Rechercher

La cybercriminalité russophone

Constituée de groupes de pirates aussi actifs que doués, la cybercriminalité russophone sévit majoritairement contre les organismes bancaires. Quelles sont ses particularités ? Quelles perspectives de défense ?

Alexeï Chachourine, analyste en cybercriminalité chez Orange Cyberdefense offre son décryptage.

Qu’est-ce que la cybercriminalité russophone ?

De manière générale, tout individu utilisant le russe comme langue principale dans ses activités cybercriminelles est issu d’anciens pays de l’Union Soviétique, c’est pour cela que l’on parle de cybercriminalité russophone et non « russe ». Celle-ci demeure une menace importante et très active pour les entreprises et les établissements financiers des pays développés.

Cette cybercriminalité a démarré au début des années 2000 : utilisant initialement des méthodes artisanales, elle n’a cessé de se professionnaliser pour devenir non seulement une communauté à la pointe de l’innovation mais surtout la plus inventive et la plus efficace. Elle s’est aujourd’hui structurée et organisée autour de conglomérats qui s’efforcent quotidiennement de voler des données personnelles, médicales ou financières, à l’aide de logiciels malveillants spécialisés.

Historiquement, le vol de données des cartes bancaires, aussi appelé carding, a été la première occupation des cybercriminels russophones au début des années 2000 : elle est aujourd’hui devenue une activité extrêmement bien orchestrée, leur générant des revenus conséquents, ainsi que des pertes majeures pour les banques et les particuliers.

Le commerce des données financières

Les données des cartes bancaires volées aux particuliers se vendent essentiellement via des sites automatisés. Ces magasins en ligne frauduleux sont au cœur de l’activité criminelle : très simples d’usage, ils permettent aux cybercriminels débutants et sans compétences techniques de procéder aux achats de cartes bancaires afin de les monétiser par la suite.

Ces données sont généralement vendues sous deux formes :

  • Les dumps contiennent les données bancaires issues de la bande magnétique à l’arrière de la carte. Elles sont obtenues grâce à des logiciels malveillants installés sur les terminaux de paiements ou via des skimmers. Les skimmers sont des dispositifs positionnés par le pirate sur les distributeurs, permettant de copier les données de la carte lors de l’insertion de celle-ci. Une fois les données dupliquées, il va pouvoir utiliser de fausses cartes pour ses fraudes
  • D’autres jeux de données se monétisent : les bases comprenant le numéro de la carte bancaire, le code CVV, la date d’expiration, le nom du titulaire de la carte et parfois son adresse, qui sont des données indispensables pour la fraude en ligne. Elles sont principalement dérobées via des malwares bancaires, qui récupèrent les informations entrées par les internautes.

Tout est fait par les administrateurs de ces plateformes pour faciliter l’acte d’achat : il est possible de mettre de l’argent (souvent via une monnaie électronique) sur un portefeuille, puis d’effectuer son achat via l’interface du site. Comme pour tout produit acheté en ligne, différentes options sont proposées à l’acquéreur : la banque émettrice, la date de validité, le pays voulu, et parfois le montant du compte en banque associé à la carte bleue. Les sites les plus réputés proposent même de rembourser les acheteurs non satisfaits, notamment si la carte bleue achetée n’est plus valide.

Le développement de l’offre et l’adaptation au marché

Au fur et à mesure des années, les cybercriminels russophones ont élargi leurs offres pour cibler d’autres clients et répondre à d’autres demandes. Les données bancaires ne suffisant plus, les criminels proposent désormais des packs complets d’informations sur des individus, notamment pour permettre de diversifier les fraudes possibles ; ces packages peuvent inclure les données personnelles enrichies des informations de contact comme des numéros de téléphone, des emails, des numéros de sécurité sociale et de permis de conduire. Mieux, les acheteurs peuvent recourir aux services spécialisés de recherche d’informations personnelles via des forums spécialisés.

La concurrence exacerbée entre les groupes russophones et les autres places de marché, souvent anglophones, a poussé à la professionnalisation des pirates. Longtemps, les forums russophones ont souffert d’un handicap important : la langue et l’alphabet. Ces freins aux échanges commerciaux représentaient des manques à gagner certains. Au fil des ans, les sites cybercriminels russophones se sont davantage internationalisés, et ont ouvert des sections anglophones de plus en plus actives. Parallèlement, les sites occidentaux ont dû faire face à cette concurrence et améliorer la qualité de leurs offres. Aujourd’hui, les cybercriminels déploient des efforts considérables afin de promouvoir leurs outils et services, comme le ferait n’importe quel commerçant. Au-delà des techniques marketing habituelles utilisées dans le monde de la publicité, les cybercriminels ont massivement investi les réseaux sociaux classiques comme Facebook, Twitter ou encore VKontakte (aussi connu sous le nom de VK), en profitant de la quasi-absence de modération de ces plateformes.

Un terreau fertile au développement de la cybercriminalité

De nombreux facteurs peuvent expliquer le développement de la cybercriminalité en Russie. Le développement fulgurant d’internet, et l’essor des terminaux mobiles ont permis de couvrir aujourd’hui pratiquement tout le territoire. Il y est facile de se procurer une carte SIM avec un prête-nom, et d’organiser des activités délictueuses depuis n’importe quel endroit et y associer un grand nombre de personnes.

De nombreux jeunes informaticiens ou autodidactes basculent dans la cybercriminalité, souvent faute de trouver un emploi plus adéquat. Il existe pourtant un réel déficit de spécialistes en informatique, et notamment des spécialistes en cybersécurité. Toutefois, les formations universitaires de spécialistes en informatique correspondent rarement aux aspirations de la jeunesse, où il faut cinq à sept ans pour devenir professionnel, et où l’intérêt financier immédiat peut primer.

De plus, dans des pays russophones gangrenés par la corruption, gagner sa vie en enfreignant la loi est perçu comme quelque chose de commun, faisant partie intégrante de la vie sociale. La Russie, par exemple, occupe régulièrement le classement des pays les plus corrompus, avec un index de la perception de la corruption important. La Russie est classée à la 138e place sur 180 pays étudiés selon le dernier rapport de Transparency International[1], et était à la 154ème place en 2010 sur 178 pays étudiés[2].

Plus encore, le passage à l’acte délictuel peut être socialement accepté, nourri par un ressentiment ambiant anti-occidental, et où le vol peut être compris comme une forme de justice sociale. Ce sentiment d’impunité est aussi conforté par la politique internationale russe, où les demandes d’extradition aboutissent rarement. Depuis 2014 et le début du conflit en Ukraine, la collaboration internationale dans le domaine de la cybercriminalité a été stoppée : il est aujourd’hui impossible d’obtenir une arrestation sur le sol russe de cybercriminels opérant à l’étranger, et seules les arrestations hors du territoire russe sont envisageables.

Quelles perspectives ?

Relativement épargnée par la cybercriminalité dans un premier temps, la Russie connaît un retournement de la situation sur son sol. Une règle tacite voulait que les criminels russophones ne s’en prennent pas aux services financiers locaux ou aux habitants de certains pays de l’ancienne Union Soviétique. Celle-ci semble être de moins en moins suivie par les nouveaux acteurs criminels. Plusieurs groupes ciblent des banques russes comme celles des pays voisins, et le nombre de sites de phishing bancaire augmente.

Actuellement, seul l’apaisement des relations entre la Russie et les Etats occidentaux permettrait de procéder aux arrestations de groupes russophones, mais cette éventualité paraît très peu plausible au vu de l’actualité géopolitique. Par conséquent, les entreprises et les banques se doivent de continuer à surveiller et décortiquer les agissements de cet écosystème afin de mieux s’en défendre. La cybercriminalité, a minima russophone, continuera de se réinventer sans cesse, de diversifier ses cibles et de mener un travail de recherche et développement important pour conserver son temps d’avance sur les outils et les méthodes de ses détracteurs.

[1] https://www.transparency.org/cpi2018

[2] https://www.transparency.org/cpi2010/results