L’agence anti-cybercriminalité du Royaume-Uni diffuse des publicités en ligne destinées aux jeunes qui recherchent sur le Web des services permettant des crimes informatiques, en particulier des programmes de chevaux de Troie et des services DDoS à louer. La campagne publicitaire fait suite à une initiative similaire lancée fin 2017 qui, selon les universitaires, a considérablement atténué la demande pour de tels services en expliquant que leur utilisation pour nuire à autrui est illégale et peut conduire des clients potentiels en prison.
Par exemple, recherchez dans Google les termes « booter » ou « stresser » à partir d’une adresse Internet britannique, et il y a de fortes chances que vous voyiez une annonce payante apparaître sur la première page de résultats avertissant que l’utilisation de ces services pour attaquer les autres en ligne est illégal. Les publicités sont payées par le Royaume-Uni Agence nationale du crimequi a connu le succès avec une campagne connexe pendant six mois à partir de décembre 2017.
Gestionnaire principal de l’ANC David Cox a déclaré que l’agence cible ses publicités sur les hommes britanniques âgés de 13 à 22 ans qui recherchent des services de démarrage ou différents types de chevaux de Troie d’accès à distance (RAT), dans le cadre d’un effort continu pour aider à éloigner les jeunes hommes de la cybercriminalité et à utiliser leur curiosité et des compétences pour le bien. Les annonces renvoient à des publireportages et à la Défi de la cybersécurité au Royaume-Uniqui tente de gamifier les concepts de sécurité informatique et de mettre en évidence les carrières potentielles dans les rôles de cybersécurité.
« Le fait est que ceux qui se tiennent devant une salle de classe enseignant aux enfants ont moins d’informations sur la cybercriminalité que ceux qu’ils essaient d’enseigner », a déclaré Cox, notant que la campagne est conçue pour soutenir ce qu’on appelle le « toc et parler ». visites, où les enquêteurs visitent les domiciles des jeunes qui ont téléchargé des logiciels malveillants ou acheté des services DDoS pour la location pour les avertir de telles activités. « Il s’agit de montrer aux gens qu’il existe d’autres chemins qu’ils peuvent emprunter. »
Bien qu’il puisse sembler évident pour le lecteur occasionnel que le déploiement de certains logiciels malveillants en tant que service ou l’utilisation d’un booter pour mettre quelqu’un ou quelque chose hors ligne peut en faire tomber un dans l’eau chaude légale, le profil typique de ceux qui fréquentent ces services est jeune, masculin , impressionnable et participant à des communautés en ligne de personnes partageant les mêmes idées dans lesquelles tout le monde le fait déjà.
En 2017, la NCA a publié «Chemins vers la cybercriminalité», un rapport qui s’appuie sur des entretiens menés avec un certain nombre de jeunes hommes qui ont reçu la visite d’agents des forces de l’ordre britanniques dans le cadre de diverses enquêtes sur la cybercriminalité.
Ces conclusions, qui, selon la NCA, ont été obtenues grâce à des entretiens directs avec un certain nombre de suspects, ont révélé que 61% des suspects ont commencé à se livrer à du piratage criminel avant l’âge de 16 ans, et que l’âge moyen des suspects et les arrestations de personnes impliquées dans des affaires de piratage avait 17 ans.
La majorité des personnes impliquées dans la cybercriminalité ou à la périphérie de celle-ci ont déclaré à la NCA qu’elles s’étaient impliquées via un intérêt pour les jeux informatiques.
Une grande partie des délinquants ont commencé à participer à des sites Web de triche sur les jeux et à des forums de « modification », puis ont évolué vers des forums de piratage criminel.
La NCA a appris que les personnes visitées n’avaient qu’une poignée de motivations principales à l’esprit, notamment la curiosité, surmonter un défi ou faire ses preuves auprès d’un groupe plus large de pairs. Selon le rapport, un délinquant typique fait face à une tempête parfaite de circonstances de mauvais augure, y compris un faible risque perçu de se faire prendre et une perception que ses infractions en général équivalaient à des crimes sans victime.
« L’activité d’application de la loi n’a pas d’effet dissuasif, car les individus considèrent que la cybercriminalité est à faible risque », selon le rapport de la NCA. «Les sujets du débriefing ont déclaré qu’ils n’avaient pas envisagé l’application de la loi jusqu’à ce qu’une personne qu’ils connaissaient ou dont ils avaient entendu parler soit arrêtée. Pour que la dissuasion fonctionne, il doit y avoir une réduction de l’écart entre le délinquant (ou le délinquant potentiel) et les forces de l’ordre fonctionnant comme une présence visible pour ces individus.
Cox a déclaré que la NCA continuerait à diffuser les publicités indéfiniment et qu’elle recherchait des financements auprès de sources extérieures – y compris de grandes entreprises de l’industrie des jeux en ligne, dont les plates-formes sont peut-être les plus ciblées par les services DDoS à louer. Il a qualifié le programme de « grand succès », notant qu’au cours des 30 derniers jours (dont 13 les publicités n’étaient pas diffusées pour des raisons de financement), les publicités ont généré quelque 5,32 millions d’impressions et plus de 57 000 clics.
APLISSEMENT DE LA COURBE
Richard Clayton est directeur de la Centre de cybercriminalité de l’Université de Cambridgequi surveille les attaques DDoS depuis plusieurs années en utilisant une variété de capteurs sur Internet qui prétendent être les types de systèmes qui sont généralement réquisitionnés et abusés pour aider à lancer de telles attaques.
L’année dernière, Clayton et ses collègues chercheurs de Cambridge publié un article montrant que les interventions des forces de l’ordre – y compris la campagne publicitaire anti-DDoS de la NCA entre 2017 et 2018 – ont manifestement ralenti la croissance de la demande de services DDoS à louer.
« Nos données montrent qu’en exécutant cette campagne publicitaire, la NCA a réussi à aplatir la demande de services de démarrage au cours de cette période », a déclaré Clayton. « En d’autres termes, la demande pour ces services n’a pas augmenté au cours de la période comme nous le verrions normalement, et nous n’avons pas vu plus de personnes le faire à la fin de la période qu’au début. Lorsque nous avons montré cela à la NCA, ils étaient ravis, car cette campagne leur a coûté moins de dix mille [pounds sterling] et cela a empêché ce type de cybercriminalité de se développer pendant six mois.
Clayton a déclaré qu’une partie du problème est que de nombreux fournisseurs de booter/stresser prétendent qu’ils offrent des services licites, et beaucoup de leurs clients potentiels sont trop impatients de croire que c’est vrai. De plus, le prix est abordable : un service de démarrage typique permettra aux clients de lancer des attaques DDoS assez puissantes pour seulement quelques dollars par mois.
« Il existe des entreprises légitimes qui fournissent ces types de services de manière légale, mais il existe tous les types d’accords qui doivent être en place avant que cela puisse se produire », a déclaré Clayton. « Et vous n’obtenez pas cela pour dix dollars par mois. »
NE SOYEZ PAS MAL
La campagne publicitaire de la NCA est en concurrence directe avec les publicités Google diffusées par bon nombre des mêmes personnes exécutant ces services DDoS à louer. Certains lecteurs peuvent être surpris d’apprendre que les services de cybercriminalité font souvent de la publicité sur Google et d’autres sites de recherche, comme le ferait n’importe quelle entreprise légitime – en payant pour des prospects susceptibles d’attirer de nouveaux clients.
Il y a plusieurs semaines, BreachTrace a remarqué que la recherche de « booter » ou « stresser » dans Google affichait des publicités payantes pour les services de démarrage en bonne place sur la première page de résultats. Mais comme je l’ai noté dans un tweet sur la découverte ce n’est pas un phénomène nouveau.
Clayton de Cambridge m’a indiqué un article de blog qu’il a écrit en 2018 sur la prévalence de telles publicités, qui enfreignent les politiques de Google sur les publicités acceptables via sa plate-forme. Google déclare qu’il n’autorise pas les publicités pour des services qui « causent des dommages, des préjudices ou des blessures » et qu’il n’autorise pas les publicités pour des services qui « sont conçus pour permettre un comportement malhonnête ».
Clayton a déclaré que Google avait finalement supprimé les publicités incriminées. Mais comme l’ont révélé mes quelques secondes de recherche sur Google, l’entreprise semble avoir décidé de jouer au taupe quand les gens se plaignent, au lieu d’interdire expressément le placement (et le paiement) d’annonces avec ces termes.
Google a déclaré à BreachTrace qu’il s’appuie sur une combinaison de technologie et de personnes pour appliquer ses politiques.
« Nous avons une annonce stricte Stratégies conçu pour protéger les utilisateurs sur nos plates-formes », a déclaré Google dans un communiqué écrit. « Nous interdisons les publicités qui permettent un comportement malhonnête, y compris les services qui cherchent à profiter ou à causer du tort aux utilisateurs. Lorsque nous trouvons une annonce qui enfreint nos politiques, nous prenons des mesures. Dans ce cas, nous avons rapidement supprimé les publicités.
Google a souligné un récent article de blog détaillant ses efforts d’application à cet égard, qui a déclaré qu’en 2019, la société avait supprimé plus de 2,7 milliards d’annonces qui enfreignaient ses politiques – soit plus de 10 millions d’annonces par jour – et qu’elle avait supprimé un million de comptes d’annonceurs pour la même raison.
L’annonce illustrée ci-dessus a cessé d’apparaître peu de temps après que je les ai contactées. Malheureusement, une annonce pour un service de démarrage différent (illustré ci-dessous) a rapidement remplacé celle qu’ils ont retirée.