Où acheter un virus ?

Virus, keyloggers, malwares : faites votre marché

Les virus, chevaux de Troie, keyloggers et autres logiciels nuisibles ne sont pas tous créés dans un but anarchique par de jeunes étudiants contestataires. Ils peuvent être développés dans un but purement mercantile et destinés à être uniquement revendus. Ainsi, on compte sur la toile des sites obscurs, cachés, qui restent volontairement confidentiels. Ces sites, le plus souvent de simples forums ou des pages sans fioritures, sont autant de lieux d’échange de connaissance sur le hacking en général, le plus souvent innocent et parfois destinés à accueillir des liens vers de véritables boutiques en ligne, avec page de paiement sécurisé pour acheter la parfaite panoplie du pirate : bots, keyloggers, codes de virus mais aussi informations personnelles, générateurs de numéro de carte bancaire, faux antivirus…Ce sont finalement les méthodes du e-commerce, à la sauce binaire. Pourtant, la plupart des malwares sont diffusés gracieusement et permettent de se faire la main lorsque l’on débute dans le milieu. Il n’est d’ailleurs pas rare de tomber sur un générateur de virus qui peut créer différentes fournées de malwares aux rôles bien précis au détour d’un post, ou encore de listes de comptes piratés pour des sites pornographiques.

Les hackers « black hat », c'est-à-dire les plus enclins à commettre des méfaits, s’ils ne développent pas eux-même leur propre virus, peuvent adopter un système de diffusion et s’engager à promouvoir un produit ou un service particulier. C’est ce que l’on appelle affiliation et cela consiste en ouvrir en quelque sorte son site internet à la promotion d’un produit ou d’une marque. C’est idéal pour propager les rogues : Il suffit d’adhérer à un programme, de diffuser le rogue et d’attendre quelques jours pour toucher une commission sur chaque vente. Les commissions, qui peuvent aller jusqu’à 50% voire plus, sont très attrayantes et permettent de réaliser de bons bénéfices, au détriment bien sûr de victimes tombées dans le piège.

Autre technique d’enrichissement rapide : l’achat en masse de numéros de carte bancaire. Au prix de quelques dollars (à partir de 2$ la carte, un prix somme toute attractif), le pirate pourra passer quelques commandes au frais d’une victime inconsciente ou mieux encore, nourrir un bot d’un stock de numéros pour passer un grand nombre d’ordre d’achat en même temps ! Ce bot peut-être lui aussi loué et tant qu’à faire, l’argent récolté pourra être blanchi, moyennant une commission plus ou moins faible.
Autre denrée monnayable : l’identité d’un individu. Des sites sont spécialisés dans la revente d’informations personnelles sont la cible actuellement des professionnels de la sécurité. A la lisière de la légalité, ces sites constituent une mine d’or pour les adeptes du « Social Engineering », méthode d’infiltration et de duperie qui permet de récupérer un soda gratuitement, une console de jeu neuve ou d’espionner l’ONU.
N’oublions pas au passage de rappeler que tout acte frauduleux d’atteinte au système de traitement automatisé de données peut conduire à deux ans d’emprisonnement et 30 000 € d’amende minimum, accompagnés des sanctions habituelles sur l’exercice des droits civiques…Des peines conséquentes pour la France, mais qui avouons-le ne suffisent pas à dissuader les pirates qui peuvent agir vite, se constituer un petit pactole et partir pour de longues vacances.