Un milieu paranoïaque et très bien organisé. C’est le portrait du milieu cybercriminel français que dresse l’entreprise de sécurité informatique Trend Micro, dans un rapport rendu public le 13 septembre.

L’entreprise a mandaté l’un de ses experts pour examiner les principaux acteurs du secteur qui gèrent des sites cachés, inaccessibles avec un navigateur Internet traditionnel, et spécialisés dans la vente de biens et services illégaux. Conformément aux règles éthiques de l’entreprise, il s’est contenté de consulter les informations disponibles publiquement, sans jamais s’impliquer dans le fonctionnement de ces sites.

L’« underground » français compte, selon l’expert de Trend Micro, cinq sites principaux, ainsi qu’une myriade de petites structures, parfois individuelles. Ces places de marché réaliseraient un chiffre d’affaires situé entre 5 et 10 millions d’euros par mois, selon le rapport, qui cite des estimations de la police nationale et de la gendarmerie. Toujours selon l’entreprise, si plusieurs milliers de personnes seraient inscrites sur ces sites, les équipes les faisant fonctionner ne dépasseraient pas la dizaine de personnes.

Que trouve-t-on sur ces marchés ?

L’offre de biens et de services illégaux ressemble beaucoup à celle proposée par d’autres sites illégaux internationaux. L’acheteur peut ainsi trouver des drogues, des documents d’identité, des données de cartes bleues, des faux billets ou des armes.

Loin des fantasmes d’achat d’armes lourdes, l’offre française en matière d’armes à feu porte « pour l’essentiel, sur des armes discrètes » et non pas des « armes puissantes et d’envergure » selon Trend Micro. Des fichiers d’impression 3D sont aussi disponibles : traités par une imprimante spéciale, ils permettent en théorie d’« imprimer » des armes, par définition intraçables et au coût modique. L’avènement de ce type d’armes semble, heureusement, encore lointain.

Mais les sites illégaux cachés proposent des prestations propres à la France. Il est ainsi possible de se procurer des passe-partout spécialement conçus pour ouvrir des boîtes aux lettres françaises. Du matériel qui reste en théorie l’apanage de La Poste ou de certaines sociétés de livraison, mais qui est vendu pour 15 euros l’unité (220 euros les 25 clés) sur certains sites. Une fois muni de ces passe-partout, il devient facile de subtiliser dans les boîtes aux lettres des documents d’identité ou des justificatifs de domicile utiles pour commettre des fraudes ultérieures.

Une image de passe-partout permettant d'ouvrir des boîtes aux lettres, mise en ligne par un vendeur dont le nom a été expurgé. Trend Micro

Divers documents officiels sont également disponibles à la vente, que ce soit de fausses cartes grises (pour écouler des voitures volées, environ 500 euros), des générateurs de fausses photocopies de cartes d’identité, des cartes de personnes à mobilité réduite (40 euros) ou des chèques contrefaits (entre 70 et 100 euros les dix chèques).

Plus étonnant encore, certains vendeurs proposent des services d’ouverture de compte clé en main. Rétifs à l’idée d’apparaître à visage découvert pour gérer l’argent issu de leurs activités illégales, certains utilisateurs rémunèrent des individus pour le faire à leur place, à l’aide de faux documents d’identité. Le tout pour environ 700 euros.

Des logiciels malveillants sont également proposés par certains sites. Les principaux lieux d’approvisionnement demeurent les sites étrangers, mais Trend Micro a trouvé au moins deux vendeurs proposant des rançongiciels – ces logiciels chiffrent les données pour les rendre inutilisables à moins de verser une rançon – dotés d’une interface d’administration en français.

Paranoïa ambiante

Particulièrement précautionneux et furtifs, les administrateurs des sites illégaux, à l’instar de n’importe quel syndicat du crime, craignent l’infiltration des forces de police dans leurs rangs.

« Le cybercriminel français, tout comme ses homologues d’autres pays, est obnubilé par une idée : éviter de se faire coincer par les forces de l’ordre. Mais contrairement à ces mêmes homologues, il est probablement plus prudent », écrit Trend Micro dans son rapport.

Les utilisateurs désireux de grimper les échelons dans le milieu cybercriminel doivent donc montrer patte blanche en étant actif et en ayant la meilleure réputation possible. Pour s’impliquer davantage sur certains sites illégaux, il est nécessaire d’atteindre un certain « score de réputation » ou une ancienneté suffisante sur le site. Trend Micro relève ainsi l’existence sur certains sites de « murs de la honte », où sont recensés les utilisateurs n’ayant pas respecté les règles en vigueur sur ces sites. Parmi ces derniers, certains ont mis en place des mécanismes de régulation, notamment des systèmes de signalement, comme sur les grands réseaux sociaux, pour alerter les administrateurs des infractions aux règles.

Les échanges entre membres trahissent leur méfiance et sont quasi systématiquement protégés par le chiffrement. « A partir d’un certain niveau [dans la hiérarchie], ils utilisent systématiquement PGP [un moyen de rendre illisible à des tiers le contenu des messages], pour se protéger de la police mais aussi des arnaques entre sites illégaux », explique Cédric Pernet, ancien officier de police judiciaire spécialisé et auteur du rapport.

Comme certaines organisations mafieuses, les sites illégaux ne s’épargnent pas entre eux. Trend Micro rapporte le cas d’administrateurs d’un site qui ont tenté de pirater les comptes ouverts par ses membres sur un site concurrent.

Que peuvent faire les forces de l’ordre ?

Cette paranoïa et leur présence dans des recoins peu accessibles d’Internet n’immunisent pas ces sites contre les enquêtes des forces de l’ordre. C’est en procédant à des infiltrations que les autorités américaines ont réussi à débrancher le célèbre site Silk Road. Le site qui lui a succédé, Silk Road 2, avait lui aussi été infiltré, entraînant sa perte. Et pour cause, la police américaine a de grandes latitudes en matière d’enquêtes sous pseudonymes.

En France, la pratique se généralise peu à peu. En octobre dernier, un décret était venu fortement élargir le nombre de services de police pouvant mener des enquêtes sous pseudonyme.