3 min

Infiltrer le marché de vente de logiciels malveillants

L’Institut de lutte contre la criminalité économique de la Haute école de gestion Arc à Neuchâtel, en collaboration avec l’Ecole de criminologie de l’Université de Montréal, a réalisé une étude sur le comportement des hackers dans les salles de discussions privées du deepweb et du darkweb. Jusqu’à ce jour, les travaux scientifiques dans le domaine s’étaient principalement intéressés aux salles de discussions publiques.

Cyber criminalité - ILCE - 5 mai 2022
ILCE

L’Institut de lutte contre la criminalité économique de la Haute école de gestion Arc (HES-SO) à Neuchâtel, en Suisse, a été fondé en 2000. Il offre une riche palette de formations continues, exécute des mandats et dirige ou participe à différents projets de recherche en lien avec la criminalité économique, la cybercriminalité et l’investigation numérique.

Voir tous les articles

L’objectif de cette étude était de décrire et de comprendre les impacts de la nature privée des forums de discussion sur les activités de leurs participants. Plus précisément, les chercheurs ont comparé les forums de discussions publics et privés afin de décrire et de comprendre les types de logiciels malveillants dont leurs participants font la publicité, l’infrastructure ciblée par les logiciels malveillants, la date de la première détection des logiciels malveillants proposés, le prix et, enfin, le niveau de confiance dans les vendeurs.

Pour comprendre les impacts de la nature privée des forums de discussion, les chercheurs ont sélectionné deux forums de discussion (un privé et un public) disponibles sur Internet dont l’objet principal est la vente de logiciels malveillants. Dans cette étude, les logiciels malveillants doivent être compris comme tout logiciel, code ou morceau de code, qui exécute des opérations nuisibles sur le système informatique d’un tiers (par exemple les ransomwares, les vers et les spywares). Cette définition exclut donc les logiciels de phishing, les logiciels de spamming et les services de cryptage qui favorisent les infections et la propagation des logiciels malveillants. Un forum de discussion privé russophone, qui compte plus de 62 000 membres et 1 100 000 messages publics (moyenne de 18 messages par membre), a été sélectionné, infiltré et observé. Le forum public a été choisi en raison de ses similitudes avec le forum de discussion privé. Le forum de discussion public comptait beaucoup plus d’observateurs, avec plus de 185 000 membres mais seulement 345 000 messages (2 messages par membre en moyenne).

Les données des fils de discussions dont le dernier message a été posté entre le 1er juin 2020 et le 10 février 2021 ont été collectées. Au total, 362 fils de discussion ont été analysés sur la salle de discussion publique, et il a été confirmé que 86 d’entre eux proposaient la vente de logiciels malveillants au sens de la précédente définition. Sur le forum de discussion privé, les chercheurs ont examiné 806 fils de discussion et ont trouvé 136 annonces de logiciels malveillants.

Les chercheurs ont observé que les participants aux forums de discussion privés respectaient un code de conduite concernant l’utilisation et la cible des logiciels malveillants, par exemple un vendeur a interdit l’utilisation de ses logiciels contre des structures publiques telles que des hôpitaux ou des écoles.

L’étude développe les résultats suivants :

  • Les logiciels malveillants qui permettent d’accéder à des ordinateurs représentaient un peu plus de la moitié de tous les logiciels malveillants en vente sur les forums publics (56 %) et privés (57 %) ;
  • Les logiciels malveillants pour téléphone ne représentaient qu’une petite partie de tous les logiciels en vente (6 % des forums de discussions publics et 13 % des forums de discussion privés), les autres logiciels ciblaient des ordinateurs ;
  • Dans les forums de discussion publics et privés, environ un tiers des logiciels malveillants ont été détectés pour la première fois en 2020. En général, les logiciels malveillants vendus sur les forums privés semblaient être plus récents, 56 % d’entre eux ayant été détectés en 2019 ou plus tard, contre 44 % sur les forums publics ;
  • De nombreuses annonces n’affichaient aucun prix, cependant la transparence concernant les prix était beaucoup plus élevée sur le forum privé (94 %) que sur le forum public (40 %) ;
  • Dans le forum de discussion public, 77 % des vendeurs ont reçu une note de 0, contre seulement 35 % dans le forum de discussion privé. Presque toutes les annonces sur le forum de discussion privé mentionnaient qu’un garant doit être utilisé pour finaliser la vente, sur le forum public cela ne représentait qu’un très faible pourcentage (N = 10).

Pour conclure, les forums de discussion publics et privés vendent des logiciels malveillants de base et sophistiqués sans différence de prix significative. La différence majeure entre les forums privés et publics réside dans la confiance entre les participants. Celle-ci est plus importante sur le forum privé, où les vendeurs ne se soucient pas de se cacher et partagent des vidéos de leurs logiciels malveillants sur des services publics. Un sentiment d’impunité est présent tant chez les participants aux forums de discussion publics que privés et rappelle le grand nombre d’acteurs malveillants en ligne et le manque de ressources pour les combattre.

Auteurs :

Renaud Zbinden, Institut de lutte contre la criminalité économique, HEG Arc // HES-SO, Suisse

Olivier Beaudet-Labrecque, Institut de lutte contre la criminalité économique, HEG Arc // HES-SO, Suisse

Cristina Cretu-Adatte, Institut de lutte contre la criminalité économique, HEG Arc // HES-SO, Suisse

Partager cet article avec un ami