Avec les gangs de hackers qui roulent en Porsche

Dans une petite ville roumaine surnommée "Hackerville", la cybercriminalité est souvent le seul moyen de se faire de l'argent.

|
28 Septembre 2016, 5:00am

Image: Steven Depolo/Flickr

Au pied des Carpates, en Roumanie, se trouve la petite ville de Râmnicu Vâlcea. Elle a été rebaptisée Hackerville ou Cybercrime Central par les experts en sécurité informatique, mais elle pourrait très bien s'appeler BMW City. À chaque croisement, quand le feu passe au vert, de puissantes voitures allemandes s'ébrouent, leurs moteurs hurlants faisant crisser les pneus sur l'asphalte.

Autrefois ville industrielle florissante, Râmnicu Vâlcea n'a aujourd'hui plus beaucoup de jobs à offrir à ses habitants. « Il n'y a qu'un seul centre commercial, que les gens appellent "Le Musée". Ceux qui ne sont pas cybercriminels n'y vont que pour regarder les boutiques. Ils n'ont pas les moyens de s'acheter quoi que ce soit, m'a expliqué Mihai Vasilescu, un blogueur né à Râmnicu Vâlcea. Il y a un dicton ici qui dit : sans les hackers, la ville serait totalement morte depuis longtemps. »

« Les mecs de Hackerville se sont bâti une réputation en faisant tout pour faire parler d'eux », m'a expliqué Stefan Tanase, un chercheur en cybersécurité roumain qui travaille pour Kaspersky Lab.

Ces types n'ont aucun talent extraordinaire. Ce sont simplement des petits malfrats qui envoient des briques en lieu et place d'iPhones à des clients eBay un peu naïfs, ou qui se font de l'argent en piratant des distributeurs de billets grâce à des outils développés par les Russes.

Plus d'un milliard de dollars ont été dérobés par des hackers roumains en 2014, affirme Tanase, qui cite la série Mr. Robot : « c'est le genre de somme qui fait réfléchir et voir les choses différemment. »

À l'échelle globale, la cybercriminalité est une activité rentable. En dépensant à peine 5900 dollars en logiciels et en équipements divers, les hackers se font en moyenne 84.100 dollars par an, net d'impôts. Le phénomène se joue des frontières, défie ouvertement la loi, et semble inarrêtable. La somme totale générée par ces activités pourrait attendre plus de 2000 milliards de dollars d'ici à 2019, soit le PIB actuel de l'Italie.

*

Stefan Tanase suit les gangs de hackers d'Europe de l'Est, obsédés par le luxe, depuis maintenant dix ans.

« L'un des cas les plus récents et les plus typiques, pour comprendre le mode de vie de ces cybercriminels, c'est Roman Seleznev », dit-il. Le hacker russe, qui se faisait parfois appeler « 2pac », posait souvent avec des chaînes en or, une Dodge Challenger SRT ou des liasses de billets, comme un mauvais rappeur. Il s'est fait arrêter par les autorités américaines en juillet 2014, aux Maldives, alors qu'il profitait de ses vacances dans un palace à 1470$ la nuit. Lors de son arrestation, son ordinateur portable contenait plus de 1,7 millions de numéros de cartes de crédit piratés. Les enquêteurs ont estimé qu'il s'était fait des millions de dollars en vendant ces cartes de crédit au marché noir. Seleznev, qui a été condamné en août et connaîtra sa sentence définitive en décembre, est le fils d'un parlementaire russe.

Roman Seleznev et sa Dodge Challenger SRT jaune. Image: Dept. of Justice

Tanase m'a également parlé d'une autre histoire de fou, celle d'un gang russe baptisé Koobface, sur lequel il a enquêté il y a quelques années.

« Ils aimaient se réveiller le matin au son de leur propre fric. Tous les matins, chaque membre du groupe recevait un SMS qui lui disait combien d'argent il avait gagné au cours des 24h précédentes », raconte-t-il.

Les messages arrivaient à 9h ou 10h chaque matin, sauf pour le boss, qui n'aimait pas se lever tôt et voulait recevoir son propre message à midi.

Un membre du gang Koobface. Image: Kaspersky Lab

Le gang était particulièrement actif en 2010, et se faisait facilement 10.000$ par jour à l'époque. Ses membres passaient leur temps à se faire des vacances de luxe à Monaco ou à Bali.

« On avait une photo de l'un de ces gars sur notre mur, sur laquelle il portait un masque de plongée », racontait en 2012 au New York Times Ryan McGeehan, qui a enquêté sur cette affaire pour Facebook.

Koobface avait diffusé un virus sur Facebook et proposait de faux antivirus aux quelques 400.000 ordinateurs qui faisaient partie de leur botnet. Ils se comportaient même comme une véritable entreprise, louant par exemple des bureaux à Saint-Pétersbourg.

Un membre de Koobface avec sa pile de cash. Image: Kaspersky Lab.

Les rois de la cybercriminalité aiment se faire plaisir, mais ils utilisent aussi cette débauche de luxe et d'ostentation pour motiver de potentiels futurs partenaires et attirer les hackers les plus brillants. À l'échelle mondiale, plus de 80% des hackers mal intentionnés font partie d'un groupe relevant de la criminalité organisée.

Un boss de la cybercriminalité est-européenne avait promis en 2014 une Ferrari au hacker qui trouverait un nouveau moyen de se faire de l'argent grâce à une arnaque. L'offre avait été diffusée via une vidéo dans laquelle on voyait effectivement une Ferrari, mais aussi une Porsche et quelques jolies filles dénudées. Apparemment, le caïd avait reçu beaucoup, beaucoup d'e-mails, si l'on en croit ce que raconte Marc Goodman dans son livre Future Crimes.

Le gang monténégrin KlikVIP, spécialisé dans le scareware, a eu recours aux mêmes méthodes. En 2008, ils promettaient « une grosse mallette pleine de billets à quiconque infecterait le plus de machines », selon Goodman.

Une annonce de recrutement postée par un autre groupe de hackers promettait elle aussi des sommes d'argent susceptibles de « régler tous vos problèmes. »

*

Les truands connaissent les règles du business, et font tout pour satisfaire leurs clients. Les gangs qui pratiquent le ransomware, par exemple, font des ristournes à leurs clients et assurent un service après-vente de qualité, en leur expliquant notamment comment utiliser les Bitcoin. Les criminels qui réussissent le mieux affirment même que l'honnêteté est un aspect essentiel de leur activité, selon un rapport réalisé par FSecure.

Certains hackers ne sont là que pour l'argent, et une fois qu'ils ont mis le doigt dans l'engrenage, il est difficile d'en sortir. Leurs activités sont bien mieux rémunérées que celles des employés des entreprises du secteur, qui doivent en plus payer des impôts et respecter scrupuleusement la loi.

La plupart de ces hackers « black hat » viennent de pays « où le système éducatif est très bon, surtout en ce qui concerne les maths et l'informatique, mais où l'économie locale n'offre pas beaucoup d'opportunités aux jeunes diplômés », explique Stefan Tanase.

Si certains hackers rêvent de Porsche et de Rolex, pour d'autres la cybercriminalité est tout simplement le seul moyen de gagner correctement sa vie, estime Sean Sullivan, conseiller en sécurité chez FSecure à Helsinki.

L'expert pense que la cybercriminalité va de pair avec la corruption. « Dans certains pays, il est presque impossible de monter une affaire légitime et honnête sans devoir verser des pots-de-vin », dit-il. Et en Europe de l'Est, les gens respectent ceux qui affichent leur richesse, et ne demandent jamais d'où vient l'argent. Le maire d'Hackerville, par exemple, a été réélu cette année malgré un séjour en prison pour corruption.

« Je suis déjà tombé sur des forums où des gens évoquaient la nécessité de faire du hacking illégal pendant quelque temps pour se faire suffisamment d'argent pour passer ensuite du bon côté de la loi et travailler pour des entreprises honnêtes », raconte Sullivan.

Mais pour ceux qui ont eu des activités criminelles, il n'est pas toujours facile de trouver du travail au sein d'une boîte de cybersécurité. Kaspersky Lab et FSecure mènent des enquêtes sur les experts qu'elles sont susceptibles d'embaucher. Et un ex-cybercriminel n'a aucune chance d'y décrocher un job.

Qu'il s'agisse de voyous de bas étage, de professionnels extrêmement doués ou de génies du business, le cercle des cybercriminels les plus riches ne cesse d'évoluer et de compter de nouveaux membres. Le luxe, pour eux, est comme une deuxième langue. Jusqu'à ce qu'ils se fassent attraper, évidemment.