Désormais, presque tout est disponible en mode ‘as-a-Service’. Nous ne serons donc pas surpris de voir émerger MaaS (Malware as a Service) ou CaaS (Cyber-crime as a Service)…

Derrière les cyberattaques dont nous sommes victimes se cache une industrie fleurissante, un marché noir du cyber-crime. Et comme sur tout marché qui se respecte, tout s’achète et tout se vend. En particulier les virus et les malwares, parfois codés par des organisations ayant pignon sur rue. Comme la NSA, l’agence d’espionnage américaine, qui s’est faite pirater plusieurs de ses joujoux douteux, à moins qu’elle ne les ait volontairement laissés à portée de pirate, ce qui ne nous surprendrait pas !

Pirates qui vivent également dans notre monde réel, et qui trouvent aujourd’hui ces mêmes solutions malwares sous une forme moderne, reproduisant nos modèles économiques. C’est ainsi que virus et malwares sont disponibles sur le cloud, dans un mode ’as a Service’ par abonnement. Ils prennent le nom de MaaS (Malware as a Service), ou parfois de CaaS (Cyber-crime as a Service). La différence avec les précédents modèles ? L’infrastructure, les ressources et les prestations de service sont transférées à un tiers !

Le modèle MaaS expose une structure à plusieurs niveaux

  1. Un premier niveau est composé d'ingénieurs qualifiés et de programmeurs qui assurent les recherches, construisent les menaces, et écrivent les logiciels malveillants ;
  2. Un deuxième niveau est composé de distributeurs, qui hébergent les systèmes informatiques et les réseaux de zombies, et/ou génèrent et transmettent les spams ;
  3. Un troisième niveau est composé de fournisseurs de données financières, de comptables, de trésoriers et de ‘mules’ pour transférer des fonds.

En outre, le MaaS agit comme une économie de service en offrant un modèle 'cash and carry' avec des options comme les logiciels malveillants exploités sous la forme de kits, et des fonctions de back-end comme un support technique 24/7 et un service d’assistance téléphonique à la clientèle, avec des tests de code malveillant réalisés par des abonnés.

A partir de 25 $ de l’heure

Le Dark Web est un vaste marché où tout a un prix… axé sur la demande et dégressif selon le volume et la sophistication des services en cause et des vecteurs d’attaque. Il est également influencé par la disponibilité des failles et la popularité des exploits. En 2015, une attaque DDoS pouvait être confiée à un prestataire externe pour 25 dollars de l’heure !

Autre exemple, en juin 2016, les développeurs de l’exploit Neutrino ont proposé leur malware sous la forme d’un kit comprenant l’infrastructure avec une location mensuelle de 3.500 à 7.000 dollars… Des prix à comparer aux coûts liés à une attaque sur une entreprise, estimés à 155.000 dollars dans un rapport d’impact d’attaques DDoS par Neustar.

Un service à la demande

Et nous voici donc plongés dans le monde des menaces ‘as a Service’, où les cyber-attaques sont opérées ‘à la demande’. De marché, le Malware-as-Service en reprend même certaines pratiques, comme d’être mesuré par des indicateurs. Par exemple, le nombre des sites Web malveillants augmenterait de 7% d’un trimestre à l’autre. Ou encore, près de 50% des nouveaux sites en Islande, Pays-Bas, Portugal, Russie et au Royaume-Uni seraient soit des domaines spécialement conçus pour les cyber-criminels, soit des sites légitimes compromis qui tombent sous leur contrôle.

Et pourtant, selon le FBI, moins de 200 individus joueraient un rôle clé dans l’économie du Malware as a Service ! Mais personne, pour le moment, ne se risque à avancer un chiffre d’affaires pour le marché du MaaS, qui pourrait générer annuellement plusieurs milliards de dollars ! De quoi financer une véritable industrie, car derrière un MaaS il y a à minima un logiciel malveillant, un ransomware, une stratégie de phishing, un faux site, des vecteurs de livraison, des services de gestion financière disponible à la commande, et les hommes pour en assurer le développement et le pilotage (dont certains se disent parrainés par un Etats !).

Les lois du marché s’appliquent au MaaS

Les attaques évoluent, dans leurs modèles technologiques, avec de plus en plus de cyber-attaques à plusieurs couches - attaques DDoS à bas prix et en gros volumes qui servent de toile de fond ou de camouflage pour des techniques plus complexes et sophistiquées ciblant la propriété intellectuelle, les informations d'identification des clients et des données critiques de l'entreprise –, comme dans leurs modèles de financement et de consommation.

Mais le plus inquiétant ici, comme dans toute économie, c’est qu’avec le nombre de services MaaS qui augmente, les prix du secteur baissent, et les 'clients' se font plus nombreux. Il faut donc s’attendre à ce que les attaques se fassent également plus nombreuses et continuent de se diversifier…

Image d’entête 500753402 @ iStock Aleutie