La Cyber Crim

LA CYBERCRIMINALIT
Par Grard Peliks

Expert scurit
Cassidian CyberSecurity - Groupe EADS
Mai 2013
La criminalit se dveloppe aujourdhui sur un terrain moins risqu et plus fertile que celui du monde
rel car lanonymat y est pratiquement assur pour qui sait sy prendre, et le dispositif policier, sil nest
pas inexistant, est trs insuffisant pour surveiller le milliard dindividus qui se retrouvent sur le Net.
Pourtant cet espace virtuel est devenu aussi indispensable lconomie des entreprises et aux relations
entre le citoyen et son administration que le tlphone et le courrier papier.
Le monde devient instable et dangereux. Les changes se mondialisent et ne connaissent, sur la toile,
pas de frontires. Dans ce monde virtuel o tout est craindre, les amis de nos amis peuvent tre nos
pires ennemis et les clients de nos partenaires peuvent tre nos concurrents. La monte du terrorisme et
une situation conomique trs perturbe engendrent un imprieux besoin de scurit.
Connatre les menaces qui psent sur les systmes dinformation, comprendre les mesures de scurit
mettre en place et dj un premier pas est franchi vers un monde Internet plus sr, un monde o
lconomie et la culture pourront se dvelopper harmonieusement, malgr les piges et les coups de
boutoirs des hackers qui foisonnent sur la toile.
Un livre blanc de Forum ATENA
Un livre blanc
1 / 23
SOMMAIRE
LA CYBERCRIMINALIT .............................................................................................. 1
1.
INTRODUCTION LA CYBERCRIMINALIT ......................................................... 4

1.1.
LES VULNRABILITS ......................................................................................................... 4
1.1.1. Des logiciels plus vulnrables quavant ? ...................................................................... 4
1.1.2. Le cycle de vie dune vulnrabilit ............................................................................... 4
1.1.3. Quelle cible, Microsoft, Apple, UNIX, Smartphone ? ....................................................... 4
1.1.4. Des vulnrabilits quon nattendait pas ....................................................................... 4
1.2.
LES MENACES .................................................................................................................. 5
1.2.1. Les menaces internes ................................................................................................ 5
1.2.2. Les menaces externes ............................................................................................... 5
1.2.3. Les inquitudes ........................................................................................................ 6
1.2.4. Quelques types de menaces ....................................................................................... 6
1.3.
LES ATTAQUES ................................................................................................................. 6
2.
LES ATTAQUES PAR INFECTION .......................................................................... 7

2.1.
2.2.
2.3.
3.
LES ATTAQUES SUR LE WEB................................................................................ 8

3.1.
3.2.
3.3.
4.
LES VIRUS ET LES VERS ...................................................................................................... 7

LES CHEVAUX DE TROIE ...................................................................................................... 7
LES ADAWARES, LES SPYWARES ET LES ROOTKITS ....................................................................... 7
LA DFIGURATION OU DEFACING ............................................................................................ 8

LE DNI DE SERVICE DISTRIBU ............................................................................................ 8
LE CHANTAGE .................................................................................................................. 8
LES ATTAQUES SUR LA MESSAGERIE .................................................................. 9

4.1.
LE SPAM OU POLLUPOSTAGE ................................................................................................ 9
4.2.
LE MASS MAILING ............................................................................................................. 9
4.3.
LE PHISHING ................................................................................................................... 9
4.3.1. La gense de lattaque............................................................................................... 9
4.3.2. Le Phishing ............................................................................................................ 10
4.3.3. Les acteurs en prsence .......................................................................................... 10
4.3.4. Le droulement de larnaque .................................................................................... 11
4.3.5. Le pharming ou lattaque sur les DNS ........................................................................ 12
4.3.6. Le Vishing .............................................................................................................. 12
4.4.
LE BOTNET ................................................................................................................... 13
4.4.1. La marche des zombies ........................................................................................... 13
4.4.2. Mais qui sont ces spammeurs ? ................................................................................ 13
4.4.3. Il y a un zombie dans ma sacoche ! .......................................................................... 13
4.4.4. Le matre du botnet ................................................................................................ 14
4.4.5. Le SPAM et le dni de service ................................................................................... 14
4.4.6. Le commanditaire ................................................................................................... 14
4.4.7. Les contre-mesures pour un monde sans zombies....................................................... 15
5.
LES ATTAQUES QUI PORTENT SUR VOTRE CRDULIT ...................................... 16

5.1.
LE HOAX ......................................................................................................................
5.2.
LA FRAUDE NIGRIANE .....................................................................................................
5.2.1. Des soucis et une urgence .......................................................................................
5.2.2. Nom de code SCAM 4-1-9 ........................................................................................
5.2.3. Dabord votre identit produire ..............................................................................
5.2.4. Ensuite le coffre louer et des pots de vin distribuer ................................................
5.2.5. Et puis les coordonnes bancaires fournir ................................................................
5.2.6. Et finalement de rels soucis et bien des tourments quand clate la bulle ......................
5.2.7. Quelques chiffres qui font frmir ...............................................................................
5.2.8. Que peut-on y faire ? ..............................................................................................
5.2.9. Aide-moi je vous en conjure ................................................................................
6.
16
16
16
16
17
17
17
18
18
18
18
LE PUMP AND DUMP ......................................................................................... 19

6.1.
6.2.
6.3.
UNE SOCIT COTE ET QUI MRITE D'TRE CONNUE .................................................................. 19

LE PUMP (LE GONFLAGE ARTIFICIEL) ..................................................................................... 20
POMPEZ, POMPEZ, IL EN RESTERA TOUJOURS QUELQUE CHOSE .................................................... 20
Un livre blanc
2 / 23
6.4.
6.5.
6.6.
6.7.
DE QUI RECEVEZ-VOUS CES E-MAILS ET POURQUOI VOUS ? ........................................................

LE DUMP (LA LIQUIDATION ET LA FIN DU RVE) ........................................................................
QUE FAIRE CONTRE CETTE ARNAQUE ? ...................................................................................
FIN DU RVE .................................................................................................................
21
21
22
22
7.
EN CONCLUSION : RETOUR VERS LE MONDE REL ............................................ 22
8.
A PROPOS DE LAUTEUR ................................................................................... 23
Un livre blanc
3 / 23
1.
INTRODUCTION LA CYBERCRIMINALIT
1.1. LES VULNRABILITS

Prenons comme exemple parmi tant dautres, une vulnrabilit qui a fait beaucoup parler delle dans
les milieux des bases de donnes. Cette vulnrabilit pourtant connue, et pour laquelle il existait un
correctif depuis six mois, qui affectait les serveurs MS SQL a t exploite par le ver Slammer, partir du
25 janvier 2004.
Moins de dix minutes aprs la premire injection de ce ver quelque part sur le net, plusieurs dizaines
de milliers de serveurs MS SQL ont t contamins autour de la plante entranant un srieux
ralentissement des transactions sur la toile.
Cet vnement est intressant plus dun titre. Outre la vitesse fulgurante de propagation de ce ver,
on a remarqu que le correctif de lditeur qui corrigeait cette faille connue navait pas t implment sur
la plupart des serveurs MS SQL. Si la faille tait connue par les experts en base de donnes, elle ltait
aussi par les hackers et ceux-ci ne sont donc pas rests bien longtemps inactifs.
1.1.1. DES LOGICIELS PLUS VULNRABLES QUAVANT ?
Tout logiciel peut prsenter des vulnrabilits qui sont autant de portes ouvertes dans la scurit des
systmes dinformation et par lesquelles les hackers vont sengouffrer. Un logiciel est une uvre souvent
trs complexe et ses auteurs ne sont pas labri de commettre des erreurs au cours du dveloppement et
de la maintenance du produit.
Les CERT sont des organismes qui vous pouvez vous adresser pour dcrire des vulnrabilits
trouves et des attaques subies. Les CERT rpertoriaient quelques dizaines de vulnrabilits il y a dix ans
et en signalent plusieurs milliers aujourdhui.
Les logiciels sont-ils alors aujourdhui plus sujets aux vulnrabilits quil y a dix ans ? Non, mais malgr
tous les efforts mritoires fournis par les entreprises pour former leurs dveloppeurs crire du code sans
failles, comme le nombre dinstructions qui composent les logiciels, mme en langage volu, ne cesse de
crotre, la complexit suit. La probabilit de trouver des erreurs augmente galement.
1.1.2. LE CYCLE DE VIE DUNE VULNRABILIT
Une vulnrabilit ne reste pas mconnue bien longtemps. Le nombre de sites attaqus, suite une
vulnrabilit trouve dans un logiciel prsente un cycle de vie particulier.
Au dbut peu de sites sont concerns par les attaques car peu de monde a entendu parler de la
vulnrabilit. Aprs quelques jours, parfois quelques heures, suite la publicit faite sur le trou de
scurit trouv, le nombre de sites touchs par des attaques croit brusquement pour se stabiliser quand le
correctif est disponible. Mais le nombre de sites attaqus ne tombe pas zro car le correctif nest pas
appliqu sur tous les sites qui prsentent cette vulnrabilit. Les attaques se perptuent encore longtemps
aprs la disponibilit du correctif. Le nombre dattaques finit par dcrotre, mais cest surtout du au fait
que les attaquants se tournent vers lexploitation de nouvelles vulnrabilits pour lesquelles il ny pas
encore de correctif.
Les attaques qui se dchanent entre la publication de la vulnrabilit et la fourniture de son correctif
appeles les zero day attacks peuvent faire trs mal sur des systmes dinformation incapables de se
protger !
1.1.3. QUELLE CIBLE, MICROSOFT, APPLE, UNIX, SMARTPHONE ?
On dit habituellement que les vulnrabilits affectent essentiellement les logiciels de Microsoft. Il nen
est rien. Les logiciels sous les diffrents UNIX et autres systmes dexploitation ne sont pas pargns.
Dailleurs, daprs les CERT, 45% des vulnrabilits sont trouves sous UNIX et seulement 16% sous
Windows. Ainsi, ct vulnrabilits, les navigateurs Firefox ou Chrome ne sont pas la rponse Internet
Explorer ; le serveur Web Apache nest pas la rponse Internet Information Server et Thunderbird nest
pas la rponse Outlook ! On ne peut donc que vivre dangereusement.
1.1.4. DES VULNRABILITS QUON NATTENDAIT PAS
Des vulnrabilits sont dcouvertes mme aux endroits o on ne supposait vraiment pas pouvoir en
trouver. Ainsi une banale image JPEG, intentionnellement mal forme peut permettre un hacker de
prendre le contrle de votre poste de travail suite une vulnrabilit qui affecte les logiciels Microsoft
Office que vous utilisez pour linterprter.
Un livre blanc
4 / 23
Mais pouvez-vous vous passer de lire des images quand vous naviguez sur la toile, quand vous crivez
des documents sous Word ou quand vous dveloppez une prsentation sous PowerPoint ?
Un humoriste a fait remarquer que si les voitures prsentaient les mmes dfauts que les logiciels,
personne noserait rouler avec. Linformatique est omniprsente, il faut bien utiliser des logiciels, alors
surtout, ne pas ngliger de placer des solutions de scurit et dinstaller les correctifs aussitt quils sont
disponibles chez lditeur qui a votre confiance.
1.2. LES MENACES

On distingue les menaces dorigine interne et celles dorigine externe. Les menaces internes sont celles
provenant des utilisateurs situs dans votre rseau, les menaces dorigine externe viennent des
utilisateurs situs en dehors de votre systme dinformation. Ce sont celles dont on se mfie le plus, mais
cest peut-tre une erreur. De nombreuses attaques russies proviennent de lintrieur dun systme
dInformation.
1.2.1. LES MENACES INTERNES
Les menaces dorigine interne sont induites par la maladresse des
mconnaissance des outils quils utilisent mais aussi hlas par leur malveillance.
utilisateurs,
par
leur
Cest par exemple un fichier pourtant class confidentiel, qui se retrouve publi par la presse alors quil
contient des informations nominatives ou diffamatoires, avec toutes les consquences pnales ou civiles
que cette menace peut entraner pour lemploy et aussi pour le dirigeant de lentreprise qui na pas su
assumer sa responsabilit de protger linformation quil dtient.
Cest le tlchargement doutils logiciels craqus dont lutilisation est illicite car sans licence ou de
fichiers ou pages Web dlictuelles. En France, par exemple, la consultation de pages Web pdophiles ou
racistes est un dlit pnal et la loi rprime aussi le dirigeant de lentreprise qui na pas pris les mesures de
contrle indispensables pour rguler lutilisation du Web par ses employs.
Les menaces portent aussi sur la perte de productivit, voire mme de marchs, suite la saturation
de la bande passante par un employ qui tlcharge des fichiers de trs grosse taille, sans prendre
conscience de la gne cause aux autres usagers.
Mais ce sont aussi des actes de malveillance perptrs par des utilisateurs de lintrieur et les
protections primtriques mises autour du rseau pour faire face aux menaces venant de lextrieur sont
videmment inoprantes.
1.2.2. LES MENACES EXTERNES
Sans ngliger les simples tentatives de malveillance gratuite qui ne constituent pas les menaces les
plus inquitantes, les menaces dorigine externe peuvent tre caractre stratgique, idologique ou
terroriste. Savez-vous que nos changes dinformations ont t depuis plusieurs annes, notre insu,
capts et analyss par un gigantesque dispositif de grandes oreilles, le rseau Echelon, rparti sur
plusieurs pays, en particulier les USA, le Canada, la Grande Bretagne, lAustralie, la Nouvelle Zlande,
avec radars dcoute, satellites, et batteries dordinateurs parmi les plus puissants du monde pour
analyser les informations captes ?
Difficile dchapper ce rseau despionnage lectronique et informatique dont le but avou tait de
lutter contre le terrorisme et les narcotrafiquants, mais qui a aussi servi de stations dcoute pour
favoriser lconomie des pays qui hbergeaient ces grandes oreilles. Ceci constitue une menace relle pour
nos conomies nationales.
Cette menace est toujours actuelle, et mme plus que jamais actuelle avec le dveloppement
inquitant des actes de cyberespionnage. Avec moins de moyens mais beaucoup de comptences, la mafia
et les terroristes sont aussi lcoute des changes et utilisent le rseau public pour organiser leurs
actions ou paralyser les ntres.
Les codes source des diteurs de logiciels parmi les plus renomms sont vols et analyss pour en
dcouvrir les vulnrabilits. Larme amricaine, et dautres armes, disposeraient mme dquipes de
hackers dotes de grands moyens pour infiltrer ou attaquer les infrastructures informatiques ennemies.
Mission impossible, pensez-vous ? Dans lindustrie, qui sont nos amis et qui sont nos ennemis ?
Les menaces voluent trs vite et deviennent de plus en plus complexes contrer. Nous nen sommes
plus, comme il y a 20 ans, essayer de dcouvrir des mots de passe pour pntrer dans un rseau.
Aujourdhui on soffre des services de hackers particulirement efficaces ou on loue du temps machine sur
des rseaux dattaque aussi nombreux que volatiles.
Mais si le niveau de menaces est de plus en plus lev, les connaissances requises pour lancer des
attaques sont de plus en plus basiques parce que les outils pour attaquer sont de plus en plus conviviaux.
La cybercriminalit rapporterait par an, plusieurs centaines de milliards de dollars.
Un livre blanc
5 / 23
1.2.3. LES INQUITUDES

Face ces menaces, quelles sont les inquitudes majeures ressenties par les entreprises ? Ce sont
bien sr les vers et les virus qui sont toujours mdiatiss jusqu faire la une des journaux tlviss et qui
constituent une menace relle. Ce sont les SPAM qui encombrent les botes aux lettres et entranent une
perte considrable dheures de travail passes les supprimer. Ce sont encore les informations
confidentielles qui senvolent dans la nature avec les fichiers clients, les conflits internes et les secrets de
fabrication, et qui se retrouvent chez les concurrents, chez les clients et dans le grand public.
Cest le rseau de lentreprise qui tombe suite une attaque par dni de service distribu. Le
dveloppement du BYOD (Bring Your Own Device), du Cloud Computing, du Big Data, des objets
communicants nont pas fini de justifier les inquitudes lgitimes des entreprises. On ajoute tout cela,
les attaques sur les infrastructures sensibles d'un pays qui peuvent entrainer des effets catastrophiques
pour la population.
1.2.4. QUELQUES TYPES DE MENACES
Classons les menaces les plus prsentes en commenant par la plus mdiatise : le virus. Un virus
sattache un logiciel porteur qui le vhicule et qui doit tre excut pour que le code malfaisant qui
linfecte puisse agir et infecter dautres logiciels.
La menace la plus ruse est le ver, qui diffre du virus parce quil na pas besoin dtre hberg par un
programme infect pour arriver jusque chez vous sur votre systme dinformation. Le ver est autonome et
pntre dans votre rseau et sur votre poste de travail sans que vous nayez excuter la moindre action
malheureuse, ni commettre la moindre maladresse (autre que celle dtre connect au rseau !). Le ver
arrive chez vous par le rseau, le plus souvent en passant par une faille dun logiciel de votre poste de
travail.
La menace la plus sournoise est sans aucun doute le cheval de Troie. Cest un logiciel qui ne cause pas
de dgts apparents mais qui au contraire se fait oublier et vous observe, capte vos informations et les
envoie son destinataire qui alors peut en faire un usage dommageable. Le cheval de Troie peut observer
les frappes des touches de votre clavier, et vous aurez beau chiffrer votre information, lui la reoit en
clair. Il peut se situer au niveau de la fentre daccueil par laquelle vous entrez votre mot de passe ou
votre code PIN, ou tre tapi dans votre systme de fichiers o il scrute vos informations pour
ventuellement les dvoiler.
La menace la plus rpandue est sans doute le macrovirus, variante des virus, qui, sil est prsent chez
vous, a de grandes chances dinfecter tous les fichiers que vos fichiers Office ouvrent.
Et enfin la menace la plus imparable est le dpassement de buffer. Si le programme que vous utilisez
prsente ce type de vulnrabilit, une information entre dans votre programme peut entraner
lcrasement de ses instructions par des instructions conues par le pirate et entres en tant que donnes.
Alors, ce nest plus votre programme qui sexcute mais les instructions entres par le hacker qui peut
prendre ainsi le contrle de votre poste de travail.
Mais les menaces ne seraient pas grand chose sil ny avait aussi les attaques qui sont une
concrtisation de ces menaces et quand ces attaques exploitent les vulnrabilits de vos programmes, il
est difficile de les arrter avant quelles naient atteint leur but !
1.3. LES ATTAQUES

Les attaques sur les systmes dinformation, quelles soient brutales ou feutres, menacent aujourdhui
chacun de nous pour peu que nous soyons, ou que notre systme dinformation soit connects. Une
rcente tude de Sophos indique quun poste de travail connect lInternet, sans protection efficace, a
50% de (mal)chance dtre infect au bout de 3 minutes et la quasi-certitude dtre infect au bout dune
heure. Les attaques ciblent particulirement les applications les plus utilises sur le Net que sont le Web et
la messagerie, et les plus redoutables sont formes par une combinaison savamment dose de plusieurs
attaques.
Nous avons dj voqu laction des CERT pour rpertorier les vulnrabilits. Les CERT rpertorient
galement les attaques depuis une vingtaine dannes et montrent que celles-ci augmentent de manire
quasi exponentielle et dpassent cette anne les 500 000. Une attaque peut cibler un seul poste de travail
ou plusieurs dizaines de milliers de rseaux.
Il y a quelques annes, la motivation des attaquants, tait simple : nuire et dtruire, souvent par dfit,
par pur plaisir ou simplement par vengeance. Aujourdhui leur but principal est de soutirer de largent et
les nouvelles attaques qui sannoncent sont encore plus inquitantes. Elles commencent dans le monde
virtuel et se poursuivent dans le monde rel o elles retrouvent les victimes rencontres sur le Net, et sen
prennent leur vertu ou leur vie.
Limage de ladolescent fru de nouvelles technologies, dans sa chambre encombre de bandes
dessines, de documentations techniques et de canettes de coca, et qui mne des attaques au hasard,
Un livre blanc
6 / 23
depuis son PC ou son MAC hors dge, pour prouver ses copains et ses copines quel point il est
redoutable nest plus de mise.
Une tude rcente indique que seulement 10% des attaques sont menes par des hackers en herbe
qui recherchent la notorit, 60% par la petite cybercriminalit et 30%, les plus dangereuses, sont des
attaques de grande ampleur perptres par des organismes mafieux, parfois officiels. Aujourdhui les
hackers redoutables sont plutt des professionnels qui ciblent leur victime et combinent le social
engineering et les outils sophistiqus quils conoivent pour leur usage personnel.
Les attaquants vont jouer sur la peur, lincertitude et le doute, cest dire que les piliers du commerce
lectronique se trouvent menacs par cette criminalit qui se regroupe en mafias organises.
Ce qui motive aujourdhui le hacker cest de gagner de largent facilement, en prenant un minimum
de risques. Un virus a montr la voie. Avec les botnets, la cybercriminalit se professionnalise et propose
ses services en location. Le chantage se rpand laissant prsager une utilisation de lInternet
particulirement inquitante.
2.
LES ATTAQUES PAR INFECTION
2.1. LES VIRUS ET LES VERS

Si les virus et les vers sont partout, ils ne constituent pas pour autant la seule cause dinfection. En
2004 un nouveau type de virus a ralis la plus violente attaque que le cyber monde ait connu. Mydoom
est arriv par la messagerie. Si la messagerie ne suffisait pas pour linfection, Mydoom se donnait une
deuxime chance en passant par le logiciel peer to peer Kazaa.
En juillet 2001, le virus Code Red sest install sur 250 000 systmes autour du monde en 9 heures. En
janvier 2004, Slammer a mis 10 minutes pour infecter plusieurs dizaines de milliers de serveurs. Les virus
et vers deviennent polymorphes en changeant de signature pour chapper aux anti-virus. Ils sen
prennent dailleurs parfois en priorit lantivirus qui les traque, puis votre navigateur pour vous isoler
et vous empcher de trouver de laide sur la toile.
Plus proche de nous, le ver Conficker, partir de 2008 s'est attaqu plus particulirement aux
domaines de la sant et des administrations et a ralenti considrablement le fonctionnement de leurs
installations. Bien peu d'organisations ont t pargnes. Et ce ver svit toujours aujourd'hui
Le ver Shamoon, envoy par l'Iran vers les installations ptrolires de l'Arabie Saoudite, a dtruit en
octobre 2012, l'information contenue sur 30 000 ordinateurs de la socit Aramco, avant de sauter sur le
producteur de gaz Gazprom au Qatar.
2.2. LES CHEVAUX DE TROIE

Daprs une tude de Sophos, les vers et virus ne constituent que 35% des infections. 62% sont
constitues par des chevaux de Troie qui sont des logiciels qui se font oublier, une fois quils ont infect
votre poste de travail mais qui coutent ce que vous faites. Le but, pour les moins nocifs, est de connatre
vos habitudes dachat sur la toile, mais certains cherchent connatre vos mots de passe, vos codes
daccs et vos coordonnes bancaires.
Les attaques dites "APT", Advanced Persistent Threats qui consiste utiliser le social engineering pour
entrer dans un systme d'information, afin de s'y maintenir et d'exfiltrer les donnes sensibles se
multiplient. Bercy, Areva, Sony en ont fait les frais. Beaucoup sont sous attaque mais ne s'en sont pas
encore aperus.
2.3. LES ADAWARES, LES SPYWARES ET LES ROOTKITS

Quand vous passez un programme dradication de spywares sur votre PC pour la premire fois, vous
tes tonn du nombre de programmes espions quil y trouve. Les adawares et les spywares sont deux
variantes de logiciels espions qui rsident sur votre poste de travail et qui diffrent par leur finalit.
Les adawares sintressent plutt vos habitudes, aux pages Web que vous consultez, par exemple,
afin de mieux cerner votre personnalit. Parfois vous tes surpris de voir passer sur une page Web, une
bannire publicitaire particulirement cible sur vos proccupations du moment. Vous avez achet sur la
toile un appareil photo numrique ? Deux jours aprs, sur une page Web qui na rien voir avec votre
achat, vous voyez passer une bannire qui vous propose dacqurir une mmoire supplmentaire adapte
votre achat pour en augmenter la capacit.
Le but des spywares, moins dfendable, est de vous espionner, souvent pour capturer votre mot de
passe ou votre code PIN.
Un livre blanc
7 / 23
Et pour cacher le tout, il y a les rootkits qui rendent furtifs les logiciels quils accompagnent, en jouant
sur les paramtres systmes. La dcouverte et lradication des logiciels indsirables sont alors beaucoup
plus problmatiques.
3.
LES ATTAQUES SUR LE WEB
3.1. LA DFIGURATION OU DEFACING

Le Web est souvent la premire image institutionnelle qui prsente lentreprise et le premier contact
que prend un client alors il faut soigner particulirement sa page dintroduction. Cest pour cela que les
attaques sur cette page intressent les hackers.
Exploiter un dfaut de protection en criture pour accder directement au serveur qui hberge les
pages Web dune entreprise et en modifier le contenu est fort excitant pour lattaquant. Les russites sont
parfois croustillantes pour le grand public, mais catastrophiques pour les victimes.
On parle ainsi dun site Web dun grand voyagiste qui vendait des billets en ligne et dont la page de
garde montrait un avion montant dans un ciel sans nuages vers des destinations de rve. Aprs
dfiguration, cette mme page montrait lavion en flamme. Commanderiez-vous alors des billets en ligne
sur ce site ?
On parle aussi dun site consacr lhabillement de luxe et qui montrait un magnifique manteau de
vison port par une superbe crature. Aprs dfiguration du site, la page montrait un bb vison, tirant la
crature par la manche de son manteau, qui scriait en larmes : ils ont corch ma maman !
Citons aussi un site qui donnait des conseils juridiques avec un bouton pour entrer en contact avec un
conseiller, et dont la dfiguration, avait ddoubl le bouton avec la lgende si vous tes blanc, cliquez
sur ce bouton, si vous tes noir cliquez sur celui ci .
Mme le site de Microsoft, mme le site de la CIA ont subi les ravages de la dfiguration. Un beau
matin, ce pourrait tre le vtre.
3.2. LE DNI DE SERVICE DISTRIBU

Plus que tout autre applicatif, le serveur Web va tre la cible dattaques en dni de service distribu
qui consistent lui envoyer des centaines de milliers de sollicitations pour saturer sa bande passante et le
mettre hors dtat de servir ses pages Web ceux qui en ont besoin.
Que faire pour empcher cette attaque ? Si vous pouvez protger un site Web contre des agressions,
vous ne pouvez pas empcher quon le sollicite et il est facile denvoyer un nombre incroyable de requtes
vers un site Web cible. Le virus Slammer le faisait dj en janvier 2003 et les botnets aujourdhui nous en
donnent facilement la possibilit, moyennant finance. L'Estonie en a fait les frais, en 2007 et a t isol de
l'Internet pendant plusieurs jours.
3.3. LE CHANTAGE
Aujourdhui une drive particulirement inquitante de la cybercriminalit se confirme. De plus ou
moins passive, la cybercriminalit passe au stade actif et direct et les hackers deviennent des matres
chanteurs en tirant parti des outils quon a voqus jusque l, dans une chorale qui va vite devenir
assourdissante.
Quand un site dont lexistence commerciale repose sur la prsence et la disponibilit de son site Web
sur lInternet, site denchres en ligne, casino, vente de voyages, reoit ce type de courriel :
Je lance une attaque en dni de service sur votre site, qui va durer quinze minutes, et vous allez en
constater immdiatement les effets. Sachez que je peux lancer une attaque vingt fois plus puissante qui
pourra durer plusieurs heures. Si vous ne souhaitez pas tre expos un tel dsagrment, vous me
versez 7000 avant ce soir, 19h00 sur ce compte .
Suivent les coordonnes dun compte situ dans un pays o la lgislation concernant ce genre de
transactions est assez floue et le matre chanteur pratiquement intouchable.
Mais vous, comme particulier, vous pensez pouvoir chapper aux matres chanteurs ? Dtrompezvous, vous pourriez fort bien constater un jour que vous ne pouvez plus lire vos fichiers Word, PowerPoint
et Excel. Seule votre messagerie semble encore fonctionner correctement et vous avez reu un courriel
qui vous annonce que plusieurs de vos fichiers ont t chiffrs et que la cl pour les dchiffrer vous sera
envoye moyennant la somme de 100.
Un livre blanc
8 / 23
Aujourd'hui les matres chanteurs se font passer pour la police ou la gendarmerie et bloquent votre poste
de travail jusqu' paiement d'une amende par eCash ou par un autre moyen de paiement lectronique,
seule fonction que votre poste de travail peut effectuer dsormais. Et le paiement ne dbloquera pas bien
entendu votre poste.
4.
LES ATTAQUES SUR LA MESSAGERIE
La messagerie est, avec le Web, loutil le plus utilis sur les rseaux, donc le plus attaqu. Du hoax au
SPAM en passant par le mass mailing et le mail bombing, on rencontre un choix dattaques qui ne cesse
de se diversifier.
4.1. LE SPAM OU POLLUPOSTAGE

Plus vous tes prsent sur lInternet et plus vous recevez des SPAM.
De petite gne ses dbuts parce quil tait rare, le SPAM est devenu un vritable flau qui fait hlas
de cet outil merveilleux defficacit quest la messagerie, un vecteur de perte de temps et encombre nos
botes aux lettres.
La CNIL dfinit le SPAM comme un envoi massif, et parfois rpt, de courriers lectroniques non
sollicits, le plus souvent caractre commercial, des personnes avec lesquelles l'expditeur n'a jamais
eu de contacts et dont il a capt l'adresse lectronique dans les espaces publics de l'Internet.
Plus vous participez des forums de discussion publics, plus votre nom figure dans des listes de
diffusion et dans des annuaires, plus vous laissez votre adresse de messagerie sur les sites Web, plus
vous recevrez des SPAM.
Messages proposant des excitants ou des montres Rolex des prix incroyables ou encore la suite
complte Microsoft Office Professional ou Photoshop 10% de son prix rel, nos botes aux lettres sont
encombres par ces messages indsirables.
Un conseil, ne vous dsabonnez jamais dune liste de messagerie que vous identifiez comme tant du
SPAM car cest ce quon attend de vous pour tre sr que votre adresse est active et continuer de plus
belle.
4.2. LE MASS MAILING

Le mass mailing est un envoi massif de courriels vers la bote aux lettres que lattaquant veut saturer.
Il existe des outils qui permettent dentrer dans une bote de dialogue lorigine et la destination des
courriels, ladresse du serveur de messagerie qui enverra la rafale de courriels, le texte et le sujet et enfin
le nombre de courriels envoyer en une seule fois (1, 100, 10000 ?).
Le mass mailing est une gne non seulement pour le destinataire mais aussi pour le serveur de
messagerie qui achemine les courriels et pour les fournisseurs daccs Internet. Aujourd'hui, les botnets
fournissent un moyen facile d'envoyer des mails en masse pour lesquels la remonte vers les sources est
quasi impossible.
4.3. LE PHISHING
4.3.1. LA GENSE DE LATTAQUE
Le mot Phishing est une combinaison du mot Phreaker qui dsignait lattaquant qui piratait un central
tlphonique dans les annes 1960 pour tlphoner gratuitement, et du mot fishing qui dsigne le
pcheur.
Il combine lutilisation de la messagerie et du Web pour faire tomber la victime dans le panneau et lui
soutirer des renseignements quelle ne donnerait jamais si elle navait pas suffisamment confiance qui
les lui demande. Sa variante plus technique, le Pharming, utilise une combinaison dattaques sur le
serveur de noms de domaine et le Web pour arriver au mme rsultat.
Tout commence quand par navet, par manque de mfiance ou de connaissances suffisantes sur ce
qui se pratique sur la toile, la future victime rvle ses coordonnes bancaires lectroniques un
cybercriminel qui utilise, pour les obtenir, la ruse et la technique dans le cadre dun business model
prouv.
Un livre blanc
9 / 23
Comment le cybercriminel peut-t-il russir faire que la victime lui rvle ses coordonnes bancaires ?
Ce ne sont pas les moyens qui manquent, le social-engineering montre ici quelques-unes de ses multiples
facettes !
4.3.2. LE PHISHING
Le Phishing ou larnaque en trois tapes :
Premire tape on lance lhameon sur la toile, et ce ne sont pas les poissons qui manquent.
Lattaquant envoie un courriel qui semble, par exemple, provenir de votre banque. Le logo, les fonts, les
couleurs, tout vous fait penser que le courriel provient de votre banque qui a un gros problme : votre
compte a t la proie dun hacker et vous avez sans doute t vol mais la banque assume. Vous devez
juste cliquer sur lURL propos dans le courriel pour aller sur votre compte en ligne rpertorier les dgts
subis. Autre variante, le systme informatique de la banque a subi un regrettable incident et quelques
comptes ont t effacs, aussi faut-il que la future victime se connecte immdiatement sur son compte
lectronique pour constater les dgts ventuels la concernant. Bonjour le stress et les pousses
dadrnaline !
Cest grave, pas de temps perdre ! Pour ne pas perdre un temps prcieux, le-mail propose
justement un hyperlien pour que le client se connecte directement sur la page dentre de son compte
bancaire, juste par un clic de souris. La future victime se retrouve donc sur cette page beaucoup plus
rapidement que si elle avait du saisir lURL de sa page de connexion partir de la barre dadresse de son
navigateur. Elle fournit alors, dans lurgence et le stress, les renseignements demands : login, mot de
passe, numro de compte, numro de carte de crdit, et pendant quon y est, code secret de la carte et
tous autres renseignements indispensables. Mais le serveur de la banque sest dconnect juste aprs la
saisie des paramtres demands et avant que linternaute ait pu arriver sur son compte. Celui-ci refait une
tentative directement partir de son navigateur et constate que, heureusement, tout va bien, son compte
ne prsente aucun problme si ce nest que la future victime vient de passer au statut de victime
potentielle et probable.
Cest la deuxime tape de larnaque car bien entendu vous navez pas t sur le Web de votre banque
mais sur celui trs phmre du pirate et qui ressemble comme deux gouttes deau celui de votre
banque.
Avez-vous vrifi ladresse Web o votre courriel vous a conduit ? Avez-vous vrifi que le cadenas au
bas de la page de votre navigateur est ferm, traduisant un change scuris par SSL ? Avez-vous
tlphon votre banque pour vous inquiter du courriel quelle vous a envoy ? Avez-vous tenu compte
des avertissements que toutes les banques srieuses ont envoys leurs clients pour les mettre en garde
contre le Phishing en leur prcisant que jamais elles ne demanderaient par messagerie de rentrer sur un
compte ?
Le-mail, vous laviez compris, na pas t envoy par la banque et lhyperlien dans cet e-mail ne
conduisait pas sur le site de la banque mais vers un site appartenant au cybercriminel, simulant celui de la
banque de celui que nous appellerons dsormais la victime . Le site simulant la banque nayant pas lieu
dexister plus longtemps la mme place, personne ne retrouvera de site Web ladresse laisse dans les
fichiers logs de la victime qui a fourni ainsi au cybercriminel tous les renseignements lui permettant de
rentrer sur son compte bancaire et lutiliser pour des transferts vers dautres comptes.
Il existe des kits de Phishing qui aident raliser des sites Web parfaitement simuls.
La troisime tape est, pour le hacker, dutiliser les renseignements gentiment entrs et grce
auxquels le pirate va entrer cette fois ci sur la page Web de votre vraie banque pour vider, votre nom,
tous vos comptes, ou plutt de demander une mule de faire ce travail.
Les mules, ou "agents de transfert de fonds", en langage plus technique, sont des internautes de la
mme rgion que la victime qui moyennant finances, soutirent de largent de ces comptes compromis.
Parfois les mules naves nont mme pas conscience que cette pratique est illgale.
Cantonn au dbut au march US, les courriels daccroches dune attaque par Phishing taient tous
crits en anglais et concernaient les Amricains qui avaient ouvert des comptes dans ces banques. Il tait
alors facile, pour nous qui recevions de tels courriels, de flairer larnaque.
Le problme est quaujourdhui les courriels, de mme que les sites Web sur lesquels larnaque repose,
sont pour la plupart crits dans un franais sans reproche et imitent sy mprendre les banques les plus
connues.
4.3.3. LES ACTEURS EN PRSENCE
Le cybercriminel qui peut dsormais accder aux comptes bancaires de ses victimes ne va pas, bien
videmment, vider les comptes dont il a maintenant la matrise, de tout leur contenu pour remplir le sien.
Ce nest pas ainsi que fonctionne le business model car nous parlons ici des cybercriminels, qui sont de
Un livre blanc
10 / 23
vraies crapules sans scrupule, pas des nafs comme le sont les victimes. Cest l quapparait un
intermdiaire indispensable dans le business model : la mule.
Ainsi commence l'arnaque qui se joue entre trois familles dacteurs, les victimes qui ont un rle
uniquement passif, le cybercriminel qui va bnficier en toute impunit dun flot continu dargent
difficilement traable et les mules, chevilles ouvrires, qui par leurs actions intermdiaires permettent
au business model de fonctionner si bien.
Les mules sont recrutes par le cybercriminel ou ses complices parmi une population dindividus qui
possdent un compte en banque, une connexion internet et un peu de temps devant eux pour effectuer un
travail bien rmunr, simple, rgulier, sans risque, et qui ne demande de plus aucune comptence
particulire. Le recrutement des mules se fait par relations de parrainage, par forums, par sites Web
doffre demploi, ou mme par des forums de recrutement tout fait honntes par ailleurs. Le boulot
propos fait mme lobjet dun contrat en bonne et due forme, provenant souvent aujourdhui dun pays
dEurope de lEst. La mule a un superviseur qui contrle son travail. Tous les attributs quon peut
sattendre trouver dans un contrat de travail honnte, temps partiel et domicile peuvent tre runis
dans le contrat qui lie la mule au cybercriminel dont la mule na pas flair, ou na pas voulu flairer ltat
peu recommandable.
4.3.4. LE DROULEMENT DE LARNAQUE
Il est demand une mule de lire souvent sa messagerie car elle sera avertie par cet outil que des
sommes dargent vont tre crdites rgulirement sur son compte bancaire, dont elle a communiqu les
coordonnes lectroniques son employeur au moment de la signature du "contrat". Chaque fois que
son compte est crdit, ici dune somme de 52,20 euros, l de 43,72 euros, une autre fois de 28,50 euros,
jamais de trs grosses sommes mais les transferts sont frquents, la mule doit se rendre sa banque et
tirer lquivalent de la somme en liquide. Elle peut garder pour elle, cest crit sur son contrat, 8 10% de
la somme, au titre de sa commission.
Elle envoie le reste par mandat international, les frais de poste sont rembourss, vers une certaine
adresse garder secrte, sous forme de mandats internationaux qui ne laissent pas de traces, ou par
Western Union qui n'est pas trs regardant, quand il s'agit de petites sommes. Si la mule rside en
gnral dans la mme rgion que sa victime, le cybercriminel lui rside ailleurs, le plus souvent loin des
mules et de ses victimes, dans un pays o la lgislation est peu contraignante concernant les transferts de
fonds.
La pompe billets tant amorce, de partout arrivent vers le cybercriminel, ou ses intermdiaires, des
mandats et les petits ruisseaux finissent par former de grandes rivires, voire mme des ocans.
Oui mais si une mule garde tout largent qui arrive sur son compte ?
Alors le cybercriminel dclare que cette mule nhonore pas honntement son contrat sur un forum
trs lu par la socit des cybercriminels. Ds lors la mule na plus aucune chance de continuer bnficier
de ces oprations lucratives et rgulires. Alors pourquoi la mule se compromettrait-elle pour garder
quelques dizaines deuros alors que bon an, mal an, largent devrait tomber rgulirement avec les 8
10% des sommes en transit quelle conserve ? De plus, souvenez-vous, le cybercriminel possde les
coordonnes bancaires de ses mules qui peuvent bien se retrouver victimes dun vidage lectronique total
de leur compte bancaire !
Mais la victime ne saperoit-elle pas que des sommes sont tires de son compte pour alimenter des
comptes quelle ne connat pas ? Oui parfois, alors elle sen tonne auprs de son banquier, mais les
transactions sont rgulires, la victime est bien la seule personne pouvoir accder son compte,
puisquelle est la seule connatre son mot de passe et ses coordonnes bancaires ! Elle naurait pas t
nave au point de les communiquer des tiers ?
Celui qui peut sapercevoir la longue que quelque chose ne tourne pas rond, cest le banquier de la
mule. Celle-ci peut se trouver en peine dexpliquer lorigine des petites sommes qui arrivent rgulirement
sur son compte et qui prcdent systmatiquement, de sa part, des demandes de liquidits.
Quand le banquier ragit, la mule est frappe dinterdit bancaire, mais pour le cybercriminel, qui ne
fait ni dans la dentelle, ni dans les sentiments, quelle importance ? Une mule de perdue, dix de
retrouves Oui le mtier de mule est phmre, cest l son moindre dfaut.
Exemple de recrutement dune mule (je suppose )
De : xxxxxxxxxx
Envoy : mercredi 19 dcembre 2007 19:59
: *************
Objet : For: ************
Un livre blanc
11 / 23
Good day!
A respectable "e-Trust"; company is seeking for employees in the USA.
If you are interested in finding a secure job, please, respond to us and we will be happy to give you more details.
At this moment we are enlarging our staff and you have a chance to become a member of our team and get additional
earnings spending 2 - 3 hours per week.
You don't need any special experience for this position.
What we offer:
Flexible program: two hours/week at your choice, daytime and evening time, mainly checking your e-mail. Work at
home: checking e-mail and going to the bank. Part time - no need to leave your current job - if you already work.
2-3 hours free during the week (mainly in the evening / non-business hours) for communication.
Important:
Adult age (must be over 18 years old)
U.S. work authorization
You don't need to sell or buy anything.
You don't need to make personal investments to start your work.
Requirements:
General internet knowledge including working with Microsoft Office (Word/Excel), familiarized with financial terms
(debit/credit, invoices etc.) familiarized with banking procedures (wire transfers, withdraws etc.) No diploma required.
Students accepted.
If You are interested in our job offer, please, reply to this letter.
Contact us: usaserviceofficer@gmail.com
Finalement de trs nombreuses petites sommes dargent transitent rgulirement par lInternet,
depuis les comptes des victimes dont le cybercriminel, ou ses intermdiaires, possdent laccs vers les
comptes bancaires des mules et de nombreux mandats internationaux sont mis par une cohorte de mules
de tous pays vers ladresse postale du cybercriminel ou celles de ses intermdiaires.
Pas vu, pas pris, mais sil est vu et si des plaintes sont dposes, quelles sont alors les lois qui
sappliquent et celles-ci sont rgies par la lgislation de quels pays ?
4.3.5. LE PHARMING OU LATTAQUE SUR LES DNS
Et si les internautes devenaient mfiants ? Sils ne cliquaient plus sur des hyperliens proposs dans des
courriels venant soit disant de leur banque ? Sils saisissaient directement ladresse Web de leur compte
en ligne partir de leur navigateur ? Alors les attaques par Phishing ne pourraient plus aboutir, et cest l
quintervient une attaque plus technique : le pharming, ou lempoisonnement des serveurs de noms.
Sur lInternet, les tres humains entrent des adresses comme www.mabanque.fr, les machines
comprennent des adresses internet comme 189.23.1.14. Entre ces deux faons dinterprter les adresses,
il y a des machines qui convertissent, ce sont les DNS.
Une attaque ciblant le DNS que votre accs lInternet utilise, en passant par une de ses
vulnrabilits, pour que l'adresse www.mabanque.fr ne soit pas convertie en 189.23.1.14 mais en
192.17.7.28 qui est ladresse internet du site Web du hacker et le tour est jou. Vous avez, partir de
votre navigateur, entr la bonne adresse du site Web de votre banque mais vous tes aiguill sur le
mauvais site, celui du hacker, et ensuite vous commencez directement subir le Phishing partir de
ltape 2. Tant que votre serveur DNS reste compromis, cette attaque est imparable.
Cette attaque dite en DNS Poisonning est difficilement identifiable, surtout quand on ignore ce
quest une table de correspondance et que de plus on ny a pas accs.
Pour rendre cette arnaque inoprante, il faudrait non pas saisir l'adresse "nom de domaine" du site Web,
mais directement son adresse IP (sur 4 octets dans le cas de l'Ipv4).
4.3.6. LE VISHING
Vous vous mfiez ou tes allergiques au Web et linformatique en gnral, et pour discuter avec
votre banque, vous prfrez utiliser votre tlphone portable ? Alors a t conue une variante du
Phishing et du Pharming qui consiste vous envoyer un SMS vous alertant de tlphoner durgence un
numro de tlphone vert, suite un gros problme que vous avez avec votre banque. Le numro vert est
celui dun centre dappel qui simule celui de votre banque et qui vous pose les questions initiales que le
faux Web vous aurait poses au sujet de vos coordonnes bancaires pour permettre de vous identifier et
de cerner, par tlphone, o est le problme. On parle alors dattaque en Vishing, la voix a remplac la
Un livre blanc
12 / 23
data mais le rsultat est le mme : vous avez rvl, au cybercriminel, vos coordonnes bancaires
lectroniques.
Ensuite, quelle que soit la ruse utilise pour obtenir les coordonnes bancaires de la victime, quelle
naurait jamais du divulguer, cest trop tard, le business model sapplique.
4.4. LE BOTNET
4.4.1. LA MARCHE DES ZOMBIES
Dj plusieurs millions de PC dans le monde, connects lInternet, peut-tre parmi eux le vtre, suite
une infection virale, sont passs, linsu de leurs propritaires, ltat de zombies. Venu avec un virus
ou toute autre mthode, cach dans les profondeurs des fichiers du PC, un client IRC1 reste discrtement
actif. Ce logiciel est l'coute de son matre, le serveur IRC. Quand le serveur IRC situ sur le poste du
hacker lance une requte sur le net, immdiatement tous les clients IRC lcoute excutent le service
demand qui peut tre par exemple de dclencher une attaque en dni de service distribu vers une cible
quon veut faire tomber.
Lorsque, contamins par un code malicieux, des PC se rveillent, cest tout un monde des tnbres qui
sactive sur le Net et ces PC, devenus zombies, sortent de leur lthargie pour envahir la toile, dvorer les
bandes passantes des rseaux et laisser sur les messageries des honntes gens de bien tranges
missives.
Percevez-vous dans la nuit cette marche des zombies qui approchent de votre poste de travail ?
4.4.2. MAIS QUI SONT CES SPAMMEURS ?
Do viennent ces masses de SPAM que vous recevez sans cesse et qui saturent vos botes aux
lettres ?
Lexamen des e-mails des expditeurs montre que ce sont rarement des mmes adresses que partent
ces messages et les adresses semblent tre de vraies adresses lectroniques. Et cest le cas ! Ces
expditeurs existent bel et bien dans le monde rel et seraient trs tonns si vous leur demandez
darrter de vous envoyer des SPAM car ils nont pas conscience dtre des spammeurs et pourtant ils le
sont.
Leurs postes de travail ne sont plus exclusivement sous leur contrle, mais sont aussi sous le contrle
dun personnage occulte, tapi dans un endroit obscur de lInternet. Ce personnage commande distance
une arme de PC, et parmi eux peut-tre le vtre.
Le vtre ? Mais alors vous envoyez aussi des SPAM ? Oui, en effet, vous ne le savez pas mais vous
envoyez des e-mails pour promouvoir telle marque de pilules de Viagra, des montres de contrefaon, des
diplmes usurps, des actions bas prix et dont le cours monte rapidement et encore dautres produits
connus pour tre des arnaques. Peut-tre un jour, une de vos connaissances, destinataire dun e-mail qui
vient de vous, sen tonnera. Peut-tre mme recevrez vous un SPAM de vous-mme ! Et vous spammez
aussi par votre Smartphone.
Des enqutes rcentes indiquent que prs de 95% des SPAM sont envoys par des ordinateurs
zombies qui excutent, linsu de leur propritaire, des ordres venus dailleurs. La France est bien
place au rang des pays qui mettent des SPAM, les tats-Unis occupent la premire place, pourtant, ni
les Franais ni les Amricains ne sont connus pour avoir comme passe temps lenvoi de SPAM. Cest bien
dans ces pays que lon compte le plus dordinateurs devenus des zombies.
4.4.3. IL Y A UN ZOMBIE DANS MA SACOCHE !
Un ordinateur devient zombie aprs contamination par un virus ou un ver spcialis appel le bot. Ce
code malicieux arrive par la voie classique emprunte par les virus : la messagerie, le Web, le Peer to
Peer Les vers qui prolifrent causent linfection de millions de victimes. Ce programme malicieux installe
sur le PC cible un service client qui ouvre un canal, souvent un canal IRC (Internet Relay Chat), par lequel
le PC contamin se met lcoute sur le Net, dordres qui proviennent dun serveur IRC dont ladresse a
t communique la victime au cours de linfection. Ce serveur peut contrler des centaines, des
milliers, des millions de PC contamins par un bot. On appelle botnet, lensemble de ces PC zombies qui
agissent en rseaux virtuels, aux ordres dun matre.
1 Internet Relay Chat
Un livre blanc
13 / 23
Le bot ne dtruit pas les donnes du PC et naltre pas le fonctionnement des services, mais en utilise
les ressources. Le propritaire du PC ne peroit aucune anomalie si ce nest parfois une petite ou une
grande lenteur sur le fonctionnement habituel.
La question qui se pose aujourdhui nest pas de savoir si vous tes contamins mais combien de bots
se battent en duel pour prendre le contrle de vos postes de travail.
4.4.4. LE MATRE DU BOTNET
Supervisant les PC contamins rgne, tout puissant et trs cout, le matre du botnet. Si le rseau
virtuel sa disposition se compose de cent mille PC devenus zombies, une activation par le matre de ses
zombies, parmi lesquels se trouve peut-tre votre poste de travail, qui leur demande denvoyer chacun dix
e-mails une liste communique, diffrente pour chaque zombie, et cest un million de SPAM qui partent
sur lInternet, alimentant la prolifration des milliards de SPAM quotidiens.
Le matre du botnet qui enverrait directement de son poste de travail un million d'e-mails, passerait
immanquablement pour un spammeur. Dans ce modle, ce sont des dizaines de milliers de PC qui
envoient chacun dix mails, quoi de plus naturel et qui pourrait sen inquiter ?
Bien sr il peut sembler facile de remonter jusquau poste de travail qui active les zombies composant
un large botnet. Cest pourquoi le poste de travail du matre du botnet change souvent dadresse.
Ladresse repre est alors celle dun serveur qui nexiste plus. Mais alors le serveur parti sans laisser
dadresse perd-il automatiquement la possibilit dtre entendu sil nest plus lendroit que les zombies
coutent ? Non car avant de partir pour stablir sous dautres cieux momentanment plus sereins, avec
une adresse provisoire pour quelques jours ou quelques heures, le serveur demande chaque PC zombie
de se mettre jour en tlchargeant la nouvelle adresse quil devra dsormais couter aprs le dpart du
matre.
Pas vu, pas pris mais quand bien mme il serait repr, qui porterait plainte ? Et contre qui et quelles
lois sappliqueraient ? Le matre du botnet nagit bien sr pas sur le sol de pays o la lgislation pourrait
linquiter. Tout de mme, les grands constructeurs, diteurs de logiciels et fournisseurs de services, tels
Microsoft, s'associent avec les polices nationales pour faire tomber les botnets, et rencontrent un succs
certains. Le nombre de SPAMS quotidiens a diminu de manire sensible.
4.4.5. LE SPAM ET LE DNI DE SERVICE
Le SPAM nest quun des services inavouables que le botnet permet. Le dni de service est une autre
attaque pratique par les zombies la demande du matre. Qui peut envoyer des mails peut aussi
consulter un Web, alors quand le matre du botnet ordonne ses cent mille PC zombies de solliciter,
chacun cent fois, le Web institutionnel de votre socit Flicitation pour le succs de votre vitrine, elle
recevra dix millions de sollicitations en un temps record mais, malheureusement pour vos vrais clients,
votre Web, incapable dabsorber une telle charge sera vite rendu indisponible par saturation de sa bande
passante.
Et cette attaque en dni de service se produit au pire moment, celui o vos affaires exigeront que
votre Web soit en parfait tat de fonctionnement et quil rponde rapidement aux sollicitations, comme
cest le cas quand vous sortez un nouveau produit ou un nouveau service en ligne.
4.4.6. LE COMMANDITAIRE
Un point important a t jusque l laiss de ct. Pourquoi le matre du botnet commet-il ces actions
nfastes qui de plus, dans certains pays, constituent parfois un dlit pnal, sanctionn par exemple en
France par les lois Godfrain, articles 323-1 323-3 du code pnal ? Il faut savoir que les cybercriminels
aujourdhui nagissent plus, en gnral, pour la gloire ou pour la dlicieuse pousse dadrnaline ressentie
suite une attaque destructive qui russit. Aujourdhui cest le business qui motive les attaques et cest
bien pour gagner un argent facile que le matre du botnet a conquis son rseau de zombies et lexploite.
L intervient le commanditaire, personnage le moins recommandable de ce modle conomique. Le
matre du botnet nest quun excutant, et si je puis me permettre en me plaant du ct obscur de la
force, un commerant qui offre un service. Possdant, sous sa cyber-autorit un nombre impressionnant
de postes de travail prts lui obir, le matre du botnet va proposer aux enchres lutilisation de son
rseau de PC infects en passant par des moyens occultes comme des forums spcialiss ou le bouche
oreilles. Sa notorit sacquiert par le nombre de PC qui composent son botnet et par limportance des
sites attaqus.
Attaquer en dni de services une grande banque durant telle plage horaire en activant tel nombre
PC zombies, ce sera fait moyennant un tarif discuter. Pour attaquer votre concurrent en dni
services, ce sera un autre tarif dpendant de sa notorit. Pour lenvoi de quelques millions de SPAM,
sera encore un autre prix, de toute faon moins lev que si les messages partaient par la poste. La loi
loffre et de la demande joue aussi pour le cyber criminel.
Un livre blanc
de
de
ce
de
14 / 23
Nous voici revenus au temps des assignats qui remplissaient de gens, peut-tre honntes, les cachots
de la Bastille.
4.4.7. LES CONTRE-MESURES POUR UN MONDE SANS ZOMBIES
Des contre-mesures peuvent tre mises en uvre mais sont-elles efficaces ? Tout dpend, comme
cest souvent les cas en matire de dfense, si cest lattaquant ou le dfenseur qui prend une longueur
davance et du temps de raction.
Le modle du botnet repose sur les communications entre matre et zombies en utilisant un canal IRC.
Il suffirait de bloquer ce canal sur le PC infect par un firewall personnel bien configur. Mais les botnets
passent de plus en plus aujourdhui par le port 80 qui est celui du Web et utilisent le protocole du Web.
Vous ne pouvez bloquer le port 80 sinon, vous nauriez plus daccs possible la toile.
Le PC devient zombie quand il est contamin par un bot, qui nest en fait quun virus ou un ver
particulier. Il suffit donc dradiquer ce code malfaisant par un anti-virus efficace, mais les bots
aujourdhui ont atteint un haut niveau de sophistication et sont dautant plus difficiles dceler quils sont
souvent accompagns dun rootkit. Le rootkit est un logiciel qui modifie en profondeur des parties du
systme de fichier du poste infect, de manire ce que ni le programme qu'il rend furtif (le ver), ni lui,
ne peuvent tre reprs par les moyens classiques de dfense.
En observant un PC contamin durant sa phase dactivation, peut-on essayer de remonter au matre
du botnet ? En fait chaque PC zombie nest pas systmatiquement activ lors dune attaque. Le matre
dun botnet de plusieurs centaines de milliers de PC zombies peut en activer une dizaine de milliers pour
telle attaque, une autre dizaine de milliers pour telle autre. Ceci explique quil peut se passer du temps
entre deux attaques quon demande un PC de perptrer.
Le personnage coincer, judiciairement parlant, devrait tre le commanditaire qui, moyennant
finances, profite de lexistence des botnets. Celui-ci, contrairement au matre du botnet ne rside pas, en
gnral, dans un pays o les lois anti cybercriminalit nexistent quen thorie. Mais l encore, si toutes les
prcautions sont prises, il est difficile de runir les preuves des pratiques malveillantes qui laccusent.
La cybercriminalit recherche des gains moins risqus sur le monde virtuel que ceux des attaques et
des arnaques faites dans le monde rel, et les botnets sont un parfait exemple de cette nouvelle tendance.
Le botnet utilis comme gnrateur de SPAM et de dni de services
Certains botnets se composeraient de plusieurs dizaines de milliers de PC zombies prts lancer des
attaques. De nombreux SPAM qui saturent vos botes aux lettres proviennent aujourdhui de rseaux de
botnets, et votre PC est peut-tre un relais involontaire de cette nouvelle cybercriminalit.
Un livre blanc
15 / 23
5.
LES ATTAQUES QUI PORTENT SUR VOTRE CRDULIT
5.1. LE HOAX
Le hoax ou canular joue sur la navet qui rside en chacun dentre nous, mme chez les plus
mfiants. On peut vous mettre en garde contre un virus particulirement dangereux et on vous indique
comment lradiquer en supprimant la cause : un programme rsidant sur votre disque. Mais ce
programme est en fait un programme systme parfaitement honnte et de plus ncessaire pour la bonne
marche de votre systme. Quand vous lavez effac, vous navez plus qu tout rinstaller.
Un autre exemple de hoax vous prend par les sentiments. La petite Nolie, 9 ans est atteinte de
leucmie et a besoin dune greffe de moelle osseuse avant la fin du mois. Sauvez-la, utilisez vos listes de
messagerie pour trouver le donneur avec le bon groupe sanguin introuvable. Que cette chane de
solidarit est belle et que la demande est louable ! Si ce nest que Nolie a 9 ans depuis plus de quinze
ans et na jamais exist. Vous avez ainsi fait un don cette association de bienfaisance, mais votre argent
tombe directement dans la poche de l'arnaqueur. Vous pensiez bien agir, vous vous fait arnaqu.
On peut aussi ruiner un march honnte en signalant que dans des cinmas de telle ville on a trouv
sur les siges des aiguilles infectes par le virus du sida, ou alors vous raconter lhistoire de la banane
tueuse, contamine par une bactrie ravageuse, ou encore vous avertir que le chat de votre voisine a
contract le H5N1.
Un site, fort bien fait, rpertorie les hoax www.hoaxbuster.com et propose mme un moteur de
recherche de hoax par mots cls. A consulter imprativement avant de commettre une btise.
5.2. LA FRAUDE NIGRIANE

Quelle vienne par courriel du Nigeria, des Philippines ou dailleurs, avec la fraude nigriane ou
carambouille, la chasse aux pigeons est ouverte. Le pigeon, cest vous, et lagresseur est toujours
quelquun en grand danger dans son pays dorigine, mais dtenteur dune norme somme dargent, qui
vous demande de laider faire transfrer cette somme vers un pays plus calme, en passant par votre
compte en banque, et moyennant bien sr pour vous une commission consquente.
Le business Model est, vous vous en doutez, non pas de vous offrir de largent mais de vous en
soutirer en exploitant par exemple les coordonnes bancaires que vous aurez transmises.
5.2.1. DES SOUCIS ET UNE URGENCE
Lorsque les cavaliers de lapocalypse chevauchent les tnbres, laissant autour deux un ocan de
misre, de carnage et dhorreurs, au milieu des champs dvasts, se trouve toujours une me grise qui
tire profit de ces situations tragiques.
Dans un pays en proie aux tourments de la guerre, de la famine, de la terreur, la veuve plore du
ministre des finances dcapit, ou le fils prfr dun riche marchant dpec, dcouvre dans les comptes
du dfunt un magot cach. Mais comment profiter du trsor dans cette situation critique ?
Cest l que vous intervenez. Vous qui avez la chance de vivre dans un pays libre et stable o la loi
protge le citoyen et lui permet dlever sa famille dans un monde sans dangers ; vous qui tes
honorablement connu pour tre un travailleur srieux, un pre responsable, un gars bien sous tous
rapports, on peut vous faire confiance.
Ce trsor trouv au fond de la tourmente, si on imaginait un moyen de le transfrer provisoirement sur
votre compte, vous rendriez un immense service cette personne qui survit dans le plus profond
dnuement et vous mriteriez un ddommagement pour votre gentillesse : 20% de cette somme sur un
montant de plusieurs millions deuros !!!
Vous tes daccord certainement sur deux points : dabord que vous tes quelquun de bien, ensuite
que dans les pays exotiques en proie aux troubles dont nous abreuvent tous les soirs les journaux
tlviss, linstabilit ctoie la corruption gnralise. De plus, la somme que vous pourrez gagner juste
en rendant service, est prcisment celle dont vous avez besoin pour satisfaire votre vu le plus cher,
achat immobilier, voiture de luxe, voyage autour du monde et puis il est urgent daider cette personne
en danger.
5.2.2. NOM DE CODE SCAM 4-1-9
A lorigine, ces appels au secours proviennent du Nigria, pays qui a subi de plein fouet la rcession
des cours du ptrole, dans les annes 80. Certains financiers se sont alors reconvertis dans la fraude,
nouveau filon pour gagner largent qui ne coulait plus naturellement. SCAM signifie arnaque en anglais
et 419 est larticle du code pnal nigrien qui punit la fraude qui gangrne le pays.
Un livre blanc
16 / 23
Cet appel au secours, appel communment fraude nigriane , qui aujourdhui vous arrive plutt
par e-mail que par courrier postal, car il est plus rentable et plus facile datteindre des centaines de
millions de correspondants par les moyens lectroniques, a pris par drision le nom de code SCAM
419 . Vous lavez compris, il sagit bien dune arnaque et largent quon vous fait miroiter est purement
fictif.
Le SCAM 419 reprsente aujourdhui un pourcentage non ngligeable du total des SPAM mis, la
plupart en utilisant des botnets. Des centaines de millions de destinataires reoivent ces messages et
parmi eux toute une vole de pigeons va rpondre et se faire plumer.
5.2.3. DABORD VOTRE IDENTIT PRODUIRE
La fraude nigriane na pas pour but de vous faire gagner des millions de dollars, mais plutt de vous
soutirer des milliers deuros. Supposons que vous preniez contact avec votre correspondant dans la
dtresse, pour lui rendre service, et aussi un peu, avouez-le, pour gagner des millions.
Le correspondant va vous demander de lui envoyer, de prfrence par Fax, votre tat civil (la
photocopie des pages de garde de votre passeport fera laffaire). Des feuilles en tte de votre socit,
avec des champs laisss en blanc, seraient aussi utiles (pour un futur SCAM papier vers dautres pigeons
potentiels). Vous tes un gars bien mais vous devez prouver que vous tes bien celui qui on pense.
Il vous demande denvoyer ces documents par Fax plutt que par e-mail. Il ne vous le dira pas mais il
ne veut pas chercher votre rponse dans sa bote e-mail encombre par le courrier intensif qui lui arrive.
Ceux qui pratiquent le SPAM connaissent sans doute lampleur des retours engendrs par de grandes
quantits de e-mails envoys laveuglette.
Ces renseignements dtat civil ne sont pas grand chose et vous navez dailleurs rien cacher. A ce
stade vous tes dj un pigeon, mais vous ne le savez pas encore. Ces renseignements seront prcieux au
cybercriminel qui utilisera les divers lments didentit fournis pour amorcer dautres tentatives de
fraudes et les vendra aux acheteurs de listes dadresses e-mail qualifies. Vous tes coopratif, cest bien.
Vous tes cupide, cest mal, et en plus naf et a va vous coter cher.
5.2.4. ENSUITE LE COFFRE LOUER ET DES POTS DE VIN DISTRIBUER
Jusque l on ne vous a pas demand vos coordonnes bancaires pour transfrer le magot. Vous tes
un peu mfiant, bien sr mais pas encore inquiet. Il y a un petit problme : largent est immobilis dans le
coffre dune banque qui est lou 50 euros par semaine et votre correspondant na plus de quoi rgler la
location. La somme devrait tre dbloque avant deux semaines, alors si vous pouviez envoyer 100 euros,
cela garantira que la somme sera toujours disponible au moment o le transfert se fera. Quest-ce
quinvestir 100 euros pour qui veut gagner des millions ?
Il faudra aussi distribuer un pot de vin au directeur de la banque, bienveillant jusqu prsent, qui
accepte de fermer les yeux sur cette transaction pour le moins insolite. 400 euros suffiront car dans ce
pays, cest une grosse somme. On ne vous a toujours pas demand vos coordonnes bancaires et vous
envoyez ces 400 euros par mandat, car vous savez investir !
Comme vous tes dcidemment quelquun de bien, votre correspondant veut vous prouver que lui
aussi est un honnte homme. Il va vous envoyer tous les documents qui vont vous prouver lexistence de
cette trs grosse somme et vous fournir toutes les garanties que vous allez bientt tre millionnaire. Les
photocopies, les timbres fiscaux, les taxes pour obtenir ces documents cotent cher, environ 1000 euros,
mais ce sera la preuve de sa bonne foi et ainsi vous saurez que vous tes dj, quasi officiellement, un
millionnaire. a vaut le coup dinvestir cette somme qui est en quelque sorte le prix de lassurance dtre
un nouveau riche, et 1000 euros pour vous ne reprsentent dsormais plus grand chose.
5.2.5. ET PUIS LES COORDONNES BANCAIRES FOURNIR
Vous avez reu les papiers officiels qui tablissent que vous allez tre dpositaire de la grosse somme
dont 20% sera votre commission. Peut-tre ce stade l aviez-vous mme oubli que cest seulement
votre commission que vous allez garder, pas la totalit de la somme transfre ? Tout est prt pour la
transaction, mais sur quel compte bancaire votre correspondant doit-il oprer ? Inutile de dire que votre
discrtion absolue est requise pour ne pas faire capoter laffaire et mettre en danger la vie de votre
correspondant. Le mieux est de lui fournir tous les renseignements pour quil opre directement lui-mme
avec la complicit du directeur de la banque locale et en toute discrtion, la transaction sur votre compte.
Comme vous avez t si coopratif, ce nest pas 20% mais 22% de la somme que vous pourrez garder.
A ce stade l, votre correspondant est devenu votre ami. Un ami que vous allez sauver et qui va faire
votre fortune. Alors login, mot de passe et tout ce quil vous demande pour quil opre la transaction vers
votre compte, vite vous les lui envoyez.
Un ami ne peut trahir votre confiance. Penser quil pourrait profiter des renseignements que vous lui
avez fournis sur votre compte en ligne pour le vider ? Autant penser que des martiens vont atterrir ce soir
sur votre pelouse et que le Phishing nest pas que pour les autres !
Un livre blanc
17 / 23
5.2.6. ET FINALEMENT DE RELS SOUCIS ET BIEN DES TOURMENTS QUAND CLATE LA BULLE
Nous y voil, la somme est disponible mais se trouve toujours bloque dans le pays. Plutt que
deffectuer la transaction par e-mail, car certes les progrs de lauthentification forte et du chiffrement ont
rendu les transactions trs scurises, mais cette transaction l qui sort de lordinaire, sera encore plus
sre et plus discrte si vous allez chercher vous-mme cette grosse somme sur place, avec la complicit
des douaniers. Leur complicit est garantie si vous envoyez tout de suite 3000 euros qui leur seront remis
avant votre arrive. Et avec ces 3000 euros, ne vous inquitez pas pour le visa dentre dans le pays, il ne
vous sera pas demand et on viendra vous chercher laroport. Dcidemment il y a de par le monde des
pays bien corrompus ! Enfin si on peut aider son prochain et en plus gagner des millions, tout le monde y
trouvera son compte, douaniers compris et on ne lse personne bien au contraire.
Et vous voil dbarqu sans visa dans ce pays inconnu et vous voil pass du cybermonde dans le
monde bien rel. Oui on est venu vous chercher laroport, pas pour vous remettre la somme mais pour
vous plumer de tout ce que vous avez emmen. La bulle de batitude dans laquelle vous tiez entr vient
dclater et vous ntes pas content ? Allez vous plaindre et noubliez pas que vous tes entr sans visa
sur ce territoire o lon assassine
Dailleurs vous ne repartez pas, vous tes retenu en otage et cest votre famille ou vos proches de
payer une forte ranon pour votre libration. Ensuite comme vous tes moins dangereux mort que vivant,
plutt que de vous relcher
5.2.7. QUELQUES CHIFFRES QUI FONT FRMIR
Avec le SCAM 419 je vous ai accompagn jusquaux portes de lenfer en brossant les contours dun cas
extrme. Tous les pigeons qui rpondront cette escroquerie en bande organise nen mourront pas mais
tous seront atteints dans leur fiert et dans leur porte-monnaie. Alors mieux vaut ne pas donner suite
un e-mail qui laisse apparatre une tentative de fraude nigriane.
Et pourtant, cette fraude est une arnaque trs lucrative et fort rpandue. Elle rapporterait par an plus
de trois milliards de dollars et plus de 200 millions deuros pour les arnaques qui concernent des Franais.
Plusieurs personnes ont mme pay de leur vie le fait davoir t piges. Inversement, en fvrier 2003
Prague, un consul nigrian, innocent, a t tu par vengeance par un Tchque qui, suite un SCAM 419,
stait retrouv sans provisions.
5.2.8. QUE PEUT-ON Y FAIRE ?
Le SCAM 419 est avant tout un SPAM. Il convient de le traiter comme tous les autres SPAM qui
envahissent votre messagerie. Soit vous tes aid par un filtre anti spam qui vous le signale comme tant
un message indsirable, soit cest vous le filtre anti spam et vous agissez comme il convient : vous le
supprimez sans vous donner la peine de le lire jusquau bout.
Ne donnez jamais sur votre identit plus de renseignements que ncessaire, et seulement ceux que
vous jugez en avoir besoin, et mfiez-vous des vols didentit pratiqus automatiquement par les
programmes potentiellement indsirables que vous chargez votre insu partir de la toile.
Si vous avez du temps et de lhumour, rpondez au prochain SCAM par la tactique du pot de miel
(appel SCAM Baiting dans ce cas). Pas partir de votre vraie adresse e-mail, mais partir dune
adresse cre pour loccasion. Rassurez-vous, parmi les centaines de milliers de-mails quil met, votre
correspondant ne fera pas la relation entre votre adresse et celles qui il a envoy son appel au secours.
Bien videmment ne donnez aucun renseignement rel sur vous et faites patienter votre
correspondant entre vos e-mails. Lui est press de vous plumer mais il ny a aucune urgence pour vous.
Lavantage est donc dans votre camp. Si beaucoup engagent la conversation avec ces cybercriminels, a
augmentera le volume des e-mails inutiles mais a rendra cette arnaque difficilement praticable.
5.2.9. AIDE-MOI JE VOUS EN CONJURE
Voici pour terminer un e-mail dlicieux et authentique, que jai un peu raccourci mais conserv dans
son intgrit et son orthographe pas toujours acadmique. Vous reconnaitrez tous les ingrdients du
SCAM 419 qui maintenant nont plus de secret pour vous. Il est crit en Franais car on assiste une
migration de ces arnaqueurs vers les pays de lAfrique francophone et bientt sans doute vers lAmrique
du sud pour les SCAM 419 qui seront crits en espagnol.
VOTRE HONNEUR,
Je vous prie de bien vouloir m'excuser pour cette intrusion qui peut paratre surprenante premire
vue d'autant qu'il n'existe aucune relation entre nous. Je voudrais avec votre accord vous prsenter ma
situation et vous proposer une affaire qui pourrait vous intresser.
Je me nomme Mlle KABORE Alizeta D'origine Burkinabe ne et vivante en Cte D'ivoire, j'ai 20 ans et
je suis la fille ane, des 2 enfants (dont mon Petit-Frre 11 ans Malick ) de mon Pre Mr KABORE
Un livre blanc
18 / 23
PAGWENDE, qui tait un ngociant et producteur trs riche en caf et cacao et puissant, Assassin lors
des derniers vnements survenu DUEKOUE (dans la guerre en Cte d'ivoire) parce que souponn de
financer la rbellion.
Aprs la mort de mon pre, ma mre dtenait une Attestation de Solde Bloque et Scuriser mon
nom dans une Compagnie de Scurit de la place d'une valeur de (2.700.000. Euros) Deux Millions Sept
Cents Milles EUROS.
Ma mre ne pouvant plus supporter le dcs de son mari (feu mon pre) mourut 4 mois plus tard
d'une hypertension artrielle dans une clinique priv Abidjan.
Ainsi 2 jours avant sa mort, elle m'informa de tous les documents relatifs justifiant l'existence d'un
compte bloqu d'un montant de : (2.700.000 EUROS) Deux Millions Sept Cent Milles EUROS que mon pre
nous laisser comme hritage sous forme d'effets de famille contenu dans une malle, dont LES ACTES
NOTARIALES, sont chez un NOTAIRE et elle me confia le NOM ET LE CABINET, et elle me conseilla
sagement d'ouvrir un compte fiable l'tranger dans lequel ces fonds doivent tre transfrs selon le
testament de mon dfunt Pre.
Elle me recommanda aussi de chercher une personne l'tranger qui pourrait honntement me faire
bnficier de son assistance pour sauver ma vie et assurer mon existence. Je vous donnerai 15% sur mes
fonds pour l'aide que vous voudriez bien m'apporter.
Ce que je voudrais pour mon petit frre c'est de lui trouver une COLE DE FOOTBALL une fois l bas. Il
joue vraiment trs bien.
C'est pourquoi la recherche de quelqu'un, je suis tombe sur vous et je vous cris, pour que vous
m'apportiez votre aide.
Du fond du cur, Je vous en conjure si pouvez, aidez nous je vous en prie et nous vous en serons Gr.
S.V.P veuillez garder la discrtion cause des problmes sociaux politique que nous vivons en ce
moment en Cte d'Ivoire.
Je compte sur votre bonne foi et votre honntet pour que mon hritage soit transfr le plus vite
possible. Personne part vous, le notaire et moi ne connat l'existence de ces fonds. S'il vous plat,
contactez moi urgemment ds rception de ce courrier et surtout veuillez gardez la discrtion, la
confidentialit et l'honntet.
Dans l'espoir de vous relire et d'une suite favorable.
Aide-moi je vous en conjure.
Mlle KABORE ALIZETA et KARIM
kabore_alizeta@hotmail.com
Tant quil y aura sur terre des gens cupides ou nafs au point de penser que lInternet ouvre un monde
o la ralit ne sapplique plus, des papiers du genre de celui-ci pourront ne pas tre inutiles.
6.
LE PUMP AND DUMP
Les moyens voqus ci-dessus, mis en uvre conjointement, peuvent donner lieu une attaque
particulirement virulente qui est le Pump and Dump .
Le Pump and Dump est une arnaque qui s'appuie sur les mcanismes boursiers, l'Internet, la
messagerie et la possibilit d'effectuer des achats en ligne. Il utilise le spam et les botnets. Comme pour
toutes les arnaques, le maillon faible qui permet cette attaque de russir est la crdulit de ses victimes.
6.1. UNE SOCIT COTE ET QUI MRITE D'TRE CONNUE

L'arnaqueur choisit une socit cote sur le march. Cette socit existe dj ou a t cre pour
l'occasion. Il achte une bonne partie des actions. La socit tant en gnral petite et inconnue, il est
difficile de vrifier le montant de ses avoirs, sa sant financire et de connatre exactement quels sont ses
produits ou ses services. Il est par contre facile de manipuler le cours de cette action. Ses actions sont
cotes sur un march appel lOTC Over The Counter ou encore le Pink Sheet , moins connu que le
Nasdaq, le NYSE ou lEuronext mais qui sen soucie ? Cette petite socit, souvent dormante, n'tant pas
connue, ses actions ne sont pas recherches donc elles ne valent pas grand chose. Pour que la socit
prenne de la valeur, il faut que ses actions obtiennent les faveurs du march et soient sous le feu de la
rampe. Il faut donc en faire la promotion. C'est ici que l'Internet et en particulier le spam et les botnets
vont aider l'arnaque prendre forme.
Vous recevez par messagerie une proposition d'achat dune action miracle, une action trs bas prix,
mettons 12 cents par action. L'action est toujours cote au dpart quelques cents ou quelques
Un livre blanc
19 / 23
centimes d'euros d'o le nom de Microcap Stock fraud pour cette arnaque plus connue sous le
qualificatif de Pump and Dump qui traduit mieux son mcanisme.
6.2. LE PUMP (LE GONFLAGE ARTIFICIEL)

Le cours de cette action, vous promet le-mail, va monter et mme prsenter une ascension
fulgurante, du rarement vu dans le monde de la bourse ! Des promoteurs et mme des analystes
financiers, vous informe par e-mail, qu'ils prvoient qu'elle va atteindre les 14 cents le lendemain et sans
doute dpasser les 50 cents la fin de la semaine. La semaine suivante, l'action dpassera les 1,2 $ et
atteindra un record de 3 $ avant la fin de la quinzaine puis s'lvera encore.
Vous n'tes pas convaincu par cette socit car vous vous mfiez des transactions par l'Internet, avec
tout ce qu'on raconte sur la cybercriminalit ? Vous avez raison ! Mais le lendemain, vous recevez un
nouvel e-mail qui vous assure que le cours de cette action a atteint les 16 cents et le surlendemain, un
autre e-mail vous annonce qu'elle est 28 cents. Vous pouvez vrifier par le Web, sur les systmes de
cotation lectroniques des marchs o cette action est cote, c'est vrai ! L'action est relle et son cours
est bien celui qui est annonc.
Tiendriez-vous le bon filon pour rapidement vous enrichir sans prendre un risque excessif ? Non, vous
tes toujours mfiant mais jour aprs jour, vous constatez que cette action grimpe la lumire des emails quotidiens que vous recevez et des recherches sur le Web que vous faites. Vous voil rassur, mais
un peu attrist davoir tant tard exploiter ce filon.
Quel dommage de ne pas en avoir achet un gros volume alors que cette action tait cote 12 cents,
maintenant qu'elle dpasse les 2 $ ! D'autant que la parit euro / dollar vous est favorable alors
n'attendez plus, vous en commandez 300 au cours du jour. Les jours suivants vous suivez avec
gourmandise le cours de cette action qui monte, qui monte, qui monte. Fin financier que vous tes et
acqureur impulsif qui sent l'volution du march financier, vous en achetez encore et encore.
6.3. POMPEZ, POMPEZ, IL EN RESTERA TOUJOURS QUELQUE CHOSE

Mais non, vous n'tes pas seul sur l'Internet recevoir ces alertes pour l'achat de cette action
allchante ! Des dizaines de millions d'internautes ont reu les mmes messages que vous et nombre
d'entre eux ont achet comme vous une quantit plus ou moins importante de cette action vraiment
fabuleuse dont l'ascension peut tre effectivement vrifie, et mme tre inscrite au livre des records. Qui
se soucie de la valeur relle de la petite socit ? Sa valeur nest-elle pas celle de son action qui monte ?
Ainsi est fait le monde capitaliste que vous avez si bien peru !
Mais si tant d'internautes ont reu les mmes messages, ne serait-ce pas du spam ? Et donc ces
messages ne devraient-ils pas tre bloqus par les filtres mis en place par les fournisseurs d'accs, par les
entreprises, peut-tre par vous-mme sur votre poste de travail ? Apparemment ils ne le sont pas puisque
vous recevez ces e-mails.
Ces e-mails sont des spams, en effet, mais dans le combat entre les spammeurs et les filtres
antispams, toute l'ingniosit des arnaqueurs est mise en uvre. De spams initiaux sous forme de textes,
facilement identifiables par les filtres antispams et donc bloqus, le texte est maintenant plac dans une
image gif ou jpeg qui n'a bien entendu rien craindre des logiciels d'analyse de texte. Mais une image
isole constituant un e-mail, et de taille fixe, envoye des millions d'exemplaires ne peut-elle pas tre
assimile un spam, la signature tant sa taille ? Oui, et c'est pourquoi les images n'ont pas une taille
fixe. Chaque e-mail prsente une taille diffrente, calcule alatoirement, grce notamment des micropoints disposs dans l'image, que vous ne voyez pas mais qui conditionnent sa taille, ou encore on joue
sur la bordure de l'image qui n'est jamais tout fait la mme d'une image l'autre. Limportant est que
ces images portent toutes le mme texte et c'est ce que vous lisez, sans mme remarquer que le texte est
en fait une image.
Mais un e-mail constitu d'une image seule, quelle que soit la taille de cet e-mail, ne peut-il pas tre
assimil un spam ? Sans doute, c'est pourquoi le spammeur va parfois faire suivre son image, d'un texte
alatoire qui est souvent un pome ou n'a aucun sens mais peut importe puisque vous lirez le texte
contenu dans l'image, pas le texte qui la suit. Et si les filtres antispams se mettent analyser l'image pour
dtecter si elle contient un texte en identifiant des caractres ? Et bien le spammeur va incliner le texte
dans l'image, et le filtre ne reconnaitra pas les caractres. Et l'on voit aujourd'hui apparatre des spams
contenant des fichiers MPEG o un analyste vous raconte la progression du cours des actions. Aprs le
texte pur, aprs le texte contenu dans une image, voici le son et parfois on croit mieux ce qu'on entend
que ce qu'on voit. Imaginez ce que devient la taille des spams ! Et il est prvoir qu'aprs la messagerie,
ce genre de spams va envahir vos Smartphones.
Un livre blanc
20 / 23
6.4. DE QUI RECEVEZ-VOUS CES E-MAILS ET POURQUOI VOUS ?

Si on ne peut se fier au filtre antispam pour bloquer le message, au moins un message envoy des
millions d'exemplaires, partir d'une mme adresse e-mail, sera videmment reconnu comme tant un
spam. L'metteur ne va til pas se retrouver dans des listes noires de spammeurs ? Oui, srement, et c'est
pourquoi l'arnaqueur n'envoie pas ses e-mails partir de son adresse mais utilise un ou plusieurs rseaux
de milliers de PC, devenus zombies suite une contamination par un logiciel malfaisant, un bot .
Ce rseau de PC zombies qui obit aux ordres d'un matre s'appelle un botnet . Peut-tre d'ailleurs
votre poste de travail fait partie dun ou de plusieurs botnets. C'est le cas du PC qui vous a envoy l'email, l'insu du plein gr de son propritaire, bien entendu. Vous remarquerez d'ailleurs que jour aprs
jour, les e-mails d'alerte sur le cours de l'action ne proviennent jamais de la mme adresse e-mail ;
forcment il n'y a pas de corrlation entre les adresses d'envoi des messages et les adresses de ceux qui
les reoivent.
L'arnaqueur loue l'utilisation d'un botnet pour envoyer les e-mails de Pump and Dump. Chacun des PC
contamins envoie une centaine de-mails une liste d'adresses qui lui est communique par le matre du
botnet. Votre adresse en fait partie, c'est pourquoi vous tes destinataire. Et comme les botnets peuvent
tre composs de milliers de PC, des millions de messages, raison de quelques dizaines par PC, partent
sans qu'on puisse se douter d'un fonctionnement anormal et remonter la source de cette
cybercriminalit.
Mais plus il y aura dinternautes qui recevront ces e-mails, plus il y aura d'acheteurs et donc plus le
cours de l'action va monter et maintenant que vous tes possesseur dun gros volume de cette action, cela
va dans le sens de vos intrts donc tout va bien jusqu' prsent.
6.5. LE DUMP (LA LIQUIDATION ET LA FIN DU RVE)

Maintenant que l'on sait que malgr tous les filtres antispams qu'ils rencontrent, les messages passent,
revenons au modle conomique du Pump and Dump. L'action existe et grimpe rellement obissant la
loi de l'offre et de la demande. Une fois la frnsie d'achat de cette action amorce, porte par le bruit
assourdissant des spams quotidiens, son cours s'envole car immense est la demande et frquents sont les
achats impulsifs sur le net.
Quand l'action a atteint un certain seuil, soudain toute publicit sur son cours cesse. L'arnaqueur a
vendu aux acqureurs en folie les actions qu'il dtenait depuis le dbut, c'est--dire la majeure partie du
volume des actions disponibles. Le cours de cette action a pris beaucoup de valeur et bien entendu
l'arnaqueur empoche la plus-value qui est bien relle. Sans publicit, aucune demande d'achat ne se fait
plus sur le Net. Son cours accuse alors une pente ngative, les actionnaires affols vendent et
brusquement le cours s'effondre jusqu'aux alentours de ce qu'il valait au dbut de l'arnaque, c'est--dire
quelques cents.
De toute vidence, cet e-mail est l'amorce d'une escroquerie en Pump and Dump
Des milliers de nafs, spculateurs du dimanche et financiers en herbe, se sont ainsi fait arnaquer et
ont perdu leur investissement. Seul l'arnaqueur, qui avait toutes les cartes en main, a vendu au bon
Un livre blanc
21 / 23
moment et quitte le cybermonde emportant le pactole qu'il utilisera dans le monde rel. Il laisse sur le
carreau du Net les arnaqus qui n'ont plus que les forums de discussion pour exprimer leur dsarroi, si du
moins ils n'ont pas honte de reconnatre qu'ils se sont fait avoir.
O est exactement la malhonntet ici ? C'est simplement lutilisation des mcanismes boursiers et
personne n'est oblig de croire ce qu'il lit dans ses e-mails et de penser que le cours d'une action est juste
une question d'offre et de demande et n'est pas corrl avec la valeur relle de la socit cote.
6.6. QUE FAIRE CONTRE CETTE ARNAQUE ?

Les filtres antispams qui liminent une partie des e-mails indsirables et les antivirus qui liminent une
partie des bots qui servent envoyer les spams diminuent le risque de recevoir des messages d'incitation
s'enrichir sans prendre de risques en utilisant la bourse. Mais rien ne peut diminuer la navet du
cybernaute, si ce n'est la connaissance des diverses facettes de la cybercriminalit qui devrait le mener
vers plus de sagesse et en particulier vers plus de mfiance vis--vis des messages provenant de sources
qu'il ne connait pas, surtout quand il y a un enjeu financier.
Parfois une socit honnte constate que le cours de son action dcolle sans raison et redescend pour
se stabiliser sa valeur initiale. Une explication est que son action a t utilise dans une arnaque de
Pump and Dump.
Parfois ce sont des socits elles-mmes qui organisent l'envol artificiel du cours de leurs actions en
pratiquant le Pump and Dump. Parfois elles payent des promoteurs pour le faire leur place. Certains
analystes financiers peuvent tre pays par une entreprise pour annoncer que son action est mirifique,
ce qui n'est pas illgal en soi, condition que l'entreprise dclare cette transaction entre elle et l'analyste
et le montant pay pour ce service, ce qu'elle oublie le plus souvent de faire !
Si ce dopage du cours d'une action est prouv, la socit peut tre inquite par la lgislation du
pays dans lequel son action est cote, si lgislation il y a. On cite une banque en Lettonie qui s'est fait
coincer pour avoir utilis cette arnaque.
Devant ces pratiques douteuses, des autorits de contrle veillent.
Une action dont le cours s'envole, sans raison valable, peut attirer l'attention de cette autorit et c'est
le combat entre le gendarme et le voleur.
La SEC (Securities and Exchange Commission), le gendarme de la bourse aux tats-Unis, quivalent
de notre AMF, a suspendu pour quelques jours la cotation de plusieurs dizaines de socits convaincues de
l'escroquerie de Pump and Dump. Des diteurs, tels que Verisign, proposent aux organismes et analystes
boursiers un kit logiciel pour traquer les arnaqueurs.
6.7. FIN DU RVE

L'action miracle d'une socit inconnue, propose par l'Internet, qui fera de vous un richissime et
heureux financier est de toute vidence un leurre et ne se rencontre pas que dans le cas du Pump and
Dump.
S'il tait si facile de s'enrichir, en prenant si peu de risques, a se saurait. Pourtant beaucoup de
pigeons se font avoir et ce type de cybercriminalit rapporte plusieurs centaines de millions d'euros par an
aux cybercriminels. Gardez l'esprit que si une occasion d'achat d'une action qui s'envole est trop belle
pour tre vraie, c'est sans doute que cette occasion est fausse ; et si un inconnu sadresse vous pour
vous faire entrer dans le monde des nantis, cest probablement un arnaqueur.
Nous voyons ce sujet l'importance de l'information et des mdias qui la porte dans notre socit et
les dgts qu'elle peut causer quand elle est manipule pour aider la fraude.
7.
EN CONCLUSION : RETOUR VERS LE MONDE REL
Il y a dj quelques prmices et ce phnomne va hlas sans doute samplifier. LInternet va tre

utilis pour reprer ou attirer les victimes potentielles dans le monde rel. Les clubs de rencontres cachent
parfois de bien grands dangers, surtout pour celles et ceux sans exprience qui croient que tout le monde
est gentil et correct. Surveiller lutilisation du Web, des forums par vos enfants est loin dtre un conseil
carter.
On a vu dj des cybernautes qui ne font plus la diffrence entre le monde virtuel et le monde rel. On
cite un Japonais qui a tu son ami parce quil avait vendu sur le net lidentit virtuelle que ce Japonais
stait attribue. Il y a aussi une dame qui sest fait violer par un voisin qui avait reu un courriel semblant
provenir de sa future victime et qui lui demandait de le faire.
Un livre blanc
22 / 23
Le monde est plus que jamais un espace dangereux, mais il existe des contre-mesures juridiques et
techniques pour se protger. Mieux vaut donc les connatre et les utiliser.
8.
A PROPOS DE LAUTEUR
Grard PELIKS est expert scurit chez Cassidian CyberSecurity, groupe EADS.
Il prside l'atelier scurit de l'association Forum ATENA, et anime l'activit scurit du
Cercle d'Intelligence conomique du Medef Ile-de-France. Il est membre de l'ARCSI et
du Club R2GS.
Grard Peliks est charg de cours dans des coles d'Ingnieurs, sur diffrentes facettes
de la scurit.
gerard.peliks (at) cassidian.com
Les ides mises dans ce livre blanc nengagent que la responsabilit de leurs auteurs et pas celle de Forum ATENA.
La reproduction et/ou la reprsentation sur tous supports de cet ouvrage, intgralement ou partiellement est autorise
la condition d'en citer la source comme suit :
Forum ATENA 2013 La cybercriminalit

Licence Creative Commons
-
Paternit
Pas dutilisation commerciale
Pas de modifications
L'utilisation but lucratif ou commercial, la traduction et l'adaptation sous quelque support que ce soit sont interdites
sans la permission crite de Forum ATENA.
Un livre blanc
23 / 23

La Cyber Crim

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

La Cyber Crim

Enviado por

Direitos autorais:

Formatos disponíveis

LA CYBERCRIMINALIT

Par Grard Peliks

Un livre blanc de Forum ATENA

INTRODUCTION LA CYBERCRIMINALIT ......................................................... 4

LES ATTAQUES PAR INFECTION .......................................................................... 7

LES ATTAQUES SUR LE WEB................................................................................ 8

LES VIRUS ET LES VERS ...................................................................................................... 7

LA DFIGURATION OU DEFACING ............................................................................................ 8

LES ATTAQUES SUR LA MESSAGERIE .................................................................. 9

LES ATTAQUES QUI PORTENT SUR VOTRE CRDULIT ...................................... 16

LE PUMP AND DUMP ......................................................................................... 19

UNE SOCIT COTE ET QUI MRITE D'TRE CONNUE .................................................................. 19

DE QUI RECEVEZ-VOUS CES E-MAILS ET POURQUOI VOUS ? ........................................................

EN CONCLUSION : RETOUR VERS LE MONDE REL ............................................ 22

A PROPOS DE LAUTEUR ................................................................................... 23

1.1. LES VULNRABILITS

1.2. LES MENACES

1.2.3. LES INQUITUDES

1.3. LES ATTAQUES

LES ATTAQUES PAR INFECTION

2.1. LES VIRUS ET LES VERS

2.2. LES CHEVAUX DE TROIE

2.3. LES ADAWARES, LES SPYWARES ET LES ROOTKITS

LES ATTAQUES SUR LE WEB

3.1. LA DFIGURATION OU DEFACING

3.2. LE DNI DE SERVICE DISTRIBU

LES ATTAQUES SUR LA MESSAGERIE

4.1. LE SPAM OU POLLUPOSTAGE

4.2. LE MASS MAILING

1 Internet Relay Chat

Le botnet utilis comme gnrateur de SPAM et de dni de services

LES ATTAQUES QUI PORTENT SUR VOTRE CRDULIT

5.2. LA FRAUDE NIGRIANE

LE PUMP AND DUMP

6.1. UNE SOCIT COTE ET QUI MRITE D'TRE CONNUE

6.2. LE PUMP (LE GONFLAGE ARTIFICIEL)

6.3. POMPEZ, POMPEZ, IL EN RESTERA TOUJOURS QUELQUE CHOSE

6.4. DE QUI RECEVEZ-VOUS CES E-MAILS ET POURQUOI VOUS ?

6.5. LE DUMP (LA LIQUIDATION ET LA FIN DU RVE)

6.6. QUE FAIRE CONTRE CETTE ARNAQUE ?

6.7. FIN DU RVE

EN CONCLUSION : RETOUR VERS LE MONDE REL

Il y a dj quelques prmices et ce phnomne va hlas sans doute samplifier. LInternet va tre

Forum ATENA 2013 La cybercriminalit

Você também pode gostar