Ces consultants en sécurité informatique se sont infiltrés dans un groupe de hackers russes pendant cinq mois, ils racontent

Le bac est déjà bien entamé. Peut-être est-ce vous, ou votre enfant, qui subissez les épreuves les unes après les autres, inquiet des résultats, anxieux quant à l'avenir ? Avez-vous pensé au piratage informatique comme carrière ?

Si oui, sachez d'abord que c'est un délit puni par l'article 323 du Code pénal de trois ans d'emprisonnement et de 45 000 euros d'amende (deux ans seulement si vous n'avez touché à rien).

Si, sachant cela, vous êtes malgré tout curieux de savoir combien gagne un pirate d'entrée de gamme, il se trouve qu'un groupe de chercheurs en sécurité informatique a infiltré un réseau russe de bandits du Net entre janvier et mai 2016.

Les chercheurs, issus du cabinet Flashpoint, voguaient sur les profondeurs d'Internet – lesquelles ne sont pas accessibles depuis les navigateurs habituels – quand ils ont repéré une publicité très semblable à ses homologues de l'Internet de surface : "Bonjour à vous. Cette offre s'adresse à ceux qui veulent gagner beaucoup d'argent par des procédés peu honnêtes. Nul acompte ni expérience ne sont demandés – hormis un désir fort et pur d'utiliser votre temps libre à empocher de l'argent" (le contenu est rapporté par The Atlantic).

Recourant à un faux nom, les chercheurs ont répondu à l'annonce. Bien entendu, infiltrer un groupe pirate représente à leurs yeux un beau coup marketing : le fait est qu'ils ont été embauchés.

Quotidien pirate, activités pirates, emploi du temps pirate

Le réseau s'articulait de manière terriblement classique : une quinzaine de petites mains qui réalisent le gros du travail, et un boss, qui reprend l'affaire une fois la victime hameçonnée, et conserve 60% des revenus générés.

L'essentiel des activités du réseau consistait dans la propagation de ransomware, mot-valise fabriqué à partir de ransom ("rançon") et software ("logiciel") et qui correspond à un logiciel malveillant prenant en otage des données personnelles. Il est concocté sous diverses formes, et généralement envoyé en pièces jointes d'emails frauduleux. Quand la victime choisit d'ouvrir l'élément, celui-ci s'installe et chiffre toutes les données de l'ordinateur. Et la clé de décryptage n'est vendue qu'en l'échange d'une somme importante – en Bitcoin, bien entendu.

Les chercheurs étaient en revanche étonnés de constater la marge de manœuvre qui leur était laissée. Les uns et les autres, avec lesquels ils ont pu prendre contact, étaient chargés de reconnaître leurs propres victimes, et décidaient de leur modus operandi : des cibles de choix, potentiellement riches, voire même des services hospitaliers, ou plutôt des cibles nombreuses. Bien sûr, les chercheurs avaient les moyens d'infecter de vieux ordinateurs de leur propre entreprise, prétendant accomplir une sacrée charge de travail.

D'après leurs informations, une opération rondement menée rapporte 300 dollars – même si toutes ne sont pas couronnées de succès : dans le cas d'une attaque de grande échelle, seulement 5 à 10% des victimes acceptent de payer la rançon. En un mois, le boss empochait sans doute 7500 dollars, c'est-à-dire 17 fois le revenu moyen russe. Quant aux affidés, leur salaire se chiffre aux alentours de 600 dollars, soit 40% du revenu moyen russe.

Mais aussi, paradis pirate

Cela revient à dire que la piraterie a tout lieu de prospérer en Russie : le pays, dont l'année 2015 a été très difficile économiquement, est déjà réputé pour l'efficacité de ses pirates. En 2013 et 2014, un gang très organisé a réussi à voler plus d'un milliard de dollars dans plusieurs banques ; et le mois dernier, un réseau d'une cinquantaine de personnes, voleurs de 25 millions depuis 2011, a enfin été arrêté. Mais dans le reste du monde, le même problème se pose : il est devenu plus facile que jamais de recourir au piratage informatique pour des adolescents bidouilleurs et oisifs, et les réflexes de bases n'ont pas encore été acquis par tous.

Rappelons-les brièvement : n'ouvrez pas de pièce jointe expédiée par un inconnu. Ne publiez jamais vos mots de passes sur des forums ou des réseaux sociaux. Autant que possible, n'utilisez pas les mêmes sur plusieurs sites différents – erreur dans laquelle Mark Zuckerberg lui-même est tombée. Pour vous simplifier la tâche, utilisez plutôt des "phrases de passe", de type "ceci/est/mon/compte/atlantico", qui contiennent plus de caractères et sont plus faciles à mémoriser. Vérifiez toujours la présence du cadenas vert à gauche de l'URL. Et si vous voulez devenir pirate professionnel, bonne chance...