Même si les perspectives de l'économie mondiale apparaissent actuellement comme particulièrement moroses, même si notre CAC40 dévisse jusqu'à atteindre des records au plus bas, il existe des business qui ne souffrent décidément pas de la crise et qui restent extrêmement lucratifs ; la cybercriminalité en est peut-être même un fer de lance.
Les tendances pour cet été 2008 ? Même si les tarifs négociés diminuent, la substantifique moelle de ce business reste sans conteste :
- Les informations type coordonnées bancaires correctement qualifiées qui intéressent toujours autant et qui sont à priori proposées entre 2 et 25$ pièce, suivant la qualité des données fournies
- Les identifiants de compte type Paypal gardent le vent en poupe avec une unité discutée au alentour de 7$, alors que les codes d'accès au MMORPG à la sauce Blizzard (pour ne pas citer le jeu) font une belle progression pour atteindre 8$
- La location de botnet pour des attaques de type DDoS reste une valeur sure et il en coutera de 25 à 100$ pour cette prestation suivant le temps d'utilisation du réseau
- Quand à la campagne de spam, grand classique, elle s'achète autour de 500$ (20 millions de spam expédiés) alors que le million d'adresse email ne pèse plus que 50$
- Dans le haut de panier, 3000$ au maximum sera la somme à débourser pour obtenir la mise à disposition de code exploit et autres outils d'infection type xwares, la palme revenant tout de même à la révélation d'une vulnérabilité, comprenons faille système ou logiciel, non « divulguée » qui peut être négociée à hauteur de 50 000$.
La collecte et la consolidation d'information sur un milieu qui, par définition s'apparente à « underground », apparait comme un exercice de style quelque peu délicat à réaliser et sujet à controverse, en particulier sur l'objectivité et l'exhaustivité des données. Mais quand les chiffres tombent, force est de constater que c'est tout un arsenal de prestations qui est ouvertement proposé en quasi libre-service, et en toute illégalité ... quoique, un premier pas, avec plate-forme d'échange et enchères en ligne, a déjà été franchi, même si son créateur affirme prêcher pour la bonne cause.
Le caractère corruptible et vénal du genre humain étant ce qu'il est, quel chercheur (au sens large du terme) ne serait pas tenté par ce business de revente de vulnérabilités pour arrondir confortablement ses fins de mois ? A 50 000$ la faille découverte, la question se pose. Ce qui est à redouter, c'est qu'avec de tels tarifs, de réelles vocations vont se révéler ... si elles ne le sont pas déjà !
nsp