Opinion

Cybercriminalité " comme un service "

Cybersécurité

La tendance actuelle nous montre que le nombre de cyber-attaques qui ont lieu dans le monde entier augmente de manière exponentielle et alarmante. L'industrialisation de certains groupes criminels les rapproche chaque jour davantage d'un modèle d'entreprise, en mettant en œuvre certaines techniques qui leur permettent d'avoir une plus grande portée et un plus grand pouvoir destructeur. Il s'agit probablement davantage du concept d'industrie lucrative, c'est-à-dire d'un modèle "commercial" qui connaît un succès considérable.

Actuellement, selon une étude de Cybersecurity Ventures, le nombre total de cyberattaques dans le monde en 2021 coûtera environ 6 000 milliards de dollars. Ce chiffre, s'il était considéré comme un secteur industriel, se situerait au 27e rang des plus grandes économies du monde, selon un rapport d'Allianz Global.

L'un de ces exemples est ce que l'on appelle la "cybercriminalité en tant que service", c'est-à-dire la pratique consistant à faciliter les activités illégales par le biais de services. Dans le secteur informatique, il existe des entreprises qui fournissent différents services à leurs clients, tels que PaaS (Platform as a service) ou SaaS (Software as a service), afin d'offrir un produit qui répond aux besoins du client. Aujourd'hui, les cybercriminels ont décidé de mettre tout leur savoir-faire technique et leurs développements exclusifs de différents types de logiciels malveillants ou d'exploits à la disposition d'un certain public qui souhaite "rejoindre l'industrie". 

Dans ce phénomène, tout utilisateur, sans connaissances techniques avancées, pourrait avoir accès à des "paquets" préconfigurés qui lui permettraient de diffuser des logiciels malveillants dans différentes entreprises ou d'exploiter une vulnérabilité particulière. Ces forfaits sont généralement vendus sur des plateformes privées, situées sur le dark web ou sur des plateformes telles que Telegram (une plateforme de plus en plus utilisée par les cybercriminels) pour des prix qui peuvent être considérés comme abordables. Pour environ 50 $, vous pouvez obtenir l'un de ces forfaits de base.

Pour les cybercriminels clandestins, le CaaS offre une nouvelle dimension de la cybercriminalité, car il est plus organisé, automatisé et accessible aux criminels ayant des connaissances techniques limitées.

Au sein de ce service, il est possible de trouver toutes sortes de modèles, allant de ce que l'on appelle le "crime-ware as a service", qui consiste à identifier les vulnérabilités et à développer l'attaque sur celles-ci, à "l'investigation as a service", où l'on peut vous fournir certaines informations d'identification ou des informations personnelles sur quelqu'un en particulier et au "hacking as a service", où une attaque complète est externalisée. Ce ne sont là que quelques exemples des services qu'un groupe cybercriminel peut offrir, mais il en existe beaucoup d'autres et ils se diversifient à mesure que leurs capacités techniques se développent. De plus, non seulement ils distribuent des paquets préconfigurés et prêts à l'emploi, mais il y a toute une campagne de marketing derrière eux, offrant même à ceux qui les achètent un service clientèle 24&7, où il est possible d'obtenir du soutien, des informations et de l'aide. 

L'un des services proposés qui suscite actuellement le plus d'inquiétude dans le secteur est ce que l'on appelle le RaaS, c'est-à-dire "ransomware as a service", où les utilisateurs peuvent acheter un modèle de ransomware qu'ils pourront distribuer à toute entreprise à l'avenir. Cela signifie que les attaques par ransomware ne proviennent plus exclusivement des cybercriminels, mais que n'importe quel utilisateur peut accéder à ces techniques et être à l'origine de leur diffusion. Cela pourrait être une explication possible à la forte augmentation de ce type d'attaque, qui se développe depuis quelques années, devenant un véritable casse-tête pour les professionnels de la cybersécurité et pour les entreprises qui, malheureusement, sont affectées.

Ces organisations ne sont pas de petits groupes agissant de manière malveillante, mais un réseau très complexe et étendu, géographiquement situé dans le monde entier, qui a la capacité de maintenir l'anonymat en se cachant dans les couloirs souterrains qu'offre l'internet. Ainsi, ils se trouveraient en dehors des moteurs de recherche conventionnels que la plupart des utilisateurs utilisent, invisibles pour les utilisateurs ordinaires, mais suffisamment visibles pour que toute personne intéressée puisse les trouver assez facilement, une fois qu'elle a acquis des connaissances techniques suffisantes. 

La principale motivation de ce phénomène d'"industrialisation" se trouve dans le gain financier. Si quelque chose a changé dans le mouvement, c'est l'intérêt croissant pour le profit. Initialement, au cours des décennies précédentes, le mouvement cybercriminel avait d'autres motivations telles que l'hacktivisme, la reconnaissance ou encore l'investigation (et pourquoi pas, aussi le plaisir) des personnes à l'origine de ces activités illicites. Cependant, lorsque le phénomène des ransomwares a commencé à générer des profits très élevés, les motivations ont commencé à changer. 

Les connaissances actuelles sur ces organisations sont limitées et proviennent des quelques organisations qui ont été découvertes par les services répressifs, comme ce fut le cas pour le gang à l'origine du ransomware "Cl0p", arrêté en juin de cette année. Il reste donc encore beaucoup de chemin à parcourir pour comprendre pleinement le phénomène. 

Ainoa Guillén González, coordinatrice du domaine de la cybersécurité de Sec2Crime