Par Guillaume DEBOUT, Consultant mc2i
Le MaaS, Malware as a Service (ne pas confondre avec Mobility as a Service), est un modèle d’exploitation de logiciels malveillants donnant à n’importe qui la possibilité de monter des attaques informatiques plus ou moins complexes, au travers de différentes technologies. Comment s’organise ce nouveau marché, et quels en sont les services et les coûts associés ?
Le MaaS sur Internet
Acheter des logiciels malveillants devient de plus en plus à la portée de tout le monde. Si l’accès au darknet, principale centrale d’achat de ces programmes informatiques, est une barrière pour certains et peut faire frein (nécessite l’utilisation de logiciels spécifiques tel que Tor/VPN/etc.), il est également possible d’en trouver sur Internet.
En effet, des forums mettent en relation des vendeurs avec de potentiels acheteurs en offrant tout un catalogue d’attaques informatiques et de formations sur un large choix de sujets.
Par exemple, il est possible d’acheter un keylogger (malware permettant de récupérer l’ensemble des touches du clavier tapées par un utilisateur) valable 6 mois pour une vingtaine d’euros. À cela, il est possible de se procurer un kit permettant de dissimuler ce logiciel malveillant à l’intérieur d’un programme (binder) ou encore la possibilité de modifier le code du malware pour le rendre de nouveau indétectable par les antivirus si jamais sa signature virale (empreinte unique d’un logiciel malveillant) leur était connue.
Si l’envie de passer à l’action ne vous tente pas, vous pouvez tout de même suivre des formations pour créer un malware ou apprendre sur des sujets liés aux attaques informatiques.
On peut donc envisager la possibilité de combiner ces différentes techniques pour créer une attaque informatique redoutable, et ce, sans connaissances en sécurité informatique particulières. Sur ces forums, les vendeurs sont également notés par les clients comme n’importe quel autre site de e-commerce. Certains proposent même une assistance gratuite ou payante en cas de problème avec le logiciel acheté.
Pour les autorités, il est compliqué de faire fermer ces forums puisqu’ils sont généralement hébergés dans des pays étrangers et peu coopératifs (Suisse, Islande, Suède…). Certains pays hébergeurs protègent leurs clients et les requêtes judiciaires de la Police ont peu de chance d’aboutir.
Le MaaS sur le darknet
Sur le darknet, le MaaS est un business qui peut s’avérer très lucratif. Du fait de l’écosystème assurant l’anonymisation des vendeurs et des acheteurs, les malwares sont plus facilement trouvables et surtout plus perfectionnés. Des développeurs ont, par exemple, mis en location mensuelle un malware sous forme de kit pour 3500 à 7000 dollars.
On peut facilement imaginer qu’un individu ayant une rancœur envers son ancienne société, puisse commander une attaque DDoS et ainsi paralyser leur système d’information afin de leur faire perdre de l’argent. Par exemple, il est possible de louer les services d’un prestataire externe pour effectuer ce type d’attaque à 25 dollars de l’heure. Ce chiffre est risible comparé aux coûts moyens estimés de l’impact que ce genre d’attaque peut avoir sur une entreprise : environ 250 000 dollars par heure selon une étude menée par Neustar.
Ce modèle obéit aux lois du marché : plus les logiciels sont perfectionnés et plus les coûts sont élevés, de même que plus un certain type de malware est disponible sur le marché, et plus son prix baisse. Le prix peut également varier en fonction des services choisis (achat du malware, achat du vecteur de diffusion de ce malware, souscription au service après-vente, souscription au maintien en condition opérationnelle du malware, etc.). Le MaaS peut ainsi fournir un support 24/7 et une assistance téléphonique en cas de problème.
La vente de malwares peut être orchestrée par de simples individus isolés ou par des organisations structurées et multi-disciplinaires (conception, développement, publicité, vente, etc.) et leur achat se fait généralement par crypto-monnaie, mais peut également être effectué par PayPal ou Paysafecard.
Les attaques informatiques ne sont plus uniquement réservées à des développeurs, des pirates ou des spécialistes de failles informatiques. Une personne malveillante sans réelles compétences peut réussir à monter une attaque informatique complexe en achetant directement les logiciels sur le darknet, voire même sur Internet. Aucun chiffre officiel n’existe pour le moment, mais cette économie pourrait représenter plusieurs milliards de dollars.
Comme indiqué dans l’étude menée par cybereason sur le keylogger « Phoenix », la facilité d’utilisation, la compétitivité des prix et le service client proposé en cas de problème sont des éléments augmentant l’attractivité du MaaS et joueront un rôle prépondérant sur sa popularité dans les années à venir.