Close
  • Français
  • English

08/09/2015Piratage informatique et acquisition de compétences : focus sur la communauté arabophone [par Adrien Petit, CEIS]

Introduction

 

L’objectif d’une démarche de type Threat Intelligence est d’obtenir des renseignements (informations contextualisées) concernant les menaces susceptibles d’impacter un organisme et de les utiliser afin de se prémunir d’une attaque. Ces menaces sont identifiées comme des entités individuelles ou collectives qui ont l’intention et les capacités de nuire.

Étudier uniquement les différents éléments composant une attaque informatique ne permet pas de couvrir l’ensemble de la chaine opératoire d’un attaquant. Il est impératif d’oberver également les événements situés en amont et en aval de l’opération afin d’obtenir une vision complète des menaces potentielles et avérées. Cette démarche de type Cyber Threat Intelligence permet notamment d’observer l’acquisition de capacités des pirates et se matérialise par le schéma suivant :

art1

 

Les différents éléments d’analyse présentés dans la suite de cet article sont basés sur l’étude d’attaquants arabophones motivés par la recherche du profit (cybercriminalité). Le phénomène d’hacktivisme (idéologie), qui s’exprime traditionnellement par des defacements dont l’apprentissage technique se fait essentiellement à travers des tutoriaux présents sur YouTube, n’est pas abordé. Il en va de même pour le cyber-espionnage dont la nature ne permet qu’une marge de manœuvre très limitée en termes d’anticipation.

 

Des plateformes d’apprentissage dédiées à la communauté arabophone

Le forum est un type de plateforme privilégié par toute personne qui désire enrichir ses connaissances. Les communautés arabophones de piratage informatique n’échappent pas à ce phénomène et disposent de leurs propres espaces en langue arabe.

Le plus utilisé d’entre eux, Dev-point, regroupe environ 165 000 membres qui échangent massivement autour de deux thèmes : le contournement des anti-virus et la sécurité des systèmes d’information. Le premier thème est primordial pour les pirates informatiques qui créent et/ou utilisent des malware. Ils optent le plus souvent pour une méthode consistant à chiffrer leur fichier malveillant dans le but de le rendre indétectable par le plus grand nombre d’antivirus possible. En complément, le forum dispose d’une importante section « concours » qui propose des défis de cryptographie, de programmation ou encore de cassage de chiffrement. L’accès aux différentes sections du forum est conditionné au préalable par une inscription. Cependant, l’enregistrement est à présent impossible et a été bloqué par les administrateurs.

art2

Le forum Aljyyosh (qui se traduit par « forum des armées de hackers ») compte environ 150 000 membres et est spécialisé dans l’art de l’intrusion de sites web. Il s’articule autour de différentes sections comme : failles/ vulnérabilités, techniques de hacking, outils de hacking ou encore piratage d’un réseau/ des équipements/ des adresses email. L’inscription n’est pas obligatoire pour accéder aux différentes sections mais requise pour les membres souhaitant interagir entre eux.

Il existe de nombreux forums arabophones dédiés à la thématique du piratage informatique ; Dev-point et Aljyyosh sortent du lot de par les thèmes abordés et le trafic généré. Il est intéressant aussi de mentionner le forum VBspiders dont les contenus sont similaires et le nombre de membres important (environ 160 000).

Un autre point commun partagé par ces 3 principaux forums est que les administrateurs interdisent formellement les activités commerciales sur leurs plateformes telles que le carding ou la vente d’éléments techniques.

Les forums arabophones sont donc portés sur l’apprentissage à travers des formations de piratage et la présentation d’outils offensifs. L’acquisition d’exploit ou malware se fait via des plateformes généralistes et souvent multilingues.

 

Des sources communes aux différentes communautés

Le site Exploit-db, massivement utilisé par la communauté arabophone, représente une excellente source d’informations pour toute personne intéressée par la sécurité dite offensive.

Ce site est une base de données qui archive les exploits correspondant aux vulnérabilités de logiciels. Elle a été développée afin de servir aux personnes effectuant des tests d’intrusion et les chercheurs de vulnérabilités. L’objectif est de créer la plus grande collection d’exploits récoltés à partir de soumissions volontaires, de listes de diffusion ou d’autres sources publiques. Cette base de données est en accès libre et se revendique être un référentiel d’exploits et proof-of-concept plutôt qu’une source de conseils. À ce jour, environ 35 000 exploit sont recensés au sein cette base de données.

Le site Inj3ct0r est très largement fréquenté par les pirates informatiques lorsqu’il souhaite acheter des exploits (private – remote – local – web applications – dos/ poc – shellcode) ou bien partager de nouvelles vulnérabilités.

art3

La plupart des pirates arabophones ont recours à des malware qui sont librement distribués sur les sources ouvertes et multilingues ou accessibles après une série de requêtes au sein d’un moteur de recherche. Quelques-uns développent leurs propres malwares et les vendent la plupart du temps de manière locale à des personnes de confiance. Ces logiciels malveillants ne représentent cependant pas une menace importante car ils sont souvent mal programmés et facilement détectés par les éditeurs d’antivirus.

Les black markets présents sur le Dark Web sont également des sources conséquentes  d’acquisition de compétences pour l’ensemble de la communauté de pirates informatiques. Les trois plus grandes plateformes (Agora, AlphaBay et Nucleus) proposent quotidiennement 65 000 annonces dont la majorité concerne les produits liés au banditisme classique : environ 60% concernent le trafic de drogues. Les échanges effectués sur ces black markets témoignent aussi de la montée rapide en compétences des pirates informatiques : les produits digitaux (logiciels, malwares) et leurs guides d’utilisation associés permettent au premier venu d’acquérir un certain niveau de connaissances et de revendre le fruit de ses activités illégales (données volées) sur ces mêmes black markets. Ce phénomène représente environ 30% de l’activité des trois principales plateformes.

art4

Ainsi, la partie théorique ou acquisition de compétences en piratage informatique de la communauté arabophone s’opère via différents supports. Les forums en langue arabe constituent un cadre d’apprentissage privilégié en raison des nombreux échanges entre les différents membres inscrits. La partie pratique ou armement (acquisition d’exploit et malware) a lieu sur un panel de sites très diversifiés et accessibles par l’ensemble des communautés orientées vers le piratage informatique.