Parce que… c’est l’épisode 0x592!
Shameless plug
03 au 05 juin 2025 - Infosecurity Europe
27 et 29 juin 2025 - LeHACK
12 au 17 octobre 2025 - Objective by the sea v8
10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
17 au 20 novembre 2025 - European Cyber Week
25 et 26 février 2026 - SéQCure 2026
Description
Introduction et présentation
Ce podcast présente une collaboration spéciale entre Nicolas et Philippe Chevalier, cofondateur avec sa femme Bonnie de l’agence de cyberenquête Sarx, une agence canadienne de détective privé spécialisée dans les investigations en ligne. Philippe prend soin de distinguer son travail des clichés véhiculés par les films noirs et séries télévisées, où les détectives privés sont souvent dépeints comme des alcooliques dépressifs roulant dans de vieilles voitures. Au contraire, il se présente comme un “détective corporatif” ou “détective d’affaires” qui utilise principalement des méthodes de cyberenquête pour servir les entreprises, banques, avocats, notaires, assureurs et investisseurs ayant des motifs légitimes d’enquête.
L’évolution de la cybercriminalité moderne
L’agence travaille notamment sur les fraudes impliquant des cryptoactifs, mais leur spécialité reste la cyberenquête. Philippe explique que pour combattre efficacement les cyberattaquants, il faut les comprendre, s’intéresser à leur mentalité et leur culture. C’est pourquoi son équipe maintient une présence sous pseudonymes sur des forums spécialisés depuis plusieurs années, développant une crédibilité qui leur permet d’observer et comprendre ces milieux.
Cas d’étude : Le jeune cybercriminel du Monténégro
Philippe relate l’histoire fascinante de Darian, un jeune cybercriminel du Monténégro qui illustre parfaitement l’organisation moderne de la cybercriminalité. Ce jeune homme travaille dans ce qui était autrefois des cybercafés, transformés aujourd’hui en véritables bureaux de “hackers à loué” - des agences de cybercriminels mercenaires. Ces établissements affichent ouvertement leurs services avec des panneaux en bois, situés ironiquement à seulement 400 mètres du quartier général de la police locale, démontrant une tolérance inquiétante de ces activités dans certains pays.
Darian reçoit quotidiennement des listes de cibles à attaquer, incluant des PME québécoises qu’il ne saurait même pas localiser sur une carte. Sa méthode de travail est structurée : il dispose de 20 à 30 minutes maximum pour tenter une attaque par force brute contre chaque cible. S’il évalue que l’attaque peut réussir dans ce délai, il poursuit ; sinon, il passe à la cible suivante pour maintenir sa productivité. Si l’attaque technique montre des signes de succès, il peut alors déployer des techniques d’ingénierie sociale après un délai de 15 à 20 minutes.
L’outil Vénus et les techniques d’intimidation
L’outil principal utilisé par Darian est un logiciel de cyberespionnage appelé Vénus, relativement ancien et peu performant, mais désormais quasi-gratuit. Sa force réside dans sa capacité à faire croire à la victime que ses systèmes ont été complètement compromis et que toutes ses données sont en cours de décryptage. Vénus peut capturer des données cryptées et produire des captures d’écran que le pirate présente comme “preuve” de son intrusion réussie, créant un effet d’intimidation psychologique puissant.
La stratégie de fraude à l’assurance
L’aspect le plus pervers de cette histoire révèle une connaissance approfondie du marché local. Darian possédait des informations sur les contrats de cyberassurance des PME québécoises, notamment les deux principaux fournisseurs. Lorsqu’il a réussi à compromettre une ONG québécoise, il a proposé un marché particulièrement vicieux : sachant que l’organisation avait une assurance couvrant 50 000 dollars en cas de cyberattaque, il a offert de “collaborer” pour démontrer l’attaque en échange de seulement 8 000 dollars, permettant à la victime de récupérer la prime d’assurance.
Cette stratégie diabolique transforme la victime en complice d’une fraude aux assurances. Si l’organisation acceptait cette proposition, elle devenait automatiquement coupable de fraude et ne pouvait plus faire machine arrière, car le cybercriminel détenait des preuves matérielles de sa volonté de frauder sa compagnie d’assurance. Cette compromission garantissait le paiement des 8 000 dollars réclamés.
Le facteur humain : 99% de la réussite des attaques
Philippe insiste sur un point crucial : contrairement à la perception populaire, 99% des cyberattaques réussissent grâce au facteur humain plutôt qu’à la technologie. Leurs tests de pénétration confirment cette réalité : tandis que les attaques par force brute échouent de plus en plus souvent grâce à l’amélioration des défenses techniques, le taux de réussite des attaques par ingénierie sociale continue d’augmenter.
Cette situation s’explique par les investissements considérables réalisés dans la sécurité technique au cours des dernières années, rendant les systèmes relativement robustes. Cependant, l’élément humain a été négligé dans cette course à la sécurisation. Philippe utilise une métaphore éclairante : même avec une porte blindée très résistante, si la clé reste cachée sous le paillasson, l’attaquant n’essaiera pas de forcer la serrure mais cherchera simplement la clé.
L’évolution des techniques d’approche
Les cybercriminels modernes ont abandonné l’approche “brute force” consistant à envoyer massivement des courriels malveillants en espérant qu’une victime mordra à l’hameçon. Ils privilégient désormais une approche plus sophistiquée basée sur l’établissement de confiance progressive. Philippe explique qu’ils envoient d’abord deux ou trois courriels légitimes sans contenu malveillant, engageant une conversation normale avec leur cible. Cette stratégie permet de contourner les systèmes de défense automatisés qui, reconnaissant l’expéditeur comme “familier” lors du quatrième courriel, baissent leur garde et laissent passer la pièce jointe piégée.
Cas pratique : L’attaque contre le cabinet d’avocats
Philippe illustre cette évolution avec un test de pénétration réalisé pour un cabinet d’avocats. Après avoir analysé minutieusement le profil d’un avocat prestigieux - ses formations, ses professeurs à l’université, ses prises de position idéologiques publiques, ses domaines d’expertise - il a conçu un courriel de trois paragraphes seulement. Ce message ne contenait pas de flatterie grossière, mais utilisait le vocabulaire spécifique et les références intellectuelles de la cible, présentant un cas urgent mais plausible de harcèlement au travail dans une grande entreprise.
L’avocat, pourtant informé qu’un test de pénétration aurait lieu cette semaine-là, a ouvert la pièce jointe piégée sans même remarquer l’alerte de sécurité demandant d’autoriser les macros. Interrogé après coup, il n’avait aucun souvenir de ce message d’alerte, tellement le contenu du courriel l’intriguait et correspondait à ses préoccupations professionnelles.
L’exploitation des réseaux sociaux professionnels
LinkedIn représente un terrain de jeu particulièrement fertile pour les cybercriminels. Cette plateforme combine les aspects d’un réseau social traditionnel avec des informations professionnelles détaillées, permettant aux attaquants de collecter facilement les opinions idéologiques, les positions économiques et politiques des cibles. Ces informations permettent de créer une fausse complicité, une connivence artificielle qui facilite l’approche.
Les petits groupes de cybercriminels gèrent désormais entre 800 et 1000 faux profils simultanément. Pour rendre ces profils crédibles, ils utilisent une technique particulièrement efficace : si un faux profil prétend être ingénieur chez Hydro-Québec, ils sollicitent des connexions avec de vrais employés de l’entreprise travaillant dans d’autres départements. Par esprit d’entreprise ou simple politesse professionnelle, ces employés acceptent souvent ces demandes de connexion, donnant une crédibilité immédiate au faux profil.
L’intelligence artificielle au service du crime
L’utilisation de l’intelligence artificielle permet désormais de créer des commentaires sophistiqués et personnalisés sur les publications des cibles. Philippe observe avec inquiétude que LinkedIn devient parfois un théâtre où des IA dialoguent entre elles : publications générées par IA, commentaires automatisés, réponses robotisées, créant un écosystème artificiel difficile à distinguer de interactions humaines authentiques.
Une fois le contact établi, les criminels envoient des messages privés soigneusement conçus qui félicitent leurs cibles pour la pertinence de leurs publications. Ces messages flattent l’ego des victimes, particulièrement lorsqu’ils semblent provenir de profils séduisants et impressionnants - des diplômés brillants ayant travaillé en Allemagne dans la recherche, par exemple.
Le piège de la messagerie privée
La messagerie LinkedIn présente une vulnérabilité particulière car les utilisateurs ont l’illusion d’être dans un environnement sécurisé. En réalité, cette messagerie ne dispose d’aucune protection contre les pièces jointes malveillantes ou les liens piégés vers de fausses vidéoconférences Zoom ou Teams. Les utilisateurs, croyant être “entre eux”, baissent leur garde de façon dramatique.
L’acronyme MICE : les leviers de manipulation
Philippe introduit l’acronyme MICE (Monnaie, Idéologie, Compromission, Ego) pour expliquer les différents leviers utilisés par les cybercriminels. La compromission représente un aspect particulièrement préoccupant, notamment le chantage de nature sexuelle visant les professeurs d’université et chercheurs. Lorsque ces derniers cliquent sur un lien vers une supposée vidéoconférence professionnelle, ils se retrouvent dans des situations compromettantes qui deviennent des outils de chantage particulièrement destructeurs dans le milieu académique.
La valeur marchande des données personnelles
Les données personnelles volées constituent une véritable monnaie parallèle dans l’économie criminelle. Un paquet de 300 données de citoyens canadiens ne vaut pratiquement rien individuellement, mais 3000 données peuvent atteindre 50 dollars. Plus important encore, ces données servent de “jetons de prestige” permettant d’accéder à des groupes de cybercriminels de niveau supérieur. Détenir 300 000 données personnelles européennes devient une preuve de compétence et de valeur dans cette hiérarchie criminelle.
La manipulation psychologique des jeunes criminels
Philippe révèle un aspect troublant de ces organisations : elles manipulent leurs propres employés en leur injectant l’idée que leurs cibles ne sont pas des victimes mais des “clients”. Cette propagande interne vise à réduire les barrières morales en convainquant ces jeunes qu’ils sont des champions intelligents qui s’occupent de clients plutôt que de commettre des délits. Cette déshumanisation des victimes facilite la perpétration des crimes.
L’espoir de rédemption
Malgré ce tableau sombre, Philippe termine sur une note d’espoir en expliquant que cette mentalité criminelle reste réversible. Il raconte l’histoire de son meilleur cyberenquêteur, un ancien “white hat” qui a basculé du bon côté de la force au lycée lorsqu’une amie s’est fait harceler en ligne. En utilisant ses compétences techniques pour aider cette victime, tracer son harceleur et monter un dossier pour la police, ce jeune a découvert l’utilisation positive de ses talents.
Conclusion : l’importance du contexte social
Cette histoire illustre parfaitement comment l’orientation éthique de ces jeunes talents dépend largement du contexte social et des incitations qu’ils rencontrent. La société peut choisir de diaboliser le terme “hacker” et pousser ces esprits curieux vers la criminalité, ou au contraire reconnaître leur curiosité comme une qualité précieuse et les orienter vers des applications positives comme la cybersécurité éthique.
Philippe conclut en soulignant que la lutte contre la cybercriminalité ne se gagne pas seulement par la technologie, mais par la compréhension des facteurs humains et sociaux qui poussent certains individus vers le crime numérique. L’éducation, la sensibilisation et l’offre d’alternatives positives restent nos meilleures armes contre ces menaces en constante évolution.
Notes
ASIMM
Collaborateurs
Nicolas-Loïc Fortin
Philippe Chevalier
Crédits
Montage par Intrasecure inc
Locaux réels par Cybereco
France