Deux experts en cyber ont piégé de nombreux hackers criminels avec des serveurs déployés sur le web. Après les avoir espionnés pendant des mois, ils ont classé les cybercriminels en plusieurs classes inspirées de Donjons et Dragons.

Pour stopper les criminels, il faut parfois infiltrer profondément leur réseau. En cyber, nul besoin de mettre sa vie en jeu. Andréanne Bergeron et Olivier Bilodeau, tous deux chercheurs canadiens chez GoSecure, ont tout simplement déployé des serveurs sur le web, avec des contrôles à distance, pour piéger les pirates. Ils décrivent le résultat de leur espionnage dans un billet de blog publié ce 9 août 2023.

On désigne ces techniques par le terme « honeypot » (pot de miel, en français). Les cybercriminels pensent que le serveur est sans danger et s’en servent pour mener des activités malveillantes, sans savoir que tous leurs faits et gestes sont espionnés. « C’est comme une caméra de surveillance, car nous voyons tout », a déclaré Andréanne Bergeron, titulaire d’un doctorat en criminologie de l’Université de Montréal au média américain TechCrunch.

Grâce à ces honeypot, les chercheurs ont pu enregistrer 190 millions d’événements et 100 heures de vidéos de pirates. À partir de leurs résultats, ils ont rangé les types de pirates informatiques en différentes classes de « combattants », comme dans le jeu de rôle Donjons et Dragons.

Les différentes classes de cybercriminels

En toute logique, la première classe est celle du « ranger », l’éclaireur, celui qui explore pour préparer l’attaque. Ces hackers entrent discrètement dans le système et ne modifient rien à l’intérieur. Quelques mots de passes sont dérobés de temps à autre. « Notre hypothèse est qu’ils évaluent le système compromis afin qu’un autre profil d’attaquant puisse y revenir plus tard », indiquent les chercheurs dans leur rapport.

Vient ensuite le « barbare ». Ce dernier utilise un ordinateur déjà corrompu pour pénétrer en force sur d’autres postes en s’appuyant sur des listes de noms d’utilisateurs et de mots de passe pour prendre la main sur des comptes.

Le « magicien » se sert d’un serveur pour cacher ses traces et l’origine réelle de l’attaque. Il se connecte d’ordinateur en ordinateur pour éviter que l’on remonte jusqu’à lui.

Le « voleur » monnaye son accès au serveur. Il y installe des outils de minage de crypto-monnaie, des programmes pour réaliser des fraudes au clic ou pour générer un faux trafic vers un site web. Ces accès peuvent être vendus à d’autres malfaiteurs.

Le minage de bitcoins demande une grande puissance de calcul // Source : Canva
Le minage de bitcoins demande une grande puissance de calcul. De nombreux services proposent de louer des serveurs ou de s’en servir ilélgalement // Source : Canva

Enfin, le « barde » est un pirate très peu qualifié. Il utilise le serveur pour trouver des logiciels malveillants ouvertement sur Google, se connecter à des services illégaux ou regarder du porno. Les deux chercheurs pensent qu’il peut aussi s’agir de personnes pour lesquelles ces sites sont interdits ou du moins limités dans leurs pays.

Andréanne Bergeron et Olivier Bilodeau concluent que la possibilité d’observer les cybercriminels interagir avec ces honeypot pourrait être très utile pour les forces de l’ordre ou les équipes défensives de cybersécurité. En outre, si les hackers commencent à douter du serveur sur lequel ils travaillent, ils seront obligés de réfléchir à de nouvelles stratégies, « ce qui entraînera un ralentissement dont tout le monde profitera en fin de compte », affirment les experts. Une expérience qui pourrait tout autant intéresser les entreprises pour anticiper les attaques des cybercriminels.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !