Comment et pourquoi la Russie a développé une forme de cyberguerre open source.
Cybercrimes sans châtiments
En Russie, le boom du hacking eut lieu après la crise financière de 1998 : des myriades de petites et de grandes entreprises mirent la clé sous la porte, délaissant des masses de programmeurs-développeurs sur le carreau. Aujourd’hui encore, près de 70% des étudiants en sciences et en technologie ne trouvent aucun débouché à leur sortie de l’université et l’actuelle « Grande Récession » n’arrange pas leurs horizons. Pourtant, les facultés sci-tech russes forment remarquablement bien et contournent le manque de ressources avec une ingéniosité incomparable. À défaut d’être absolument paritaires, leurs effectifs féminins sont bien plus élevés qu’à l’ouest (de 13 à 43% d’étudiantes selon les académies), un héritage égalitariste de l’ère soviétique. Orbitant autour des campus et/ou proposant des offres légales en ligne, des chasseurs de cyber-têtes offriront des opportunités de carrières inespérées à ces diplômés en mal d’avenir.
Selon le Centre de Recherche en Criminalité Russe et Eurasienne, la très grande majorité des entreprises cybercriminelles russes sont créees et dirigées par des diplômés en informatique et/ou d’école de commerce originaires de bonnes familles, parfois fils d’anciens ou de nouveaux apparatchiks. Très peu de mafieux endurcis car aisément repérables et insuffisamment calés, très peu de hackers car trop geeks et pas du tout gestionnaires. Néanmoins, l’apport en capitaux des premiers est indispensable, l’apport en industrie des seconds est incontournable l’ensemble étant fortifié par des relations parentales bien placées. Certaines cybermafias sont peu ou prou les divisions informatiques des fameuses mafias russes. La plus connue d’entre elles est le Russian Business Network (RBN) purement issu des protocoles Internet, fondé et dirigé par un certain « Flyman » - qui n’a pas encore 30 ans - neveu d’un puissant homme politique russe et donc à l’abri des forces de sécurité et des poursuites judiciaires.
Les personnels de ces entreprises cybercriminelles très agiles sont composés de garçons et de filles diplômés, compétents, mignons, joviaux, cheveux clairs, yeux verts, casiers judiciaires vierges… Et parfois mineurs car dans le hacking, la valeur attend de moins en moins le nombre d’années. Nés sous la perestroïka ou pendant la décomposition post-communiste et n’ayant jamais connu la kafkaïenne rigueur soviétique, cette « e-génération » montante a toujours vécu à travers les arriérés salariaux des parents, la loi des mafias, la corruption exubérante et l’insécurité galopante. Dès lors, jeunes talents en Russie ayant mené leurs études d’arrache-pied, comment auraient-ils pu résister à cette tentation voire à ce quasi non-choix ?
Ceux qui n’ont pas été recrutés sur le parvis de la fac obtiendront rapidement l’adresse d’une « shkola hackerov ». Diplômé d’informatique de l’université de Moscou, Dimitri se rend trois par semaine chez le Pr V., une dame corpulente dans la quarantaine qui lui donne des cours particuliers de hacking dans son appartement nettement moins rangé que son bureau Linux Ubuntu. Après quelques liasses de roubles et avant chaque leçon, il est sermonné pour l’enième fois sur les dangers de l’alcool, de la cigarette, de la drogue et du cyberpiratage. Après un ou deux semestres de formation intense, le Pr V. orientera professionnellement Dimitri avec une justesse toute algorithmique. Une fois installé, il côtoiera ses camarades de promo et gagnera autant voire plus qu’un cadre informatique américain ou européen, c’est-à-dire le paradis terrestre en Russie. De quoi attirer, retenir et motiver les cerveaux.
Traumatisée par une criminalité violente sans fin, la société russe est plus encline à passer l’éponge sur le cyberpiratage qui, au moins, n’ensanglante pas les rues ou les couloirs d’immeubles et ne trouble guère l’ordre public. De plus, les foisonnants syndicats du cybercrime sont perçus par l’opinion d’abord comme la nouvelle matière grise de la Russie à l’ère informationnelle, puis comme des Robin des Bois extorquant de la menue monnaie à un Occident trop gras, faisant convenablement vivre leurs familles et partageant le butin avec les autorités. En effet, ces syndicats flirtent constamment avec les cyber-agents fédéraux qui en profitent pour arrondir leurs fins de mois, mettre à jour leurs connaissances et savoir concomitamment « qui est qui et qui fait quoi ».
Échange de bons procédés oblige, les cybermafias bénéficient de la complaisance et de la protection du FSB – surtout contre Interpol et les extraditions vers les Etats-Unis et l’Europe – et garantissent de ne jamais s’en prendre aux cyberstructures gouvernementales. Un accord tacite solidement respecté depuis plus de dix ans.
Il convient donc d’appréhender préalablement la réalité socioéconomique et politique russe avant d’émettre quelque jugement de valeur ou de lui transposer des schèmes occidentaux. Par ailleurs, malgré des finalités plus ou moins divergentes, cybercrime et cyberguerre recourent à des modes opératoires très souvent identiques. Un bref survol des tactiques et techniques cybercriminelles est également indispensable pour mieux cerner l’approche russe de la cyberguerre et ses récentes évolutions.
Bons botnets de Russie
Pépinières prolifiques du spamming, du scamming, du phishing, du vol de numéros de cartes et codes bancaires, d’hébergements mafieux « à l’épreuve des balles » et de malwares, les cybermafias russes seraient à elles seules la source de plus d’un tiers de la cybercriminalité planétaire. Longtemps avant les cybercriminels occidentaux, elles ont intégré les malices en ligne dans une industrie digne de ce nom : audit, e-marketing, packs, forfaits, solutions personnalisées, tarifs segmentés, suivi des opérations, veille technologique, gestion de la relation clientèle, service après-vente, assistance technique, tutoriaux, etc… En Russie plus qu’ailleurs, le « malware-as-a-service » (MaaS ou code malicieux comme service) est porté par un cycle d’innovation de plus en plus rapide et par une réduction constante des risques opérationnels.
Les produits pay-or-deny sont très appréciés : pour 100 dollars, un créancier énervé ou un parrain en colère peut commanditer des plantages répétés de serveurs – via la technique du déni de service distribué (DDoS) - jusqu’à ce que son débiteur lui verse la somme exigée. Dans certains cas, point besoin d’être un hacker chevronné : il suffit de remplir un formulaire et de désigner les sites ou les serveurs à paralyser ! Dans un environnement entrepreneurial où la force précède souvent le droit, cette sommation se révèle plus efficace qu’une lettre d’huissier. Un site de phishing (usurpation d’identités numériques) se négocie entre 1000 et 3000 dollars mensuels, plus 50 dollars pour une option comme le retour crypté de données. Aujourd’hui, maintes applications MaaS comportent des kits préprogrammés et des interfaces conviviales, ceci afin que de simples informaticiens de gestion proposent des services cybercriminels en arrière-plan sans nécéssairement connaître leurs détails techniques.
En informatique, la virtualisation consiste en quelque sorte à créer ou à reproduire un ou plusieurs ordinateurs virtuels et leurs systèmes d’exploitation à l’intérieur d’un autre ordinateur bien réel utilisant un système d’exploitation identique ou différent. Les outils de virtualisation servent à faire fonctionner ce qu’on appelle communément des serveurs privés virtuels (Virtual Private Servers ou VPS) ou encore environnements virtuels (Virtual Environments ou VE). L’interconnexion de plusieurs machines virtuelles combinée à de solides procédés de cryptage et de reroutage permet aux cybermafias russes d’agir très en-dessous des radars cybersécuritaires, et ce, sans laisser de traces dans les disques durs physiques utilisés. Le recours à des architectures décentralisées en ligne (chat, réseaux peer-to-peer et applications Web 2.0) disséminent d’autant les activités dans un brouillard numérique et compliquent à l’extrême la traçabilité électronique et de facto la recherche de preuves.
Distribués et redistribués par des spams, des virus, des fichiers téléchargés ou des hyperliens piégés, les botnets sont de minuscules programmes ultra-furtifs permettant de contrôler à distance plusieurs milliers d’ordinateurs. Ils sont conçus essentiellement pour diffuser des e-mails publicitaires - la preuve par votre courriel quotidien ! - mais aussi pour espionner l’activité en ligne d’un ordinateur, détecter des mots de passe, des données bancaires ou des adresses IP, paralyser et infecter des serveurs commerciaux ou gouvernementaux et même effacer intégralement leurs contenus. De sournois virus, vers, troyens et botnets commme Bagel, MyDoom, NetSky, Storm Worm, Pinch, Damrai et Scratch, pour ne citer qu’eux, ont été incubés dans quelques serveurs de Saint-Petersbourg.
Au printemps 2009, des chercheurs californiens avaient intercepté et observé un botnet agir pendant 10 jours : en une heure, celui-ci avait collecté plus de 70 Go de données bancaires et numéros de cartes de crédit, et 56 000 mots de passe concernant 8310 comptes auprès 180 000 ordinateurs et 410 établissements financiers de par le monde dont PayPal, Capital One, E-Trade et Chase ! On comprend pourquoi le botnet est l’une des armes préférées du cybercrime.
Cybercrimes sans châtiments
En Russie, le boom du hacking eut lieu après la crise financière de 1998 : des myriades de petites et de grandes entreprises mirent la clé sous la porte, délaissant des masses de programmeurs-développeurs sur le carreau. Aujourd’hui encore, près de 70% des étudiants en sciences et en technologie ne trouvent aucun débouché à leur sortie de l’université et l’actuelle « Grande Récession » n’arrange pas leurs horizons. Pourtant, les facultés sci-tech russes forment remarquablement bien et contournent le manque de ressources avec une ingéniosité incomparable. À défaut d’être absolument paritaires, leurs effectifs féminins sont bien plus élevés qu’à l’ouest (de 13 à 43% d’étudiantes selon les académies), un héritage égalitariste de l’ère soviétique. Orbitant autour des campus et/ou proposant des offres légales en ligne, des chasseurs de cyber-têtes offriront des opportunités de carrières inespérées à ces diplômés en mal d’avenir.
Selon le Centre de Recherche en Criminalité Russe et Eurasienne, la très grande majorité des entreprises cybercriminelles russes sont créees et dirigées par des diplômés en informatique et/ou d’école de commerce originaires de bonnes familles, parfois fils d’anciens ou de nouveaux apparatchiks. Très peu de mafieux endurcis car aisément repérables et insuffisamment calés, très peu de hackers car trop geeks et pas du tout gestionnaires. Néanmoins, l’apport en capitaux des premiers est indispensable, l’apport en industrie des seconds est incontournable l’ensemble étant fortifié par des relations parentales bien placées. Certaines cybermafias sont peu ou prou les divisions informatiques des fameuses mafias russes. La plus connue d’entre elles est le Russian Business Network (RBN) purement issu des protocoles Internet, fondé et dirigé par un certain « Flyman » - qui n’a pas encore 30 ans - neveu d’un puissant homme politique russe et donc à l’abri des forces de sécurité et des poursuites judiciaires.
Les personnels de ces entreprises cybercriminelles très agiles sont composés de garçons et de filles diplômés, compétents, mignons, joviaux, cheveux clairs, yeux verts, casiers judiciaires vierges… Et parfois mineurs car dans le hacking, la valeur attend de moins en moins le nombre d’années. Nés sous la perestroïka ou pendant la décomposition post-communiste et n’ayant jamais connu la kafkaïenne rigueur soviétique, cette « e-génération » montante a toujours vécu à travers les arriérés salariaux des parents, la loi des mafias, la corruption exubérante et l’insécurité galopante. Dès lors, jeunes talents en Russie ayant mené leurs études d’arrache-pied, comment auraient-ils pu résister à cette tentation voire à ce quasi non-choix ?
Ceux qui n’ont pas été recrutés sur le parvis de la fac obtiendront rapidement l’adresse d’une « shkola hackerov ». Diplômé d’informatique de l’université de Moscou, Dimitri se rend trois par semaine chez le Pr V., une dame corpulente dans la quarantaine qui lui donne des cours particuliers de hacking dans son appartement nettement moins rangé que son bureau Linux Ubuntu. Après quelques liasses de roubles et avant chaque leçon, il est sermonné pour l’enième fois sur les dangers de l’alcool, de la cigarette, de la drogue et du cyberpiratage. Après un ou deux semestres de formation intense, le Pr V. orientera professionnellement Dimitri avec une justesse toute algorithmique. Une fois installé, il côtoiera ses camarades de promo et gagnera autant voire plus qu’un cadre informatique américain ou européen, c’est-à-dire le paradis terrestre en Russie. De quoi attirer, retenir et motiver les cerveaux.
Traumatisée par une criminalité violente sans fin, la société russe est plus encline à passer l’éponge sur le cyberpiratage qui, au moins, n’ensanglante pas les rues ou les couloirs d’immeubles et ne trouble guère l’ordre public. De plus, les foisonnants syndicats du cybercrime sont perçus par l’opinion d’abord comme la nouvelle matière grise de la Russie à l’ère informationnelle, puis comme des Robin des Bois extorquant de la menue monnaie à un Occident trop gras, faisant convenablement vivre leurs familles et partageant le butin avec les autorités. En effet, ces syndicats flirtent constamment avec les cyber-agents fédéraux qui en profitent pour arrondir leurs fins de mois, mettre à jour leurs connaissances et savoir concomitamment « qui est qui et qui fait quoi ».
Échange de bons procédés oblige, les cybermafias bénéficient de la complaisance et de la protection du FSB – surtout contre Interpol et les extraditions vers les Etats-Unis et l’Europe – et garantissent de ne jamais s’en prendre aux cyberstructures gouvernementales. Un accord tacite solidement respecté depuis plus de dix ans.
Il convient donc d’appréhender préalablement la réalité socioéconomique et politique russe avant d’émettre quelque jugement de valeur ou de lui transposer des schèmes occidentaux. Par ailleurs, malgré des finalités plus ou moins divergentes, cybercrime et cyberguerre recourent à des modes opératoires très souvent identiques. Un bref survol des tactiques et techniques cybercriminelles est également indispensable pour mieux cerner l’approche russe de la cyberguerre et ses récentes évolutions.
Bons botnets de Russie
Pépinières prolifiques du spamming, du scamming, du phishing, du vol de numéros de cartes et codes bancaires, d’hébergements mafieux « à l’épreuve des balles » et de malwares, les cybermafias russes seraient à elles seules la source de plus d’un tiers de la cybercriminalité planétaire. Longtemps avant les cybercriminels occidentaux, elles ont intégré les malices en ligne dans une industrie digne de ce nom : audit, e-marketing, packs, forfaits, solutions personnalisées, tarifs segmentés, suivi des opérations, veille technologique, gestion de la relation clientèle, service après-vente, assistance technique, tutoriaux, etc… En Russie plus qu’ailleurs, le « malware-as-a-service » (MaaS ou code malicieux comme service) est porté par un cycle d’innovation de plus en plus rapide et par une réduction constante des risques opérationnels.
Les produits pay-or-deny sont très appréciés : pour 100 dollars, un créancier énervé ou un parrain en colère peut commanditer des plantages répétés de serveurs – via la technique du déni de service distribué (DDoS) - jusqu’à ce que son débiteur lui verse la somme exigée. Dans certains cas, point besoin d’être un hacker chevronné : il suffit de remplir un formulaire et de désigner les sites ou les serveurs à paralyser ! Dans un environnement entrepreneurial où la force précède souvent le droit, cette sommation se révèle plus efficace qu’une lettre d’huissier. Un site de phishing (usurpation d’identités numériques) se négocie entre 1000 et 3000 dollars mensuels, plus 50 dollars pour une option comme le retour crypté de données. Aujourd’hui, maintes applications MaaS comportent des kits préprogrammés et des interfaces conviviales, ceci afin que de simples informaticiens de gestion proposent des services cybercriminels en arrière-plan sans nécéssairement connaître leurs détails techniques.
En informatique, la virtualisation consiste en quelque sorte à créer ou à reproduire un ou plusieurs ordinateurs virtuels et leurs systèmes d’exploitation à l’intérieur d’un autre ordinateur bien réel utilisant un système d’exploitation identique ou différent. Les outils de virtualisation servent à faire fonctionner ce qu’on appelle communément des serveurs privés virtuels (Virtual Private Servers ou VPS) ou encore environnements virtuels (Virtual Environments ou VE). L’interconnexion de plusieurs machines virtuelles combinée à de solides procédés de cryptage et de reroutage permet aux cybermafias russes d’agir très en-dessous des radars cybersécuritaires, et ce, sans laisser de traces dans les disques durs physiques utilisés. Le recours à des architectures décentralisées en ligne (chat, réseaux peer-to-peer et applications Web 2.0) disséminent d’autant les activités dans un brouillard numérique et compliquent à l’extrême la traçabilité électronique et de facto la recherche de preuves.
Distribués et redistribués par des spams, des virus, des fichiers téléchargés ou des hyperliens piégés, les botnets sont de minuscules programmes ultra-furtifs permettant de contrôler à distance plusieurs milliers d’ordinateurs. Ils sont conçus essentiellement pour diffuser des e-mails publicitaires - la preuve par votre courriel quotidien ! - mais aussi pour espionner l’activité en ligne d’un ordinateur, détecter des mots de passe, des données bancaires ou des adresses IP, paralyser et infecter des serveurs commerciaux ou gouvernementaux et même effacer intégralement leurs contenus. De sournois virus, vers, troyens et botnets commme Bagel, MyDoom, NetSky, Storm Worm, Pinch, Damrai et Scratch, pour ne citer qu’eux, ont été incubés dans quelques serveurs de Saint-Petersbourg.
Au printemps 2009, des chercheurs californiens avaient intercepté et observé un botnet agir pendant 10 jours : en une heure, celui-ci avait collecté plus de 70 Go de données bancaires et numéros de cartes de crédit, et 56 000 mots de passe concernant 8310 comptes auprès 180 000 ordinateurs et 410 établissements financiers de par le monde dont PayPal, Capital One, E-Trade et Chase ! On comprend pourquoi le botnet est l’une des armes préférées du cybercrime.
Commentaire