Marchés illicites en ligne

marchés illicites en ligne

Le darknet fournit un environnement relativement anonyme dans lequel acheter et vendre des biens et services illicites. Les transactions ont lieu sur des marchés illicites qui fonctionnent de la même manière qu'eBay et Amazon. Les marchés invitent les vendeurs indépendants à créer des profils et des pages de produits que les clients parcourent. Les clients ajoutent des produits à leurs paniers et les paient avec des crypto-monnaies comme le bitcoin. Dans le cas des biens physiques, les clients reçoivent leurs biens par la poste, cachés dans des colis.

Figure 1 : Capture d'écran du marché illicite en ligne de Wall Street

Marché illicite en ligne de Wall Street

Les marchés illicites du darknet offrent une large gamme de produits illicites tels que des drogues, des services de piratage et des informations financières volées. L'une des listes les plus divertissantes publiées récemment était celle d'une loterie de cocaïne. Les clients achèteraient un billet de loterie et courraient la chance de gagner 100 grammes de cocaïne si leur numéro était tiré à la fin du mois ! La page produit n'indiquait cependant pas si Deloitte supervisait le tirage ou non…

Personne ne vend de l'or au prix de l'argent

Nos clients portent une attention particulière aux listes de produits qui font la publicité d'informations financières volées. Celles-ci se présentent sous plusieurs formes : identifiants de comptes bancaires en ligne, numéros de carte de crédit avec les coordonnées de leurs propriétaires. Il y a eu beaucoup de débats dans la communauté scientifique pour savoir si ces listes de produits avaient une quelconque valeur. En effet, de nombreux vendeurs ne tiennent jamais leur promesse d'envoyer les informations qu'ils ont vendues. Les chercheurs de Microsoft ont publié un article sur cette question en 2009 avec le titre inquiétant "Personne ne vend de l'or au prix de l'argent”. Les chercheurs se demandent pourquoi les vendeurs répertorient les cartes de crédit avec un solde de milliers de dollars à vendre pour moins de 20 $. Serait-ce parce que, alors que la valeur théorique de l'information se chiffre en milliers de dollars, la valeur réelle de l'information est beaucoup plus faible ? Cela pourrait-il s'expliquer par la faible qualité des informations financières volées ?

Il est souvent difficile de faire la différence entre les bonnes et les mauvaises informations financières volées en vente. La figure 2 présente un post de forum typique annonçant des connexions bancaires. Cette annonce ne se démarque pas des nombreux autres messages que l'on peut trouver sur le darknet. L'utilisateur décrit les produits à vendre. Il se vante également de sa capacité à voler des informations aux banques américaines, aux banques canadiennes et aux détaillants. L'utilisateur mentionne également qu'il peut fournir des cartes d'identité comme des permis de conduire.

Figure 2 : Publicité de produit sur le forum darknet

Publicité de produits sur le forum darknet

Cette publicité peut sembler suspecte au premier abord. En effet, très peu de fournisseurs offrent une telle gamme de services de manière fiable. De nombreux analystes peuvent classer cet utilisateur comme un escroc essayant de gagner rapidement de l'argent en ne tenant jamais ses promesses. Une analyse plus approfondie suggère cependant que l'utilisateur a quelque chose de valeur à vendre. Entre octobre et décembre 2018, l'utilisateur continue de faire la publicité de ses produits via des messages de forum et des marchés illicites du darknet. Il va même jusqu'à proposer des réductions pour les fêtes à partir du 26 décembre ! Le 31 décembre, l'utilisateur publie un nouveau titre de message intrigant "Nouvelle méthode pour générer une connexion bancaire". Le poste précise que :

"Je vends la nouvelle méthode pour générer une connexion bancaire [...] Je fournirai un guide complet + une vidéo sur la façon de générer le compte, comment contourner la sécurité bancaire, comment obtenir la vraie réponse de sécurité et comment changer le mot de passe […] Je vais également vous donner toute l'assistance dont vous avez besoin pour générer votre première connexion […] vous pouvez faire un minimum de 10k par jour avec cette méthode si vous savez comment encaisser une connexion bancaire en effectuant un virement, un emt ou une prise bancaire dehors".

Il s'agit d'un changement pour cet utilisateur, car n'importe qui peut acheter en ligne des informations financières volées en masse, puis les revendre en ligne carte par carte. Très peu de personnes disposent en effet d'un exploit leur permettant de contourner la sécurité bancaire pour accéder aux fichiers clients. Le 28 février, l'utilisateur publie un autre message qui l'intéresse. Il annonce des identifiants à vendre pour les identifiants web de la Société des alcools du Québec (SAQ). C'est l'agence gouvernementale qui vend tout l'alcool dans la province de Québec. Bien sûr, tout le monde connaît la SAQ au Québec – plusieurs d'entre nous sont même de fidèles clients! L'agence n'est pas très connue à l'extérieur du Québec. Cela pourrait-il indiquer que cet utilisateur, proposant un exploit pour contourner un système de sécurité bancaire canadien ET des identifiants pour une agence québécoise, est situé au Québec ? Peut-être…

Marchés illicites en ligne et renseignements sur les cybermenaces

Au premier abord, cet utilisateur ne se démarque pas de ses pairs. Il n'est qu'un autre vendeur faisant la publicité d'informations financières volées sur le darknet. Son cas montre cependant la valeur des renseignements sur les cybermenaces et les services de Flare Systems.

Premièrement, en recevant des alertes sur les messages de l'utilisateur, un analyste de la sécurité bancaire pourrait être informé de la progression des activités de l'utilisateur. L'analyste a pu remarquer que l'utilisateur était soudainement devenu une personne d'intérêt qui méritait une plus grande attention. En effet, en proposant une méthode pour contourner la sécurité bancaire, l'utilisateur se jette dans une toute nouvelle catégorie. Le billet de décembre aurait donc pu être une bonne raison de lancer une revue de code à la banque pour identifier l'exploit vendu.

Il est possible que la révision du code n'ait rien donné et que la menace à ce stade ait été classée comme inexistante. C'est pourquoi le post de février avec les coordonnées d'un utilisateur de banque est cependant crucial. Il fournit une piste pour la révision du code afin d'identifier comment le compte a été accédé, par qui et pour empêcher l'exploit d'exposer d'autres comptes clients.

À emporter

Le message de cet utilisateur nous amène à croire que la menace qu'il représentait a augmenté avec le temps. Ses produits auraient très bien pu avoir un impact sur les opérations de la banque s'ils avaient été largement distribués. Une équipe de sécurité surveillant les messages de l'utilisateur aurait cependant été prête à faire face à cette menace. L'équipe aurait pu utiliser les renseignements exploitables pour prévenir ou limiter la menace posée par l'utilisateur.

Abonnez-vous à notre blog pour rester à jour sur le darknet et la cybersécurité.

Partager cet article

Équipe de recherche

Flare’s research team conducts investigations and experiments in order to gather data, create new knowledge, and develop new ideas. This helps our team stay ahead of emerging threats and also add insight to our product roadmap.

Contenu similaire