Le piratage est devenu tellement courant qu’il s’organise parfois en véritable entreprise avec prime et congés à la clé. Focus sur trois exemples de sociétés dans le milieu du cybercrime.

Métro, vol d’info, dodo. Les entreprises du cybercrime fonctionnent le plus souvent comme n’importe quelle autre PME dans le secteur tertiaire en 2023, nous révèle un rapport de la société de cybersécurité TrendMicro dans un rapport publié ce 3 avril 2023. Les experts se sont appuyés sur les données récoltées sur les forums fréquentés par les communautés, les méthodes de piratage durant ces dernières années et les arrestations de divers pirates. On distingue alors trois catégories de « sociétés » selon le nombre d’employés, les niveaux de cadres et les revenus annuels :

  • Les petites ; de un à cinq employés, avec un chef et un revenu annuel inférieur à 500 000 dollars,
  • Les moyennes ; de six à quarante-neuf employés, deux niveaux de direction et un revenu annuel qui monte jusqu’à 50 millions de dollars,
  • Les grandes ; plus de cinquante employés, trois niveaux de direction et plus de 50 millions de dollars de revenus annuels.

Un travail le soir

Pour la « petite entreprise », l’équivalent d’une TPE, Trend Mico a pris l’exemple de Ruslan Bondars, un cybercriminel letton à la tête d’une société de service pour les hackers, jusqu’en 2017, date à laquelle il se fait arrêter. Le jeune trentenaire tenait un site de scan des malwares nommé Scan4You, indiquant aux pirates si leur logiciel allait être repéré par des outils de cybersécurité. Ruslan était également développeur dans une entreprise au quotidien et gagnait plus de 2 500 euros par mois, si l’on s’appuie sur les normes de salaires pour son poste. Il avait un compte LinkedIn et se prenait en photo avec ses collègues lors de voyages d’entreprise à New York. Le soir, il entretenait sa plateforme d’aide aux pirates.

Sa société parallèle rapportait 15 000 dollars par mois en chiffre d’affaires. Parmi les frais, il faut considérer le salaire de son associé qui se chargeait de répondre aux mails des 30 000 adhérents, des hébergements sur des serveurs, des stockages, du développement des outils, etc.

Un petit patron surchargé

Pour la « moyenne entreprise », l’employé travaille à plein temps dans son job. Cette fois, Trend Micro s’arrête sur le cas de Maxided, une plateforme de service de cybercriminalité fermée en 2018.

Le site était dirigé par au moins cinq administrateurs et prélevait une commission fixe de 20 % sur chaque utilisation des serveurs pour lancer une attaque – à travers un botnet par exemple – ou une campagne de phishing. Le collectif gérait aussi une plateforme de partage de fichiers appelée DepFile, qui hébergeait majoritairement des images d’abus sexuels. En cinq ans, MaxiDed a réalisé un chiffre d’affaires de 13 millions dollars avec un bénéfice estimé à 4 millions de dollars.

Être administrateur n’est pas de tout repos, puisque la demande mondiale exige d’être disponible également la nuit. La plupart du temps, le travail consiste à traiter la file d’attente, des demandes d’assistance des clients et les commandes de serveurs. Deux Moldaves, à la tête de la société, ont été arrêtés en Thaïlande et Bulgarie en 2018.

Un problème avec un service client suite à un dysfonctionnement du serveur utilisé pour des attaque DDoS. // Source : Trend Micro
Une discussion avec un client suite à un dysfonctionnement du serveur utilisé pour des attaques DDoS. // Source : Trend Micro

Des employés et des primes

Enfin, la « grande entreprise » engrange des revenus élevés et fonctionne de manière plus structurée. TrendMicro s’est servi des fuites de Conti, un collectif de pirates désintégré après l’invasion de l’Ukraine par la Russie. Un des membres a fait fuiter des dossiers essentiels après le soutien des leaders à la guerre menée par Moscou. Ces fichiers et les échanges ont permis de comprendre dans les moindres détails l’organisation d’un tel groupe. Avec un chiffre d’affaires de 180 millions de dollars, Conti entretenait les salaires pour plus d’une cinquantaine d’employés.

C’est aussi dans ce cadre que l’on se rapproche le plus du fonctionnement d’une entreprise ordinaire dans le secteur de la tech. Le collectif travaille d’abord sur le logiciel malveillant, ce dernier est loué à des « affiliés » qui s’occupent d’attaquer. L’équipe de Conti comprend donc un large éventail de développeurs, des analystes des vulnérabilités, des chercheurs d’infos et des négociateurs qui débarquent pour parler de la rançon après une attaque réussie.

Dans les échanges mis en ligne, on apprend que Conti a établi un système d’employé du mois, les salariés ont droit à des vacances, un planning et même des rendez-vous annuels pour parler de leur performance.

Un SMS aux employés leur signalant que l'employé du mois aura une prime de +50% de son salaire // Source : Trend Micro
Un SMS aux employés leur signalant que l’employé du mois aura une prime de +50% de son salaire. // Source : Trend Micro

Comprendre pour mieux enquêter

Quel intérêt à connaitre dans le détail le fonctionnement d’une entreprise du crime ? D’abord, car comme toutes les sociétés, les patrons accumulent les fichiers. C’est en cherchant ces infos comptables que l’on peut récupérer le plus d’indices possible sur une équipe et son fonctionnement.

Les grandes entités criminelles peuvent stocker des registres de leurs effectifs, des statuts financiers, des tutoriels de fonctionnement de l’entreprise, des documents propres à des fusions et des acquisitions, des détails sur les portefeuilles de crypto-monnaie des employés, des calendriers partagés, etc. Autant de données qui peuvent être explorées dans le cadre d’investigations policières. Ensuite, comprendre qui est à la tête d’une organisation permet de mieux cibler les recherches. Enfin, si l’enquêteur parvient à entrer en contact avec le pirate, il pourra mieux préparer le plan d’arrestation en connaissant la structure derrière le hacker. La fin de carrière tant redoutée.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !