Les cyber-attaques se multiplient et atteignent leur objectif de plus en plus fréquemment. Elles suscitent un grand emballement médiatique et un intérêt croissant de personnes malveillantes qui y voient l’opportunité d’utiliser les faiblesses des systèmes d’information pour atteindre leurs fins criminelles. En parallèle, les pirates comprennent l’importance grandissante de leurs compétences et cherchent à les monnayer de plus en plus simplement afin de créer un véritable marché noir de la cybercriminalité.
La demande explosant, le besoin d’industrialisation se fait ressentir. Cette situation aboutit « naturellement » à la création d’offres de « Hack As A Service ». Conçu sur le modèle des services cloud, elle consiste à disposer des services de hacking, simple d’accès, forfaitaire et dont les coûts sont maîtrisés. Balbutiant depuis plusieurs années, ce marché se développe et se structure de plus en plus.Voici un florilège des évolutions récentes qui montrent indubitablement cette tendance de fond.
Remarque : afin d’éviter toute mise en avant de sites offrant ce type de biens ou de prestations, aucun nom ne sera cité directement.
La fourniture de logiciels d’attaques performantes
Pour des tarifs « raisonnables », tournant généralement entre 500$ et 4000$, il est facile de se procurer des kits de logiciels, comme Poison Ivy ou encore Zeus / Spyeye, permettant de mener soi-même des attaques. En plus de fournir des outils permettant de trouver des mots de passe, rebondir sur le réseau et faciliter l’exfiltration de données, ces kits fournissent tout le nécessaire pour assurer la discrétion et l’anonymisation des attaquants. Grâce à ces outils, plus besoin d’être un professionnel du domaine pour échapper aux protections classiques tels que l’antivirus, ces kits sont souvent vendus avec des mises à jour régulière pour conserver leur avance.
La réalisation d’actions malicieuses « au forfait »
De plus en plus fréquentes et de moins en moins chères, ces offres sont parmi les plus simples à utiliser. En effet, aucune connaissance n’est requise. Les prestations sont variées et peuvent aller d’un simple déni de service à un vol de données sensibles en passant par du défacement de sites web. Par exemple, hacker un compte Gmail se chiffre autour de 400$ . Le paiement peut lui aussi être anonyme en passant par le principe de monnaies virtuelles encore peu encadré aujourd’hui.
Le recel d‘informations personnelles ou bancaires
Pourquoi attaquer quand les informations convoitées sont d’ores et déjà exfiltrées ? C’est le principe des plates-formes de recel de données personnelles et bancaires. Le prix des cartes de crédit, suivant la qualité des données et le type de carte y évolue de quelques dollars à plusieurs centaines dans certains cas. Des mécanismes de type « try & buy » permettent d’ailleurs de vérifier aisément la qualité des données. Tout comme LeBoncoin ou eBay, ces places de marché permettent la vente de ces informations. D’autres données peuvent y être vendues, comme par exemple celles à caractère personnel (adresses numéros de téléphone, etc.) qui peuvent s’y échanger pour pas moins de 25 centimes . Ces trafics seraient à l’origine d’un rendement financier supérieur à celui du trafic de drogue en Russie.
La vente d’exploit zero-day
Ce marché est encore limité car les prix et la capacité à exploiter les données d’un exploit nécessitent des compétences et des moyens particuliers. Cependant, il s’agit d’une arme imparable pour pénétrer les réseaux et bien utiliser ces exploits devient vite très rentable. Les prix oscillent entre 5 000 $ pour des exploits simples, visant par exemple Adobe Reader et 250 000 $ pour des attaques visant les plateformes mobiles, l’iOS en particulier.
Que retenir de la démocratisation de ce marché ?
La création de ces nouveaux services montre explicitement qu’il ne faut plus être un attaquant chevronné, disposer de contacts dans le milieu ou encore avoir d’importants moyens financiers pour lancer une attaque. La probabilité d’être visé augmente donc aussi rapidement que les services se démocratisent et que les prix baissent.
Ces exemples peuvent être d’intéressantes pistes pour sensibiliser des équipes trop réticentes ou encore trop naïve sur les moyens nécessaires pour attaquer une entreprise, ses collaborateurs et ses clients !
[Article rédigé en collaboration avec Xavier Paquin]