Le modèle économique de la cybercriminalité et sa chaîne de valeur

Le modèle économique de la cybercriminalité et sa chaîne de valeur

Les développeurs de menaces informatiques ont commencé à élargir leurs portefeuilles et leurs champs d’activités en cybercriminalité. Tour d'horizon.

Les développeurs de menaces informatiques ont commencé à élargir leurs portefeuilles et leurs champs d’activités en cybercriminalité. Tour d’horizon.

Le paysage de la sécurité a évolué au point où la plupart des menaces informatiques se produisent dans l’intention de générer un gain en argent pour leurs créateurs et financiers. Sur la base de cette prémisse, divers types d’attaques ou de menaces se sont multipliés et ont évolué de façon à cibler un grand nombre d’utilisateurs et d’organisations.

 LES CRÉATEURS DE MENACES ÉLARGISSENT LEUR PORTEFEUILLE DANS UN MARCHÉ QUI DEMANDE CE TYPE DE SERVICES. 

Le « modèle économique » de la cybercriminalité repose sur la création d’une chaîne de valeur qui propose de nouvelles méthodes, notamment la cybercriminalité en tant que servicec’est-à-dire la facilitation d’activités illégales par des services. En d’autres termes, une personne pourrait acquérir tout ce dont elle a besoin pour organiser des fraudes ou des cyberattaques, quelles que soient ses compétences ou ses connaissances techniques.

Des services de cybercriminalité au plus offrant

Le modèle de vente de services représente l’évolution naturelle de l’offre dans un marché qui répond à une demande sans cesse croissante. C’est donc dire que les développeurs de menaces informatiques, ainsi que ceux qui monnayent les données volées ou kidnappées, ont commencé à élargir leurs portefeuilles, leurs champs d’activités et leurs opérations dans un marché qui demande ce type de services, que ce soit pour cibler des entreprises, des industries, des utilisateurs ou même des gouvernements.

  • La fraude en tant que service (FaaS)

Dans le milieu de la cybercriminalité, l’une des industries les plus touchées par la fraude est l’industrie bancaire. En cette ère numérique, un nombre important de menaces ont été développées pour générer des pertes pour les utilisateurs, principalement dans le secteur des cartes de crédit et de débit, bien que la fraude ne se limite pas à ce mode de paiement.

De même, la gamme de menaces englobe le vol et le copiage de cartes, l’ingénierie sociale, les attaques par hameçonnage, les logiciels malveillants, tels que ceux ciblant les points de vente, et les chevaux de Troie bancaires. Ces menaces visent toutes l’obtention de données bancaires. Dans ce contexte, la fraude en tant que service s’avère la solution par excellence pour se procurer les outils nécessaires à la réalisation dֹ’attaques par hameçonnage, ou encore pour obtenir des codes malveillants (Zeus par exemple) spécialement développés pour voler des données financières.

  • Les maliciels en tant que service (MaaS)

En outre, il y a quelques années, on a commencé à offrir du code malveillant en tant que service. Ce code était développé pour des activités spécifiques et en parallèle avec des trousses d’exploitation. Après avoir infiltré un système par ses vulnérabilités, les attaquants peuvent insérer des maliciels pour voler des données et des mots de passe, espionner les activités des utilisateurs et envoyer des pourriels. Ils accèdent à distance à l’équipement infecté et le contrôlent à l’aide d’une infrastructure de commande et de contrôle.

Ce même principe a été appliqué pour propager des rançongiciels, soit du code malveillant conçu pour kidnapper des fichiers ou des systèmes et demander un paiement en échange de ces derniers. Le principe d’extorsion appliqué à l’environnement numérique s’élève à un tout autre niveau. Les trousses d’exploitation ou les réseaux de zombies tels que Betabot ont commencé à diversifier leurs activités malveillantes.

  • Les rançongiciels en tant que service (RaaS)

On ne peut dire des personnes qui offrent des rançongiciels en tant que service qu’elles propagent ces menaces. Leur tâche se limite à développer des outils capables de générer automatiquement ce type de maliciel. Ces outils aident d’autres personnes – plus ou moins dotées de compétences techniques – à mener des attaques.

Dans ce modèle économique, les développeurs des outils de création de rançongiciels et les personnes qui les propagent bénéficient de gains financiers. Il s’agit d’une relation où tout le monde est gagnant. Un exemple bien connu de rançongiciel en tant que service est Tox.

  • Les attaques en tant que service (AaaS)

Dans le même contexte, il est possible d’offrir des attaques en tant que service. Par exemple, différentes attaques telles que celles par déni de service distribué (DDoS) peuvent être le résultat d’un grand nombre de systèmes infectés appartenant à un réseau de zombies. De tels réseaux sont d’ailleurs offerts et loués afin que ce type d’attaques puisse être mené. Ces réseaux peuvent également servir à propager du code malveillant, à envoyer des courriers indésirables en masse et même à extraire de la monnaie chiffrée.

Évolution de la cybercriminalité et paradigmes de la cybersécurité

De toute évidence, il existe une grande variété de menaces informatiques susceptibles de s’amalgamer pour offrir de nouvelles options à l’industrie de la cybercriminalité. Elles sont d’ailleurs accessibles à quiconque possède suffisamment de ressources pour se les procurer.

Il est important de souligner le fait suivant : le secteur de la cybersécurité a évolué au cours des dernières années. Deux acteurs s’y opposent désormais. D’un côté de l’arène, les personnes responsables de protéger les actifs essentiels des organisations. De l’autre côté, les groupes spécialisés et organisés qui investissent temps et argent pour développer des services de cybercriminalité dans un marché qui en a toujours besoin.

Dans ce contexte, la gestion de la sécurité des données n’a pu que se transformer. On ne se demande plus si une organisation sera victime ou non : on tient pour acquis qu’elle sera attaquée. Ce n’est qu’une question de temps. Dans cette perspective, les mesures de protection se veulent proactives, c’est-à-dire que l’on envisage des scénarios réalistes dans lesquels des données ou d’autres actifs essentiels sont susceptibles d’être ciblés et que l’on cherche à les protéger en adoptant une approche holistique.

On travaille également à mettre au point des stratégies défensives, offensives, réactives et proactives afin d’éviter ou de résoudre des incidents de sécurité. L’idée est de réduire le risque à un niveau acceptable, conformément au degré d’aversion ou de propension au risque de chaque organisation. Enfin, la sécurité est devenue un processus global qui s’applique à toutes les activités essentielles d’une entreprise et qui doit être amélioré en continu.

Provenance des images : ©Daniel Kramer/Flickr

Discussion