Conférence sur la réponse aux incidents & l’investigation numérique 2017 (CoRI&IN) 24 janvier 2017
Date : 07 Mars 2017
La veille du FIC 2017, le CECyF a organisé à Lille le 24 janvier 2017 dans les locaux d’Euratechnologies, sa troisième conférence dédiée aux techniques de réponse aux incidents et d’investigation numérique.
Cette journée a permis aux participants d’assister à des conférences très intéressantes et variées. Nous vous proposons ici un résumé d’une des présentations.
Darkode: Analyse de la structure relationnelle d’un réseau de hackers d’élite
Par Benoît Dupont (Université de Montréal)
https://www.cecyf.fr/wp-content/uploads/2016/08/2017-OK-1-Benoit-DUPONT.pdf
L’orateur a présenté les résultats de l’étude d’un forum de hackers, dit « méchants », connu sous le nom de « Darkode », et qui avait été créé pour mettre en lien des programmeurs d’élites, et pour vendre des produits et services. Il a regroupé environ 500 des meilleurs hackers anglophones. Ce forum a finalement été démantelé en juillet 2015 et a abouti à 70 perquisitions dans 20 pays. Il était considéré comme un des plus dangereux par le FBI, entre 2007 à 2015.
La plupart des forums de hackers fonctionnent, avec des scores de réputation sur les membres. Mais on constate que plus il y a de membres dans le forum, plus les évaluations des membres sont faibles, et que 1/3 des évaluations ne sont pas fiables. Afin d’éliminer ces « bruits », le modèle « Club privé » que l’on retrouve pour « Darkode » propose un système d’élection pour autoriser des nouveaux membres.
C’est grâce à la publication par un hacker nommé Xylitol, qui a rendu public le contenu du forum de 2009 à 2013, et publié environs 5 000 captures d’écran, que cette étude a pu être réalisée.
Une première partie sur « Comment rentrer sur le Forum » montre de manière détaillée (grâce à presque 500 copies d’écran), l’importance d’un bon CV avec les différents critères (compétences dans le codage, reverse, SQL,…). On y retrouve des statistiques sur les compétences des membres, des services et produits proposés, ainsi que la répartition des meilleurs sponsors qui acceptent les candidatures.
La deuxième partie de l’étude portait sur l’analyse de la structure du Forum (lien relationnel entre les membres). Cette structure s’est avérée peu dense et on retrouve au centre cinq acteurs principaux. On constate aussi que dans cette organisation, de nombreux gros joueurs n’ont pas été arrêtés (peut-être des taupes).
La troisième et dernière partie de l’étude a consisté à comprendre le marché. Aux Etat Unis, les amendes au tribunal sont calculées en fonction d’une valeur marchande théorique. Par exemple, pour une personne qui revend des numéros de carte de crédit, l’amende est calculée sur la base de 500$ l’unité. Mais la réalité des prix est tout autre. En effet, à en lire les négociations dans les forums, le prix de vente initiaux sont aux alentours de 0,15$, pour finir à un prix d’achat de 0,02$ l’unité ! De plus, il est parfois compliqué de faire des affaires, car les arnaques sont souvent présentes sur ce type de forum. C’est ainsi que sur une durée de 4 ans plus de 150 plaintes ont été enregistrées.
La présentation est disponible ici.