Le temps du hacker solitaire, figure presque romantique s’introduisant dans les systèmes des grandes entreprises grâce à son génie de la programmation et à des nuits blanches, est révolu. Le paysage de la cybercriminalité est aujourd’hui beaucoup plus pragmatique et ressemble au fonctionnement d’une entreprise classique. L’une des dernières tendances dans le monde de la pègre numérique est le cybercrime as a service (CaaS), soit la cybercriminalité en tant que service.Son nom dérive du terme SaaS (software as a service),populaire dans le monde des affaires pour désigner la fourniture d’un service en ligne. Sauf que dans ce cas, le service est fourni par un program malveillant ou des données volées.
Une grande partie de cette activité se trouve dans le deep web (contenu non indexé par les moteurs de recherche) et le dark web (la partie accessible uniquement via des outils comme Tor).
« Vous pouvez trouver des forums ou des services qui vendent des identifiants, des gens qui vendent des services liés au blanchiment d’argent ou à la vente de malware. Par exemple, certains vendent le code source ou le builder (qui facilite la création d’objets complexes en programmation) pour créer un ransomware as a service »,
explique un expert en cybersécurité.
« Les gens l’achètent et infectent d’autres appareils »,
souligne-t-il. L’objectif est d’accroître la résilience face aux cyberattaques et une attention particulière est accordée au CaaS.
« Nous essayons de comprendre le modus operandi des cybercriminels, de collecter des données et d’établir des corrélations. Nous essayons de comprendre comment fonctionne un malware grâce à l’ingénierie inverse, ce qu’il fait et où il envoie les données volées »,
explique l’expert.La collaboration étroite avec les autorités est essentielle.
Il existe tout un marché, avec ses producteurs (de logiciels malveillants) et ses intermédiaires. Il existe des plateformes d’achat et de vente et d’autres canaux de distribution avec une offre variée.Des malware, des vulnérabilités, l’accès à des réseaux et toutes sortes de données volées sont proposés, comme dans un grand bazar de la cybercriminalité. Le concept de cybercriminalité en tant que service englobe les MaaS (malware as a service) ou RaaS (ransomware as a service) plus spécifiques.
« Il s’agit de transposer le concept de n’importe quel software populaire, comme Microsoft Office, à un software qui, au lieu d’éditer du texte, exécute du malware »,
commente un chercheur en cybersécurité.
« S’ils peuvent acquérir le moteur technique,la partie la plus complexe,techniquement parlant,est éliminée de l’équation. Leur travail se réduit à exécuter la tromperie, pour que quelqu’un fasse le fameux clic [sur un lien ou pour télécharger un fichier], ou à acheter ou acquérir l’accès à des réseaux d’entreprises via des vulnérabilités.»
Ce schéma se répand à grande vitesse. Un rapport annuel d’une entreprise britannique de cybersécurité estime que le MaaS est déjà responsable de 57 % des cyberattaques contre les entreprises et les institutions.L’augmentation a été abrupte ces derniers mois. Mi-2024, ces attaques représentaient encore 40 %.
« Cela leur coûte beaucoup moins cher que de le faire à partir de zéro »,
insiste un expert.
« Autrement,ils auraient dû programmer le logiciel malveillant,trouver les vulnérabilités et se cacher,ce qu’ils doivent aussi faire pour ne pas se faire prendre.»
Le développement du malware incombe généralement à de petits groupes ayant des connaissances techniques,voire à des groupes parrainés par des États. parfois, il s’agit de personnes travaillant seules. La motivation principale est le profit,mais il existe aussi des motivations liées à la géostratégie.
Ces programmes malveillants sont distribués via des marchés et des forums sur le dark web, mais aussi via des services aussi connus que Telegram ou Discord.
« Parfois, vous avez des vendeurs indépendants, comme par exemple un petit hacker qui a créé un outil spécifique pour voler une information concrète »,
expose un expert.
« Il arrive aussi que quelqu’un ait accès à des données confidentielles d’une organisation, par exemple, et écrive simplement dans un forum ‘Bonjour à tous, j’ai des informations sur l’entreprise X’ et demande aux personnes intéressées de lui envoyer un message ou de lui envoyer des bitcoins à un portefeuille virtuel pour les acheter. »
Les données volées sont un autre produit phare dans le domaine du CaaS. Une entité cybercriminelle utilise un programme pour voler des informations qu’elle vend ensuite à quiconque en paie le prix. Ils convainquent un grand nombre d’utilisateurs d’installer un infostealer (un cheval de Troie),qui surveille ce que vous tapez sur le clavier ou les adresses que vous visitez.
« Ils peuvent en conclure que vous vous êtes connecté à une plateforme spécifique et que vous avez utilisé certains identifiants »,
souligne un expert.
Une fois les informations collectées, le groupe les envoie à sa propre infrastructure centrale.
« Parfois,ils ont du personnel qui se consacre à l’évaluation des informations volées. Cela signifie que s’ils ont des données sur 10 000 utilisateurs, toutes ces données d’utilisateur n’ont pas la même valeur »,
souligne un coordinateur.
« Dans certains cas,il s’agira d’utilisateurs à profil élevé ou de comptes bancaires à profil élevé,qui valent plus. ou ils peuvent avoir des cartes de crédit qui ne peuvent pas être utilisées. »
Le groupe cybercriminel se consacre à la classification de toutes les données volées comme le ferait un distributeur de fruits. Chaque information a sa valeur marchande.
Cybercriminels qui opèrent comme des entreprises
Table of Contents
Les groupes qui forment cet écosystème de la cybercriminalité recherchent l’efficacité de leur « entreprise ». Pour ce faire, ils adoptent des stratégies commerciales que nous avons l’habitude de voir dans le monde numérique légitime. Il existe la vente directe d’un malware, mais aussi des modèles d’abonnement, qui permettent d’accéder à un catalog d’outils d’attaque qui est renouvelé périodiquement.
Parfois, l’acheteur peut modifier certains paramètres du malware pour l’adapter à ses objectifs. C’est la même idée que lorsqu’une entreprise adapte le software de tiers à ses besoins.Les vendeurs ont différents forfaits commerciaux :
« C’est comme une entreprise. Si vous le souhaitez, vous pouvez acheter uniquement l’exécutable ou aussi le serveur Command & control, à partir duquel vous pouvez contrôler l’exécution des programmes malveillants, et même vérifier s’il faut effectuer des mises à jour. C’est ce que l’on voit du côté légitime du software, mais transposé au malware. »
Qui peut acheter ces produits malveillants dérivés du CaaS ?
« Potentiellement, n’importe qui »,
souligne un chercheur en cybersécurité.
« La partie la plus fastidieuse, la plus technique, est simplifiée. par conséquent, la courbe d’entrée dans ces activités tend vers zéro. Auparavant, ce type de software nécessitait un développement, il ne s’agissait pas seulement d’appuyer sur un bouton. Maintenant, on élimine cela de l’équation. »
Comme pour toute activité économique en croissance, la cybercriminalité a découvert la division du travail.
Cybercriminalité en tant que service (CaaS) : le nouveau visage du crime numérique
Le paysage de la cybercriminalité a considérablement évolué, délaissant la figure romantique du hacker solitaire pour adopter un modèle d’entreprise pragmatique. La tendance actuelle est le “cybercrime as a service” (CaaS), ou cybercriminalité en tant que service [1]. Ce modèle calque le “Software as a Service” (SaaS) en proposant des services malveillants ou des données volées [2].
Qu’est-ce que le CaaS ?
Le CaaS se manifeste principalement sur le deep web et le dark web, où des plateformes facilitent la vente et l’achat d’outils et services liés à la cybercriminalité [3]. Les offres incluent :
Malwares: programmes malveillants.
Vulnérabilités: failles de sécurité.
Accès à des réseaux: accès à des systèmes informatiques.
Données volées: informations confidentielles, identifiants, etc.
Le CaaS englobe des modèles plus spécifiques comme :
Maas (Malware as a Service) : “Malware en tant que service”.
Raas (Ransomware as a Service) : “Rancongiciel en tant que service”.
Un expert en cybersécurité explique que le caas permet de transposer le concept d’un logiciel populaire tel que Microsoft Office, à un logiciel qui, au lieu d’éditer du texte, exécute du malware. L’acheteur peut ainsi se concentrer sur l’exécution de l’attaque plutôt que sur le développement technique du malware [3].
Un marché structuré
Le marché du CaaS fonctionne comme une entreprise, avec des producteurs de malwares, des intermédiaires et des canaux de distribution. Des plateformes d’achat et de vente proposent une variété de services, allant de la vente de code source à l’accès à des réseaux compromis. Les criminels proposent des modèles de vente directe ou des abonnements, tout comme dans le monde numérique légitime.
Conséquences et impact
Ce modèle d’entreprise a des conséquences importantes. Le MaaS serait déjà responsable de 57 % des cyberattaques contre les entreprises et les institutions [3]. Cette simplification de l’accès aux outils malveillants abaisse les barrières à l’entrée, permettant à un plus grand nombre d’individus de se lancer dans la cybercriminalité.
FAQ sur le CaaS
Qu’est-ce que le CaaS ?
C’est la cybercriminalité proposée comme un service, similaire au SaaS, où des outils et services malveillants sont vendus.
Où se trouve le CaaS ?
Principalement sur le deep web et le dark web.
Quels types de services sont proposés ?
Malwares, vulnérabilités, accès à des réseaux, données volées, etc.
Qui peut acheter ces services ?
Potentiellement n’importe qui, car la composante technique est simplifiée.
Quels sont les risques ?
Augmentation des cyberattaques, simplification de la mise en oeuvre des attaques.
Tableau récapitulatif
| Aspect | Détails |
| ———————— | ———————————————————————————————————————————————————- |
| Concept | Cybercriminalité proposée comme un service. |
| Modèles | Maas (Malware as a Service), Raas (Ransomware as a Service). |
| Plateformes | Deep web, dark web, forums, canaux de distribution. |
| Offres | Malwares, vulnérabilités, accès à des réseaux, données volées. |
| Impact | Augmentation des cyberattaques, simplification de l’accès aux outils, transformation de la cybercriminalité en industrie. |