Cybercriminalité : les chasseurs de zombies de Sherbrooke


Le FBI annonçait en mai 2024 le démantèlement du plus gros réseau mondial d’« ordinateurs zombies », ainsi nommés parce qu’ils sont utilisés à l’insu de leur propriétaire, afin de servir de relais pour des opérations de fraude, d’extorsion, de chantage, de rançonnement, de sabotage et autres activités de « cyberbrigandage ». Ce réseau, appelé 911 S5, comptait 19 millions d’ordinateurs zombies dans 190 pays. La police a arrêté le principal responsable à Singapour et a saisi quatre voitures de luxe, 24 portefeuilles de cryptomonnaie et 21 propriétés immobilières à Singapour, en Thaïlande, aux Émirats arabes unis, à Saint-Kitts-et-Nevis (dans les Antilles) et aux États-Unis. L’acte d’accusation du FBI fait état — entre autres — d’une fraude de 5,9 milliards de dollars américains concernant l’assurance-emploi dans ce pays. Et ce n’est que la pointe de l’iceberg.

Les premières révélations à propos du réseau d’ordinateurs zombies 911 S5 sont venues d’une petite équipe de l’Université de Sherbrooke, formée de deux étudiants et d’un professeur, qui l’a espionné et décortiqué pendant deux ans. 

« En fait, 911 S5 offrait un service de location à la carte d’ordinateurs-relais […] que d’autres malfaiteurs pouvaient louer. On ne saura sans doute jamais combien de milliards de dollars ont été soutirés par des fraudes, des rançonnements et des arnaques réalisés avec ce service », dit Marc Frappier, professeur d’informatique à l’Université de Sherbrooke, qui dirigeait les étudiants. 

Car le cybercrime est partout. L’un des grands spécialistes en la matière, le criminologue Benoît Dupont, professeur à l’Université de Montréal et titulaire de la Chaire de recherche du Canada en cybersécurité, dévoile un chiffre hallucinant : « Selon les autorités britanniques, le cybercrime compte pour la moitié du crime au Royaume-Uni. Or, la police n’y consacre que 2 % de ses ressources. »

La situation est à peu près la même au Canada, comme presque partout ailleurs, confirme à L’actualité Chris Lynam, directeur général du Centre national de coordination contre la cybercriminalité et du Centre antifraude du Canada, deux structures relevant de la Gendarmerie royale du Canada (GRC). Depuis quelques années, Statistique Canada publie des enquêtes sur le cybercrime contre les entreprises. L’étude de 2024 portant sur 12 500 sociétés nous apprend que 31 % des répondantes ont subi une arnaque ou une fraude en 2023 et 13 %, un rançonnement. Elles ont dû débourser 1,2 milliard de dollars pour réparer les pots cassés, soit trois fois plus d’argent qu’en 2019, en plus d’augmenter leurs dépenses en prévention et détection de 1,3 milliard rien qu’en 2023, pour un total de 11 milliards. Bref, le cybercrime coûte très, très cher.

Il existe une industrie de location de ces adresses uniques, qui permettent à des gens d’y avoir recours comme prête-noms. Leurs véritables propriétaires, comme vous et moi, continuent de les utiliser sans jamais se rendre compte que quelqu’un d’autre s’en sert.

« La lutte contre le cybercrime exige non seulement de nouvelles compétences techniques, ajoute Chris Lynam, mais aussi une collaboration sans précédent entre les polices de partout sur la planète, et avec tous ceux qui sont à l’avant-garde dans la surveillance et la prévention au sein des entreprises privées et des universités. » Autrement dit, dans la lutte contre le cybercrime organisé, le cybershérif arrive en ville et il distribue des étoiles argentées à de nouveaux adjoints. Comme la petite équipe de l’Université de Sherbrooke.

***

C’est un étudiant à la maîtrise, Philippe-Antoine Plante, qui a d’abord flairé l’affaire au printemps 2020. Ce passionné de cybersécurité, qui a déjà éventé une escroquerie en 2017, a appris par ouï-dire qu’il se passe des choses bizarres du côté du réseau 911 S5. Ce service, considéré comme légal, loue alors des adresses IP (pour Internet Protocol), soit l’identification de chaque machine connectée à Internet — un code de 5 à 25 chiffres ou lettres. 

Parce qu’elles sont uniques à chaque appareil, les adresses IP servent de méthode, parmi d’autres, pour identifier un utilisateur. Cas typique : une institution financière sert une clientèle du Québec, qu’elle reconnaît par ses adresses IP québécoises. Si un utilisateur russe se pointe, les robots de défense vont le bloquer avant de valider son identité par des méthodes différentes. Que fait le fraudeur russe pour franchir ce contrôle ? Il loue une adresse IP québécoise. Où ? Auprès d’une entreprise qui en fournit, et a fortiori si elle n’est pas trop regardante sur le profil de ses clients.

C’est ainsi qu’il existe sur le Web toute une industrie de location de ces adresses uniques, qui permettent à des gens d’y avoir recours comme prête-noms électroniques — ou « proxys », dans le jargon. Leurs véritables propriétaires, comme vous et moi, continuent de les utiliser sans jamais se rendre compte que quelqu’un d’autre s’en sert également.

Lorsqu’il visite 911 S5 sur l’internet clandestin une première fois, Philippe-Antoine Plante est surpris d’accéder sans contrôle à des dizaines de milliers d’adresses, offertes en paquets de 25, 500 ou 5 000. « Il y avait là-dedans beaucoup d’adresses IP personnelles, poursuit-il, mais aussi de la police, de sous-traitants de l’armée américaine, de multinationales, de PME et d’universités québécoises. »

Pour recueillir ces précieuses adresses, les réseaux utilisent toutes sortes de stratégies. L’une des plus courantes consiste à offrir des logiciels gratuits pour se créer un « réseau privé virtuel », ou RPV, mieux connu sous son sigle anglais VPN. Un RPV est un canal numérique qui relie et isole deux adresses IP. C’est grâce au RPV qu’un télétravailleur peut se connecter à distance à son entreprise et travailler pour celle-ci comme s’il était au bureau, ou qu’un amateur de pornographie peut se cacher derrière un prête-nom. Le RPV présente un double intérêt pour les cybermalfaiteurs : si votre adresse IP figure dans leur banque et que vous avez un RPV pour le télétravail, cela leur procure en prime un canal dans le réseau d’ordinateurs de votre employeur. « Ça leur fait une barrière de moins à franchir pour entrer dans une centrale nucléaire ou un service de police », explique Philippe-Antoine Plante.

Pour son mémoire de maîtrise, l’étudiant choisit de creuser le modus operandi de 911 S5. Avec son directeur, Marc Frappier, il imagine un premier stratagème. Puisque la banque d’adresses IP appelée 911 S5 est une passoire, ils décident d’en profiter ! Ils lui louent donc quelques adresses IP, dont ils se servent ensuite pour une activité bien inoffensive : se brancher à YouTube et faire jouer des vidéos. « Nous, ce qu’on regardait, c’était le chemin : avec quels serveurs ces adresses IP communiquaient, explique Philippe-Antoine Plante. Ça nous a menés à des serveurs utilisés par MaskVPN. »

MaskVPN est alors l’un des RPV gratuits les plus populaires au monde et est considéré comme au-dessus de tout soupçon. Or, la découverte des chercheurs laisse croire qu’il s’agit d’une création de 911 S5. Ils mettent en place un deuxième stratagème en téléchargeant le logiciel sur leur propre ordinateur. Et là, surprise : leur adresse IP apparaît dans la banque de 911 S5 ! Conclusion : MaskVPN est le maliciel dont 911 S5 se sert pour obtenir des adresses. Et cette collecte est illicite, puisqu’elle n’est stipulée nulle part dans les conditions d’utilisation du RPV.

« C’était frappant de voir 911 S5 fonctionner de manière très ouverte, avec un excellent logiciel pas compliqué, contrairement à tous les réseaux connus d’ordinateurs zombies “traditionnels”, dit Philippe-Antoine Plante. La première fois que je l’ai examiné, je n’y ai vu que du feu. »

Le duo recrute alors un second étudiant, Guillaume Joly, qui est au baccalauréat, pour décortiquer le fonctionnement du maliciel MaskVPN et de son cousin DewVPN. Pendant ce temps, Philippe-Antoine Plante élabore son troisième stratagème : il formule un algorithme pour espionner 911 S5 et ses clients afin de déterminer dans quels pays et dans quelles villes se trouvent plus de 200 000 adresses IP inventoriées.

Au printemps 2022, les universitaires sont allés aussi loin qu’il leur était légalement possible d’aller. Ils savent avec quels serveurs les machines infectées communiquent. Ils savent par quels serveurs 911 S5 fait transiter les adresses à l’autre bout de la chaîne. « Par contre, pour comprendre les autres maillons intermédiaires, il aurait fallu des pouvoirs d’enquête policière », explique le professeur Marc Frappier. L’enquête du FBI documentera une nébuleuse de 150 serveurs !

***

Les chercheurs contactent la GRC et la Sûreté du Québec (SQ) ainsi que le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC), qui dispose de pouvoirs d’enquête sur les infractions à la Loi sur les télécommunications. Les corps policiers leur répondent que le problème analysé n’est pas sur leur radar. Le CRTC, lui, demande à les entendre en privé. « Ils avaient enquêté sur un cas de fraude ayant utilisé l’adresse IP d’une citoyenne qui n’avait absolument aucun lien avec l’affaire, raconte Marc Frappier, mais ils n’avaient pas élucidé le procédé. »

Impressionné, le CRTC organise une seconde rencontre par visioconférence. Il y convie 130 enquêteurs de la police et d’agences réglementaires d’une trentaine de pays, lesquelles ont, comme le CRTC, des contacts réguliers avec la police. « Ils ont posé beaucoup de questions, dit Philippe-Antoine Plante. Les polices britannique, australienne, ontarienne et la SQ ont ensuite communiqué avec nous pour avoir notre liste d’adresses IP. »

Marc Frappier et son équipe ont étudié un autre service du genre, RedLine, qui proposait aux fraudeurs un mode d’emploi pour créer leur serveur de collecte de données personnelles et un autre pour élaborer un système d’hameconnage.

Peu après cette présentation, l’équipe rend publics ses résultats par l’entremise du Groupe de recherche interdisciplinaire en cybersécurité, rebaptisé depuis Pôle d’expertises en cybersécurité Intact, dont Marc Frappier est le directeur scientifique. L’affaire crée une petite panique sur l’internet clandestin. Une querelle éclate entre les associés de 911 S5, qui ferment leur site, avant de le rouvrir sous une autre forme et un autre nom, révèle l’acte d’accusation du FBI. « Nos collègues qui travaillent en cybersécurité et qui surveillent le darknet ont vu passer plusieurs milliers de messages de malfaiteurs se plaignant de ne plus avoir accès à 911 S5 et qui recherchaient l’équivalent », relate Marc Frappier.

Cette recherche ne concernait qu’un type de fraude, basée sur le recours à des adresses IP à l’insu de leurs propriétaires. « Mais c’était un maillon important de la chaîne de cybercriminalité », explique Marc Frappier. Cette chaîne se structure autour du vol d’identité et de renseignements personnels avec un certain nombre d’entreprises qui, comme le faisaient MaskVPN et 911 S5, offrent un service spécialisé.

Plus récemment, Marc Frappier et son équipe ont étudié un autre service du genre, RedLine. Celui-ci proposait aux fraudeurs un mode d’emploi pour créer leur propre serveur de collecte de données personnelles et un autre pour élaborer un système d’hameçonnage afin de recueillir ces renseignements. Les chercheurs ont informé Google que les malfaiteurs utilisaient son site pour offrir leur service, et Google a fermé cette porte. Puis, en octobre 2024, la police néerlandaise a démantelé RedLine et arrêté les responsables.

***

« Quand on sait où chercher sur l’internet clandestin, on trouve de tout partout », explique le criminologue Benoît Dupont qui, pour illustrer son propos, fait une démonstration en accédant au site WeTheNorth, un nom inspiré du slogan des Raptors de Toronto, l’équipe de basket de la NBA. « C’est une place de marché du cybercrime, canadienne et bilingue. Le site a sa page d’accueil et ses onglets, qui proposent drogues, armes, cartes de crédit volées, kit d’hameçonnage, et même des identités complètes. Le tout payable en bitcoins, évidemment ! »

Dans son livre intitulé La cybercriminalité (éditions Armand Colin, 2024), le professeur de l’Université de Montréal brosse un portrait de la situation de la cybercriminalité, une hydre à mille têtes qui ne cesse d’évoluer et de proliférer. « La police telle qu’on la connaît remonte à l’époque de l’industrialisation et de l’urbanisation. Dans notre économie de services numérisée, on est ailleurs, avec plein de malfaiteurs très loin qui utilisent des outils sans cesse plus raffinés et qui visent tout le monde. Ma fille de 14 ans vient de se faire frauder pour 50 dollars. »

Le cybercrime s’est mondialisé et des spécialités nationales ont émergé. Les cybercriminels russes et ukrainiens font dans le rançonnement, soutient Benoît Dupont. Ceux d’Afrique de l’Ouest et d’Israël sont reconnus pour les impostures amoureuses ou hiérarchiques. « En Asie du Sud-Est, ils sont un demi-million qui escroquent des gens à temps plein dans de grands centres d’appels, où ils sont très forts dans la fraude à l’investissement », laquelle, explique-t-il, consiste à inciter des personnes à prendre une décision de placement sur la base de renseignements faux ou fallacieux. « Et si vous pensez que les pauvres Québécois ne sont que des victimes là-dedans, détrompez-vous : des Québécois se sont organisés pour détrousser des candidats africains à l’immigration. C’est partout. »

Le cybercrime n’est d’ailleurs pas toujours financier. Le swatting, par exemple, consiste à lancer de fausses alertes malveillantes pour faire débarquer les escouades tactiques de la police. L’objectif peut être de créer une diversion pour détourner l’attention d’un autre crime ou d’intimider des adversaires.

Les autorités ont pris conscience de la gravité de la situation il y a à peine deux ou trois ans. « La bataille n’est pas perdue, mais disons qu’on a un retard à rattraper. »

Chris Lynam, DG du Centre national de coordination contre la cybercriminalité et du Centre antifraude du Canada

Grâce à l’hypertrucage, certaines escroqueries n’ont plus rien à envier à la série Mission : Impossible. En février 2024, à Hong Kong, un groupe d’arnaqueurs a convaincu un cadre de transférer 35 millions de dollars dans un compte bidon en montant une fausse visioconférence : les acteurs avaient pris la voix et le visage du PDG et du vice-président de l’entreprise.

En plus de 25 ans de carrière, Jean-François Vaillancourt, président de NETsatori, une société montréalaise de cybersécurité, en a vu de toutes les couleurs. « Le cybercrime peut mettre une banque à terre. Le géant canadien de l’électronique Nortel a fait faillite en 2009 à cause d’un vol de propriété intellectuelle par des Chinois. J’ai des clients en aérospatiale qui se font attaquer tous les jours. »

***

Les autorités ont réellement pris conscience de la gravité de la situation il y a à peine deux ou trois ans, convient Chris Lynam, bonze de la lutte contre la cybercriminalité à la GRC. « La bataille n’est pas perdue, mais disons qu’on a un retard à rattraper. »

Le Centre national de coordination contre la cybercriminalité, dont il a pris le commandement en avril 2020 et qui a entamé ses opérations en 2021, vise à coordonner le travail de la GRC, des polices locales et des corps policiers provinciaux pour élaborer des outils communs et produire du renseignement. « Récemment, relate Chris Lynam, nous avons eu vent d’une opération de rançonnement imminente et nous avons prévenu l’entreprise concernée, qui s’est détachée d’Internet juste à temps. »

Le FBI avait même emmené à Montréal un chien renifleur spécialisé dans la détection de clés USB ! « Nous avons profité de cette opération pour questionner une soixantaine de suspects, histoire de leur dire : “On vous tient à l’œil !” »

Chris Lynam

Plusieurs importants coups de filet ont ébranlé la nébuleuse mondiale du cybercrime organisé depuis 2023, comme en témoignent les opérations contre 911 S5 et RedLine en 2024. La GRC, de son côté, a collaboré la même année à l’opération Cronos, menée par Europol, qui visait LockBit, un service offrant des logiciels rançonneurs — 99 arrestations. Au printemps 2023, la SQ a tenu le premier rôle dans l’opération Cookie Monster contre Genesis Market, un service de revente de renseignements personnels — neuf arrestations, dont six au Québec. Pour l’occasion, le FBI avait même emmené à Montréal un chien renifleur spécialisé dans la détection de clés USB ! « Nous avons profité de cette opération, qui a impliqué 28 corps de police canadiens, pour questionner une soixantaine de suspects, histoire de leur dire : “On vous tient à l’œil !” » raconte Chris Lynam.

Malgré son retard, la police bénéficie d’un avantage certain dans ses enquêtes : Internet n’oublie rien. « Les malfaiteurs se dissimulent souvent derrière une fausse identité, mais ils ont toujours utilisé au moins une fois, quelque part, leur véritable identité, explique Jean-François Vaillancourt. C’est comme ça que le FBI a pu remonter jusqu’à Singapour et établir la preuve contre 911 S5 et ses dirigeants. »

Les cyberescrocs s’intéressent aux entreprises pour deux raisons : elles brassent beaucoup d’argent et les portes d’entrée y sont nombreuses. De plus, les millions de télétravailleurs qui connectent leur ordinateur personnel infecté au système informatique de leur employeur sont particulièrement alléchants. Merci au RPV !

Les entreprises doivent donc déployer des trésors d’ingéniosité pour prévenir les attaques ou y remédier. Hydro-Québec, par exemple, a conduit en juin 2022 un premier grand exercice de confinement informatique. L’opération, tenue à une date non divulguée, à partir d’un lieu secret, était une première mondiale pour un service public. L’équipe informatique a complètement détaché la société d’État d’Internet. Pendant quatre heures, Hydro-Québec a alimenté les Québécois « à l’ancienne », en assurant les communications uniquement par téléphone et radiocommunications. Cet exercice était, selon la société d’État, la première étape en vue de créer des automatismes de protection en cas de cyberattaque.

Chaque nouvelle attaque et chaque nouvelle enquête font évoluer les contremesures. « Les attaques d’il y a 15 ans ne marchent plus. Tout est crypté de nos jours », explique l’expert Mathieu Lavoie, de Flare, à Montréal. « Des malfaiteurs qui prennent le contrôle total en entrant par la petite porte, on ne voit plus ça que dans les films. Les cybercriminels cherchent plutôt à entrer par la grande porte déverrouillée, par imposture et vol d’identité », affirme le fondateur et directeur de la technologie de la société, qui se spécialise dans la protection des renseignements exposés. Autrement dit, Flare intervient quand le mal est fait et que des cybermalfaiteurs ont volé des données. « Notre but est de retrouver ce qui est volé avant que ça serve au cybercrime. »

***

Bien qu’il soit heureux de voir des cybershérifs arriver en ville, le titulaire de la Chaire de recherche du Canada en cybersécurité, Benoît Dupont, espère que le gouvernement leur apportera un vrai soutien. Car s’il faut se réjouir que la police mette fin à l’impunité régnante, les législateurs devront aussi adapter les lois à cet environnement et créer de nouvelles règles.

Chris Lynam, du Centre national de coordination contre la cybercriminalité et du Centre antifraude du Canada, souligne que les gouvernements commencent à installer un cadre légal particulier. Le Québec a été un précurseur en 2021 à l’échelle nord-américaine avec sa Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (dite loi 25), d’inspiration européenne. Au niveau fédéral, le projet de loi C-26 (qui était devant le Sénat au moment de la prorogation du Parlement) aurait obligé les entreprises des secteurs stratégiques (télécommunications, finance, énergie, approvisionnement en eau, transport) à signaler tout incident ou attaque. « Bien des crimes sont commis par l’intermédiaire des institutions financières et des entreprises de télécommunications, et on va devoir les amener à collaborer pour connaître leurs points faibles, comprendre comment elles sont exploitées et fermer ces portes-là », précise le directeur général.

Les solutions technologiques ou réglementaires au cybercrime ont beau s’améliorer, les citoyens doivent aussi s’aider — tous les spécialistes en cybersécurité s’entendent là-dessus.

Au Québec, le ministère de la Cybersécurité et du Numérique, créé en 2022, a pour objectif, à terme, d’offrir un système d’identification numérique des citoyens qui assurera une meilleure protection et qui comblera de très nombreuses failles présentes dans les processus d’authentification actuels. 

Le ministère de la Cybersécurité et du Numérique, explique Benoît Dupont, jouit de pouvoirs étendus sur l’ensemble de l’État et de la société québécoise, et constitue un geste fort qui devrait être imité par les autres gouvernements. « C’est un grand effort de cohérence qui va permettre d’établir une politique globale pour toute l’institution publique. Les cybercriminels ont trop profité de l’éparpillement des mesures et des normes entre divers ministères, qui procèdent chacun à leur manière. »

Les solutions technologiques ou réglementaires au cybercrime ont beau s’améliorer, les citoyens doivent aussi s’aider — tous les spécialistes en cybersécurité s’entendent là-dessus. « C’est très malcommode de devoir retaper 15 fois par jour son mot de passe, mais c’est l’une des meilleures mesures de sécurité, dit Marc Frappier. Et si votre antivirus vous dit de ne pas ouvrir tel logiciel, ne l’ouvrez pas. Souvent, les protections informatiques sont là, mais les gens les ignorent. » 

C’est Jean de La Fontaine qui concluait la fable du Chartier embourbé par ce dicton : « Aide-toi, le [cyber]ciel t’aidera. » 

Illustration : ordinateur et arrière-plan   Deagreez / Getty Images ; ciel : Roman Studio / Getty Images ; montage : L’actualité



Source link

Nous serions ravis de connaître votre avis

Laisser un commentaire

Gadget High Tech
Logo
Enable registration in settings - general
Shopping cart