Trend Micro "go between" entre la France et le Japon ?

Assises 2016 : Trend Micro 

 

Trend Micro "go between" entre la France et le Japon ?

 

 

A l’occasion de son traditionnel déjeuner Presse « d’avant les Assises de la Sécurité » (Monaco 5 – 8 octobre 2016) Trend Micro a fait le point sur son rapport de sécurité, les relations entre le Japon et La France en cybersécurité et a dévoilé les conclusions d’une étude spécifique sur « le Web underground en France ».

 

Le rapport sur l’underground français précise l’éditeur « s’inscrit dans la lignée du programme CUES (Cybercriminel Underground Economy Series) lancé en 2014 » L’idée étant d’apporter des informations pertinentes sur les économies souterraines liées à la cybercriminalité, et ce dans différentes parties du monde. Pour la France, Cédric Pernet, chercheur et auteur de l’étude (lire :http://cyberisques.com/fr/mots-cles-1/459-assises-de-la-securite-2015-quelques-tendances-pas-toujours-evoquees ) a retenu cinq places de marché parmi les plus importantes et deux forums majeurs tenus par des cybercriminels en France.

Faisant suite à des rapports sur les « communautés » underground russes, chinoises, allemandes… l’édition « française » était on s’en doute attendue. A première vue, Trend opte pour la discrétion. Donc pas de révélations partenariat avec Interpol oblige ! « L’éditeur japonais le plus français de la cybersécurité » reconnaît qu’il collabore avec les services de Police et de Gendarmerie notamment en France. Toutefois, il refuse le terme « d’indic ». Ou commencent et ou s’arrêtent les contenus échangés ? Pour Loïc Guézo, évangéliste chez Trend Micro : «  Les chiffres donnés par la Police et la Gendarmerie sont issus des estimations des autorités entre 5 et 10 millions d’euros par mois. Ce que nous avons fait chez Trend c’est ajouter à ces estimations une liste des prix unitaires » (voir le document ci-joint) ; Qu’obtient l’éditeur - dont le cœur de métier reste ne l’oublions pas la vente de ses solutions et services – en échange des informations fournies ? No comment.

Quant au contenu du rapport, il nous livre quelques pistes : près de 40 000 « individus » composeraient l’ underground » français mais seulement une petite centaine seraient réellement actifs et « offriraient des services Pro ». Services payants grassement qui leurs permettraient de s’offrir « de belles voitures » selon l’auteur du rapport.

A noter que l’on peut évoquer sans trop se tromper selon les experts de Trend un underground Français au même titre qu’allemand ou russe. Dans cet univers virtuel des frontières existent créant une espace cyber propre à un pays. Cet espace peut être défini par la langue, parfois la monnaie d’échange (souvent le bitcoin) mais surtout la nature des offres proposées. Ainsi, lorsqu’il s’agit de faux papiers reproduisant ceux émis par l’administration française, les auteurs « ciblent » une clientèle vivant ou désireuse de vivre en France.

Les conditions de l’enquête sur l’espace underground français du darkweb mondial étaient « rudes » précise Cédric Pernet en introduction de son rapport : « La méfiance est d’actualité au sein de cet environnement, et aussi importante que dans l’underground Japonais. Les systèmes de babillards électroniques (BBS) japonais utilisent des CAPTCHA pour filtrer les utilisateurs et s'assurer qu'ils sont bien du pays ou, du moins, qu'ils communiquent en japonais. En France, on va plus loin : les forums, places de marchés et autres autoshops ("boutiques" tenues par un seul vendeur) exigent d'y adhérer ou imposent un processus de validation avant toute participation. Les administrateurs de forums ne permettent à un demandeur d'en être un membre actif qu'après obtention d'un certain score de réputation, et certains forums classent leurs utilisateurs selon le critère de l'expérience. Les novices sont traités différemment des cybercriminels plus expérimentés qui disposent d'un statut premium (Elite, Administrateur, membre de confiance...) ». Les luttes et rivalités entre « cyber-marchands » existent. Un mur de la « honte » a même été créé sur certains forum ; Les enjeux business sont là : entre 5 et 10 millions d’euros par mois selon la Police et la gendarmerie « qui procèdent non pas a partir de plaintes mais sur des estimations suite a des enquêtes sur les comptes bancaires des cybercriminels » précise Loïc Guézo.

 

Cybercriminel: score de réputation et mur de la honte

Au sein de l’underground français, les administrateurs de forums ne permettent à un demandeur d'être un membre actif qu'après obtention d'un certain score de réputation précise le rapport.  Le score de réputation d'un membre augmente à chaque post pertinent publié ou transaction frauduleuse réussie sur le forum. "Plus votre score de réputation est élevé, plus vous êtes une personne de confiance (en clair, vous ne faites pas partie des forces de l'ordre)."

Coté cyber-boutique, on reste davantage au niveau artisanal que business international. Pas de cyber-mafia, peu d’interconnexion entre les undergrounds « nationaux » et pas de trafic d'armes lourdes voire de transactions propres à des cyberterroristes. Les produits et services revendus (voir le document ci-dessous) vont du kit de phishing à celui du suicide « clé en main », de la location de réseau de botnet aux données de cartes de paiement…

En revanche, les cybercriminels savent entretenir un climat de méfiance via l’usage systématique d’outils de chiffrement en plus de Kit et d’outils d’origines étrangères de type RAT « ce qui limite fortement les possibilités pour les enquêteurs » reconnaît Cédric Pernet.

Comme sur de nombreux forums cybercriminels, se procure des « outils » de type malware, chevaux de Troie, botnet et ransomware (rançongiciel) constituent un « classique » de ce type de « business ». C’est une réelle menace estime Cédric Pernet en pointant les nombreuses « variantes de ransomwares » commercialisées au sein de l'underground français. « Nous avons identifié deux cybercriminels vendant des ransomware. Ces logiciels semblaient être conçus sur mesure pour des victimes françaises. Un des ransomware, en phase finale de développement, était présenté sous forme de copies d'écran illustrant son fonctionnement. Le rançongiciel exigeait un paiement de la rançon sous forme de Bitcoins, de carte prépayée ou de carte Paysafe. »

Numérisation 20160916 2

Source TrendMicro 2016

 

Coté paiement précisément, le rapport précise que bitcoin et cartes prépayées ont la faveur des cybercriminels ; L'utilisation de bitcoins offre un certain niveau d'anonymat aux utilisateurs. Cette monnaie virtuelle s'échange et se transfère simplement, sans exiger d'identification puisque cette monnaie n'est pas réglementée. Les cartes prépayées, disponibles un peu partout en France ou en ligne, sont populaires auprès des acheteurs. Certains marchands n'exigent d'ailleurs aucune identification des acheteurs qui se procurent ou rechargent leur carte prépayée. Seul un numéro de téléphone mobile valide est requis, ce qui reste assez simple à obtenir. Ces cartes se sont donc imposées comme idéales pour les achats illégaux. Les cartes prépayées sont devenues si populaires que certains cybercriminels vendent de telles cartes avec de fausses cartes d'identité et informations personnelles (adresse personnelle, email et une carte SIM qui est utilisée pour enregistrer la carte prépayée). Les acheteurs se contentent ainsi d'utiliser des fausses cartes prépayées pour percevoir le paiement des produits/services illicites commercialisés.

 

TrendMicro, acteur stratégique netre le Japon et la France ? 

L’équipe de Trend Micro France a également rappelé d’autres thèmes dédiés aux Assises 2016 : le rapport de sécurité premier semestre 2016 (a consulter dans Cyberisques News partie réservée aux abonnés) des évolutions produits sur les services de partage Cloud (Cloud App Security) et les conséquenecs des récentes acquisitions TippingPoint notamment et les nouveaux produits spécifiques à la protection des architectures Scada. Jean-Marc Thoumelin, patron historique de l’éditeur japonais a tenu a rappeler la culture de partenariat propre à Trend Micro et la solidité de son organisation interne «indépendante » de toutes formes de pressions actionnaires compris.

Loïc Guézo, veilleur officiel et évangéliste chez Trend Micro en Europe, expert en sécurité nucléaire, ancien du « chiffre » a précisé qu’entre les échanges propres aux pays de l union Européenne en matière de cybercriminalité, existe au-delà du deuxième axe US-Europe un troisième axe Japon-France essentiellement : «  Il s’agit là d’une alternative a l’axe US-Europe. L’axe Franco japonais se consolide via les échanges entretenus par les structures françaises telles que le CEA et l’INRIA sans omettre l’ANSSI. Depuis mars 2015 une initiative de l’INRIA contribue a renforcer un échange avec le NICT japonais et l’université de Kei au Japon » révèle t-il. Ces travaux initiés par l’Ambassade de France et débutés en avril 2015 touchent des domaines aussi variés que la cryptographie, les univers des calculateurs quantiques… En février 2016 une réunion a Paris a été annulée suite aux attentats terroristes. Durant la semaine du 19 au 23 septembre une prochaine réunion se tiendra entre Japonais et Français a Rennes.

@jpbichard

 

(Une version complete de l'article est réservéé aux Abonnés de Cyberisques NEWS) 

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires