prénom de ce dernier sont livrés à tous les membres ainsi que l’essentiel de sa vie privée.

Exemple de l’étonnement de certains membres découvrant la nationalité du cybercriminel.

La surprise est de taille car de nombreux membres le pensait originaire d’Europe de l’Est. En effet, le nom de domaine utilisé par ce dernier est en .RU (Russie) et les serveurs localisés à Kiev. De plus, le cybercriminel résiderait en Ukraine où il possède un datacenter (cf. son site internet ci-dessous) grâce auquel il propose des services d’hébergement pour d’autres sites frauduleux (copie d’écran).

Cet exemple pourrait se révéler être un cas isolé mais il permet néanmoins de mettre en lumière certaines informations pertinentes :

  • Alors qu’une importante partie des relations qu’entretiennent les cybercriminels entre eux s’établissent virtuellement derrière un écran d’ordinateur, ces derniers se connaissent néanmoins suffisamment pour se craindre les uns les autres. Le fait qu’un rival du pirate français en dévoile la vie privée avec tant de précisions démontre que l’anonymat, pourtant règle d’or de ce milieu, n’est pas véritablement absolu. Ainsi, un climat d’intimidation règne parfois sur le web, où les malfrats n’hésitent pas à proférer différentes menaces envers des « confrères » qui ne respecteraient pas les règles établies : menaces de mort ou de dénonciation à la police par exemple.

  • La mobilité dont font preuve les cybercriminels n’est plus à démontrer. Qu’un français choisisse l’Ukraine pour commettre ses méfaits n’est pas neutre, ce pays aux portes de l’Union Européenne étant devenu un lieu privilégié pour les hébergeurs bulletproof. Ce dernier pourrait également bénéficier de la complicité de contacts locaux maîtrisant parfaitement le marché ukrainien.
  • La communauté française est bien active dans les forums illégaux pour mener des activités criminelles complexes mais elle ne se dévoile pas aisément. L’emploi du français est clairement évité à l’inverse des novices qui, eux, s’expriment très souvent dans la langue de Molière. Les attaques menées contre l’administrateur ont ainsi permis de révéler qu’une partie de ses équipiers est également française. Si certains s’adonnent prioritairement au piratage de sites de notre pays, d’autres entreprennent des activités très éloignées du marché hexagonal.

Exemple: ci-après du site de vente de données bancaires tenu en parallèle par l’administrateur du forum. Il y ajoute régulièrement des données bancaires françaises. Son activité était à son apogée en 2010, des centaines de numéros de cartes étant ajoutés régulièrement.

Ci-dessous, un site consacré à la recherche de données personnelles (date de naissance, numéro de sécurité sociale) concernant les titulaires de cartes bancaires américaines et anglaises. Ce site est lui aussi géré par un français.

Ces recherches sont orientées vers la criminalité économique mais il est probable que certaines attaques de nature politique visant la France sont elles aussi fomentées par des nationaux se faisant passer pour des ressortissants étrangers.

Adrien Guinault

Découvrir d'autres articles

  • conflit israélo-palestinien
    Cyber Threat Intelligence

    Retour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien

    Lire l'article
  • Veille / Vulnérabilités

    Exploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing

    Lire l'article
  • Veille / Vulnérabilités

    10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA

    Lire l'article