Parce qu'ils se fraudent mutuellement et se méfient férocement les uns des autres, les criminels du web font beaucoup moins d'argent qu'on ne le croit.

C'est la conclusion à laquelle vient d'arriver un chercheur de l'Université de Montréal, après avoir décortiqué près de 5000 échanges issus d'un forum censé réunir l'élite des pirates informatiques.

C'est la première fois que les conversations d'un groupe aussi fermé et d'aussi « haut niveau » sont analysées en profondeur, souligne Benoît Dupont, professeur à l'École de criminologie de l'Université de Montréal, dans un article publié dans la revue American Behavioral Scientist.

Le club sélect qu'il a étudié, Darkode, a été créé par des pirates aguerris, qui voulaient mettre leur expertise en commun et vendre leurs services. Leurs outils cauchemardesques permettaient de voler des données, de prendre le contrôle d'ordinateurs à l'insu de leurs propriétaires, de faire planter des sites, etc.

Lorsque le FBI américain a finalement réussi à démanteler le groupe de 300 personnes, en 2015, il l'a décrit comme l'« une des pires menaces contre les données informatiques aux États-Unis et dans le monde ».

Mais d'après le professeur Dupont, Darkode était « dysfonctionnel », ses échanges, « chaotiques » et les profits possibles, très aléatoires.

« Les montants des transactions ne représentaient souvent que quelques centaines ou quelques milliers de dollars. »

Au lieu de s'enrichir, certains membres ont été victimes d'arnaques, les fraudeurs étant « omniprésents » au sein de ces groupes hors la loi, explique M. Dupont. Certains ne livraient pas le produit promis. D'autres décodaient et copiaient le programme malfaisant qu'ils venaient d'acheter, pour le revendre à bas prix et lui faire perdre sa valeur.

Les pirates les plus sophistiqués ont pu vendre leurs logiciels largement, à des prix assez élevés. « Mais ça leur a rapporté des centaines de milliers de dollars, pas des millions, précise M. Dupont. Et ce n'était pas de l'argent facilement gagné. Comme tout petit entrepreneur, ils ont dû faire des heures interminables chaque semaine. »

Même un pilier du groupe, l'Algérien Hamza Bendelladj, a seulement reçu 3000 $ en échange d'une banque de données contenant des informations au sujet de 200 000 cartes de crédit pouvant être utilisées pour commettre une fraude d'au moins 1 million de dollars.

PSEUDO-CLUB SÉLECT

Pour se joindre à Darkode, il fallait être invité par un membre en règle, puis présenter au groupe son « CV criminel » afin d'établir sa valeur. « Ça a créé une concentration d'individus qui avaient des activités plus graves que la moyenne », dit le professeur Dupont.

Avec le temps, les administrateurs ont toutefois voulu accroître leur réservoir de clients. « L'appât du gain a eu préséance sur la sécurité et sur la qualité des intervenants. Une fois que vous aviez obtenu l'invitation, l'admission était rarement refusée. » 

« Ça a ouvert la porte à toutes sortes de gens indésirables pour eux : des chercheurs en sécurité, des journalistes, des policiers... »

En 2013, deux ans avant l'intervention du FBI, un justicier du web français a divulgué quatre ans de conversations secrètes, en rendant publiques les milliers de saisies d'écran ensuite analysées par le professeur Dupont.

La paranoïa s'est installée et les accusations l'ont finalement emporté sur les échanges commerciaux. « La plupart des membres étaient de jeunes hommes assez impulsifs. Ça a contribué à leurs difficultés, puisqu'ils n'avaient pas la discipline et le sens de la diplomatie requis pour mener des activités harmonieuses avec leurs complices potentiels. »

« Au bout du compte, les membres ne se faisaient pas davantage confiance et ne se montraient pas plus fiables que dans les autres forums », résume le chercheur.

ILLUSION

D'après lui, la plupart des membres de Darkode se sont illusionnés. Seuls ceux qui savent se protéger des autres pirates peuvent survivre dans ce milieu, et la plupart n'ont pas les compétences requises pour y arriver, dit-il, car l'expertise technique ne suffit pas.

« Certains d'entre eux sont très, très bons, mais dans l'échelle de sévérité délinquante, c'est loin d'être des king pins. » 

« Ça s'apparente beaucoup plus à une criminalité normale, avec toutes ses limites, qu'à une super criminalité capable de mettre fin à toute notre civilisation numérique. »

En Ontario, le jeune décrocheur Karim Baratov se vantait d'avoir gagné des millions en infiltrant des boîtes de courriel à la demande de clients et affichait fièrement sa collection de voitures de luxe. Mais il a fini par être embauché par des espions russes, qui s'en sont servis comme écran afin de pirater des millions de comptes Yahoo ! En 2017, l'Ontarien a été arrêté par le FBI, qui a saisi ses biens. Il devrait connaître sa sentence très bientôt.

« Avec ce genre de compétences-là, c'est probablement tout aussi payant d'aller travailler dans une entreprise légitime », observe M. Dupont.

D'anciens pirates s'en rendent compte et changent de camp, dit-il. L'un des fondateurs de Darkode s'est réhabilité et « installe tout à fait légitimement des réseaux informatiques ».

DE LOURDES PERTES, MAIS PEUT-ÊTRE EXAGÉRÉES

Tous les pirates informatiques ne font peut-être pas fortune, mais « les dégâts financiers qu'ils causent ne sont sûrement pas banals », précise le professeur de criminologie Benoît Dupont.

« Le volume et l'impact des crimes informatiques sont clairement en augmentation. En Angleterre, ça représente la moitié des crimes toutes catégories confondues, c'est quand même considérable. »

Malgré tout, aucune statistique fiable ne permet encore de chiffrer les pertes provoquées par les pirates, nuance-t-il. Et les négociations survenues sur Darkode lui font croire que les pertes alléguées lors des procès récents étaient sans doute gonflées.

« Les entreprises privées de sécurité informatique ont intérêt à exagérer la menace, pour créer un sentiment d'inquiétude qui va faciliter la vente de leurs produits, dit-il. Et les autorités policières arrêtent tellement peu de ces gens-là qu'elles ont intérêt à les faire paraître plus redoutables qu'ils ne le sont en réalité, pour compenser. »

Qui sont les pirates de Darkode?

LEUR BUT

Trente et un pour cent des membres de Darkode se servaient du forum pour vendre leurs services et outils malfaisants. Les 69 % restants leur achetaient le tout afin de commettre des fraudes, de se livrer à l'extorsion, etc. « Tous les membres étaient là pour faire des affaires. Ils cherchaient des partenaires, des complices, des clients », résume le professeur Benoît Dupont.

LEURS COMPÉTENCES

Les membres de Darkode acceptaient au moins neuf candidats sur dix dans leurs rangs, sans forcément exiger qu'ils maîtrisent des habiletés avancées. « On ne parle pas d'amateurs, puisque tous connaissaient relativement bien l'informatique. Mais dans le monde d'aujourd'hui, ce n'est pas si rare que ça, souligne le professeur Dupont. Tout au plus 5 % des membres correspondaient à l'archétype du vrai pirate informaticien, comme on le voit dans les films de Hollywood. »

LEUR ÂGE

Les deux fondateurs de Darkode avaient 19 et 28 ans. Leur successeur et leurs recrues vedettes étaient aussi dans la vingtaine. Le professeur Dupont n'a par ailleurs repéré aucune femme. « S'il y en avait, elles utilisaient un pseudonyme masculin, dit-il. Sans doute parce que le milieu des pirates reste très misogyne. Les rares femmes qui s'y hasardent sont très rapidement victimes de harcèlement. »

LEURS ORIGINES

L'un des deux fondateurs de Darkode était américain (Daniel Placek) et l'autre, slovène (Matjaž Škorjanc). Un Suédois (Johan Anders Gudmunds) a pris le relais. Le forum a attiré des pirates russes, algériens, etc. Ils échangeaient en anglais, une première pour un forum du genre. « Il y a probablement des forums privés en russe ou en chinois, mais c'est très difficile de les analyser si on n'a pas les compétences linguistiques requises », dit M. Dupont.

LEUR FONCTIONNEMENT

Comme les pigistes de bien des domaines, les membres de Darkode « travaillent ensemble sur des projets ponctuels, puis retrouvent leur liberté et vont travailler avec d'autres personnes », explique M. Dupont. « Les pirates ne créent pas de réseaux criminels organisés au sens où on l'entend, avec des hiérarchies verticales. Ils forment des entités éphémères de quelques semaines ou quelques mois qui se forment selon les besoins. »

LEURS LIENS AVEC LE CRIME ORGANISÉ

« Les groupes organisés criminels gagnent déjà bien assez d'argent dans d'autres domaines - comme le trafic de drogue ou d'armes, la prostitution - pour vouloir contrôler les réseaux de pirates informatiques », affirme le professeur Dupont. « Par contre, le crime organisé utilise ces gens-là pour maintenir ses propres activités. Il utilise la criminalité informatique pour surveiller les enquêteurs qui sont censés les arrêter », dit-il.

C'est ainsi que, comme dans le téléroman District 31, le crime organisé mexicain a déjà enregistré des policiers, des politiciens et des journalistes en prenant le contrôle de leurs téléphones à leur insu.