Pour Leroy Terrelonge, spécialiste des réseaux Dark Web, les cybercriminels francophones privilégient l’échange d’information à la production de malwares.
Comme tous les autres membres de l’organisation FlashPoint, Leroy Terrelongue est un infiltré. Il fréquente depuis de nombreuses années le Deep & Dark Web, ces réseaux cachés du public où les cybercriminels se rencontrent pour mettre au point les fraudes et les malveillances dont les entreprises risquent tôt ou tard d’être les victimes. Il livre ici une photographie de l’underground cybercriminel francophone.
A quoi ressemble l’underground cybercriminel francophone ?
La communauté underground française du Deep & Dark Web, selon son propre historien « Hamster-guerrier », a débuté aux alentours de 2008 avec un forum non modéré, appelé Noel Board. Celui-ci était si anarchique que l’un de ses utilisateurs, connu sous le pseudonyme “V1ct0r”, a décidé de fonder le French Deep Web (FDW), un forum dédié à l’échange d’informations sans censure. FDW a battu tous les records de longévité et tous les forums créés depuis au sein du Dark Web français déclinent son modèle.
FDW et ses forums dérivés se revendiquent d’être des « sanctuaires » pour la liberté d’expression, où les modérateurs ne censurent que la pédophilie et à la haine ethnique. Et même si le cybercrime est l’un des fondamentaux de ces forums, les trafics frauduleux n’y sont que secondaires, l’essentiel de l’activité restant le partage d’informations.
Quels sont les sujets les plus en vogue sur ces forums ?
Les sujets les plus ouvertement discutés sur les forums underground français concernent les drogues et la fraude. D’une manière générale, les acteurs de l’underground français ne montrent pas de compétence pour développer, ni même déployer, des malwares. Ce sont essentiellement des adeptes de la contrefaçon (fausse monnaie, faux documents d’identité, fausses factures), des numéros de carte bancaire volés, des moyens frauduleux pour obtenir des fonds ou encore pour distribuer de la drogue.
On note par ailleurs des effets de mode. Pendant près d’un an et demi, beaucoup d’intervenants se sont intéressés à la redirection SIM (ou « SIM swap », comme disent les anglophones), une technique pour tromper une authentification à deux facteurs par SMS. Les discussions à ce sujet semblent disparaître à présent.
Que peut-on dire de l’état d’esprit actuel des communautés underground francophone ?
Les derniers mois, ont surtout été marqués par des actions de police qui ont mis sous pression ces communautés. Il y a d’abord eu la fermeture de la place de marché frauduleuse AlphaBay en juillet 2017 ; AlphaBay n’était pas à proprement parler une place de marché francophone, mais elle hébergeait de nombreux commerces en ligne tenus par des francophones.
Plus récemment, Europol a procédé à plusieurs arrestations de cybercriminels francophones et, en juin dernier, La Direction Nationale du Renseignement et des Enquêtes Douanières a fermé l’un des plus importants forums français du Dark Net – Black Hand, auparavant connu comme La Main Noire – lors d’une descente de police coordonnée en divers endroits du territoire. Parmi les personnes arrêtées, l’administratrice de 28 ans est notable car les femmes sont excessivement rares dans cette communauté ; du moins, quasiment aucune n’indique publiquement qu’elle est de sexe féminin.
En tout état de cause, ces interventions musclées des autorités ont mis fin au sentiment d’impunité qui a longtemps perduré dans la communauté cybercriminelle francophone. Et il est probable qu’elles aient incité plusieurs membres à quitter le cybercrime.
Que peut-on dire de la menace que représentent les communautés underground francophones ?
C’est une menace en perpétuelle évolution. En effet, les schémas de fraude ont une durée de vie assez courte, d’autant que les contre-mesures du côté des victimes se perfectionnent sans cesse. Si les champs d’activité restent les mêmes, les tactiques-techniques-procédures (TTPs) discutées se transforment régulièrement pour conserver une longueur d’avance sur les chercheurs en sécurité et les autorités.
Pour que les entreprises puissent contrecarrer ces menaces, il faudrait qu’elles aient des yeux et des oreilles parmi l’underground français. Cela leur servirait à connaître les tendances, les TTPs débattues. Et il faudrait ensuite que tout cela soit correctement traduit pour que les décisionnaires comprennent eux-mêmes comment mieux protéger leur entreprise.
Pour finir, qu’est-ce qui vous a le plus surpris parmi les communautés cybercriminelle francophones ?
Alors que l’on a tendance à considérer les membres de ces communautés comme de simples malfaiteurs, j’ai été surpris de voir qu’ils défendaient certaines valeurs. Il y a quelques années, par exemple, des membres d’un forum criminel francophone travaillaient à le rendre accessible aux non-voyants. Comme quoi, cette communauté est capable de faire preuve d’une certaine humanité.