Des chercheurs créent un algorithme pour analyser les réseaux cybercriminels

La montée en puissance des réseaux cybercriminels est une réalité à géométrie variable : certains sont importants, à l’image de mafias. D’autres ont une taille plus réduite, à l’image de gangs. Des chercheurs ont ainsi mis au point un algorithme permettant de mesurer l’influence de certains acteurs au sein des réseaux cybercriminels.

Après que le trafic de produits illicites a gagné le Web, l’identification et l’analyse des réseaux cybercriminels sont devenus deux composantes primordiales de la recherche d’information stratégique. Chaque jour, des transactions illégales, allant de produits volés/contrefaits à l’échange, moyennant finances de données sensibles, apparaissent sur le Web.

On peut identifier plusieurs types de canaux sur lesquels se repose le crime organisé en ligne :

  • Les plateformes de vente, qu’elles soient sur le Web, Deep Web ou Dark Web (une notion assez fluctuante),
  • Les réseaux sociaux/forums de clients, qui servent davantage de portes d’entrées vers les plateformes de vente,
  • Les forums de cybercriminels, qui constituent l’endroit où les cybercriminels échangent des informations, demandent de l’assistance à leurs homologues ou agissent en groupes organisés…

C’est sur ce troisième type de plateforme que des chercheurs de l’université de Drexel en Pennsylvanie se sont concentrés. Les forums réservés aux cybercriminels, loin d’avoir été ringardisés par l’avènement du Web social, ont atteint à l’heure actuelle un degré inquiétant de sophistication et sont devenus les véritables marchés noirs du Web. En se focalisant notamment sur les données issues de forums de cybercriminels publiées par un hacker anonyme (parmi lesquels Carders.cc et L33T), les universitaires ont choisi de construire une typologie afin de déterminer comment fonctionnent les réseaux cybcercriminels et parallèlement de savoir s’il était possible d’identifier les « influenceurs » de ses réseaux.

Mesurer le « Klout » des cybercriminels

Le premier objectif que se sont fixés les chercheurs était de dissocier les décideurs des suiveurs, les donneurs d’ordre des petites mains. Pour ce faire, l’équipe de doctorants du Privacy, Security and Automation Lab (PSAL) de l’université de Drexel, en association avec une universitaire de Californie, ont cherché à mesurer « l’influence » de certains individus liés au cybercrime. L’objectif de la démarche était de tirer des conclusions sur le mode de fonctionnement des organisations cybercriminelles sur le Web.

« Nous avons essayé de répondre à la question suivante : que signifie le crime organisé dans le cyberespace ?” » explique Vaibhav Gard, membre de l’équipe à l’origine de l’étude.

Pour ce faire, ils ont mis au point un algorithme qui s’inspire de ceux de Google, Facebook et de Klout. Si le caractère plutôt approximatif de Klout dans la mesure de l’influence est connu, c’est l’association de tous ces algorithmes, associé à une logique de centralité, qui ont permis aux universitaires de tirer des conclusions intéressantes. La logique de connectivité entre plusieurs individus est cruciale pour les réseaux cybercriminels au sein desquels les échanges sont marqués par le poids du secret et d’une confiance mutuelle de gré-à-gré.

Dès lors, une personne qui détient un grand nombre de relations bilatérales a été considérée comme déterminante au sein d’un réseau, d’autant plus que la confiance est une denrée rare dans ces espaces.

Analyse du Cartel de Cali via Analyst's Notebook

Analyse du Cartel de Cali via Analyst’s Notebook / Crédit : Drexel University

« Le plus grand défi d’une organisation cybercriminelle est l’absence de confiance entre semblables » confirme la chercheur Rebekah Overdof. « Cela limite grandement la taille du groupe et l’efficacité des transactions ». Un avis partagé par nos équipes : les forums de cybercriminels mettent souvent en place un système d’évolution des adhérents. Un nouvel arrivant n’est pas forcément libre de pouvoir tout réaliser : il lui faut d’abord prouver sa valeur et que la confiance soit bien établie, ce qui lui permet de grimper dans la hiérarchie.

En partant de ce postulat et des échanges privés obtenus grâce au piratage d’un hacker blanc, il apparait donc que les individus avec le plus de droits sont les plus « connectés ». Ces derniers jouent un rôle crucial dans les réseaux cybercriminels. Pour autant, l’étude des « influenceurs du cybercrime » a aussi révélé des informations intéressantes sur les modèles d’organisation des réseaux cybercriminels.

 

Deux communautés distinctes parmi les réseaux cybercriminels

En se fondant sur le contenu des forums, les échanges privés et les méta-données des sujets, les chercheurs de Drexel’s Privacy ont ainsi pu déterminer que deux types de fonctionnement prévalaient parmi les réseaux cybercriminels : un fonctionnement de « Gang » et un fonctionnement de « Cartel/Mafia ».

Les Gangs sont des groupes peu structurés, se regroupant autour d’un chef unique et tirant parti des opportunités financières sans logique raisonnée de développement. « Les Gangs semblent s’en prendre à tout ce qui leur tombe sous la main » confirme l’un des chercheurs. « D’un jour à l’autre, cela peut aller de la carte de crédit volée aux réseaux de bots ». Les universitaires ont ainsi découvert un fonctionnement centré sur un individu fort qui prend la plupart des décisions. Cette organisation ne permet en revanche pas de créer un modèle permettant de brasser des sommes astronomiques. Plus artisanale, elle est aussi plus facile à détecter et à contrecarrer.

Réseaux cybercriminels type Gang

Les groupes cybercriminels fonctionnant comme des « Gangs » se reposent sur une figure centrale. Chaque couleur représente des groupes différents, s’articulant autour d’un individu fort (le nœud central).Crédit : Drexel University

A l’inverse, les « Cartels » obéissent à des schémas beaucoup plus réglementés et méthodologiques. Les conclusions des chercheurs ont mis en avant différents types de spécialisation (vol de cartes de crédit, vente de drogues en ligne) et des sujets dédiés sur les forums qu’ils ont analysés. Au-delà de la vente, il apparaît que les Cartels opérant sur les réseaux cybercriminels sont également intéressés par la capacité d’optimisation et de rentabilisation toujours plus importantes de la filière, à l’image de ce qui se fait dans les cartels les plus classiques.

Réseaux cybercriminels type Mafia/Cartel

Contrairement au Gang, le Cartel cybercriminel est beaucoup plus dense et interconnecté. Il repose également sur des cadres supérieurs de l’organisation (plusieurs nœuds de taille moyenne).Crédit : Drexel University

Il n’y a pas de figure centrale de leaders, mais plutôt un éclatement de plusieurs cadres supérieurs à travers plusieurs communautés interconnectées, ce qui permet une expansion du réseau. Moins dépendant vis-à-vis d’une figure centrale, ce réseau est donc plus difficile à abattre.

En outre, dans ce modèle, un système basé sur un couple confiance/punition prévaut – ce qui permet d’éviter l’échec en cas de trahison. Mais, les chercheurs soulignent que les mesures de coercition ne sont pas aussi fatales que dans un cartel dit classique. La raison tient principalement à la capacité de se dissimuler plus facilement derrière un alias différent et de ne pas pouvoir atteindre à l’intégrité physique de la personne aussi facilement.

 

Les enseignements de cette recherche pour les forces de l’ordre et les entreprises

Depuis plusieurs années, forces de l’ordre et entreprises travaillent main dans la main dans le but d’enrayer certains trafics qui passent sur le Web. Ces trafics ont des conséquences néfastes sur la santé publique ainsi que les recettes des entreprises et des Etats.

En ce sens, l’étude est intéressante pour ces acteurs respectifs, ainsi que pour les enquêteurs du Web adeptes de l’OSINT et de l’analyse des réseaux sociaux. Utiliser un algorithme qui permet rapidement d’identifier les leaders peut ainsi faire gagner des mois précieux de travail à l’analyste : en ce sens, on peut déjà parler d’agent-facilitateur.

Néanmoins, les enseignements de cette étude semblent limités dans leur application et ce pour plusieurs raisons :

  • L’algorithme n’a pas été dévoilé et n’est pas public. Si l’on peut comprendre cette précaution (pour éviter aux cybercriminels de s’adapter), les enquêteurs ne peuvent pas ainsi bénéficier de ces trouvailles. Vu qu’il s’agit d’université américaine, doit-on en conclure que l’information ne sera partagée qu’avec les entreprises et les forces de l’ordre outre-Atlantique ?
  • Les données ont été acquises à la suite d’un piratage informatique. Autre point bloquant de l’étude, les données ont été acquises à la suite d’un piratage informatique. Si le hacker à l’origine de ce piratage avait pour intention de révéler au monde la place et l’ampleur des réseaux cybercriminels, la rareté et le caractère légalement contestable de ce type de données brutes (qui couvraient rappelons-le, des correspondances privées) font qu’il est impossible pour une entreprise souhaitant monitorer le trafic de contrefaçons par exemple de réitérer l’expérience.
  • Les donneurs d’ordre ne sont pas forcément visibles. Les leaders identifiés sur les forums peuvent difficilement être qualifié de donneurs d’ordre ou de véritables chefs de réseaux – à part dans le cas des « Gangs ». Il est donc difficile à partir de la simple analyse des réseaux sociaux de mettre un terme définitif à un groupe.
  • Les chercheurs ont mis en avant la nécessité de suivre l’argent : la réalité est plus complexe. Selon les universitaires, l’analyse des réseaux sociaux doit être complétée par une analyse financière (le fameux « Follow the money ») afin d’être efficace. Or, à l’heure actuelle, le retour d’expérience des investigations a souvent démontré que cette approche était tout aussi difficile : de holding en holding, de sociétés-écran en sociétés-écran, le cybercrime a su renforcer ses protections dans le monde réel en se cachant dans des pays à la juridiction favorable – de sorte que la tâche s’est complexifiée au fil des ans.

Pour autant, l’analyse des réseaux sociaux demeure une corde de plus à l’arc juridico-technique de la lutte contre les trafics sur le Web. Les récentes avancées dans le domaine démontrent de la réactivité des professionnels du domaine et de leur volonté de développer leurs compétences et d’identifier les « cadres sup’ » des réseaux criminels.

 

Une question? Une remarque? Contactez-nous !

Votre nom (obligatoire)

Votre email (obligatoire)

Votre message

captcha

Tags :

Nous suivre :
  • S’abonner à notre flux RSS
  • Partagez ce post sur

    Des chercheurs créent un algorithme pour analyser les réseaux cybercriminels

    3