Centre de cybercriminalité de Microsoft.
Microsoft
Les gouvernements et l’industrie technologique du monde entier se sont efforcés ces dernières années de freiner la montée de l’escroquerie et de la cybercriminalité en ligne. Pourtant, même avec les progrès en matière de défense numérique, d’application et de dissuasion, les attaques de ransomwares, les compromissions de messagerie professionnelle et les infections de logiciels malveillants continuent de se produire. Au cours de la dernière décennie, la Digital Crimes Unit (DCU) de Microsoft a élaboré ses propres stratégies, à la fois techniques et juridiques, pour enquêter sur les escroqueries, démanteler les infrastructures criminelles et bloquer le trafic malveillant.
La DCU est bien entendu alimentée par la taille massive de Microsoft et la visibilité sur Internet que procure la portée de Windows. Mais les membres de l’équipe DCU ont répété à plusieurs reprises à WIRED que leur travail était motivé par des objectifs très personnels de protection des victimes plutôt que par un vaste programme politique ou un mandat d’entreprise.
Dans sa dernière action, la DCU a annoncé mercredi soir des efforts visant à perturber un groupe de cybercriminalité que Microsoft appelle Storm-1152. Intermédiaire dans l’écosystème criminel, Storm-1152 vend des services logiciels et des outils tels que des mécanismes de contournement de la vérification d’identité à d’autres cybercriminels. Le groupe est devenu le premier créateur et fournisseur de faux comptes Microsoft, créant environ 750 millions de comptes frauduleux que l’acteur a vendus pour des millions de dollars.
La DCU a utilisé des techniques juridiques qu’elle a perfectionnées au fil des années en matière de protection de la propriété intellectuelle pour lutter contre la tempête 1152. L’équipe a obtenu le 7 décembre une ordonnance du tribunal du district sud de New York pour saisir une partie de l’infrastructure numérique du groupe criminel aux États-Unis et supprimer des sites Web, notamment les services 1stCAPTCHA, AnyCAPTCHA et NoneCAPTCHA, ainsi qu’un site vendant de faux Comptes Outlook appelés Hotmailbox.me.
La stratégie reflète l’évolution de la DCU. Un groupe appelé « Digital Crimes Unit » existe chez Microsoft depuis 2008, mais l’équipe dans sa forme actuelle a pris forme en 2013 lorsque l’ancienne DCU a fusionné avec une équipe de Microsoft connue sous le nom d’Intellectual Property Crimes Unit.
« Les choses sont devenues beaucoup plus complexes », déclare Peter Anaman, chercheur principal de la DCU. « Traditionnellement, une ou deux personnes travaillaient ensemble. Maintenant, lorsque vous envisagez une attaque, il y a plusieurs joueurs. Mais si nous pouvons le décomposer et comprendre les différentes couches impliquées, cela nous aidera à avoir plus d’impact.
L’approche technique et juridique hybride de la DCU pour lutter contre la cybercriminalité est encore inhabituelle, mais à mesure que l’écosystème cybercriminel a évolué – parallèlement à ses chevauchements avec des campagnes de piratage soutenues par l’État – l’idée d’employer des stratégies juridiques créatives dans le cyberespace est devenue plus courante. Ces dernières années, par exemple, WhatsApp, propriété de Meta, et Apple ont tous deux engagé des poursuites judiciaires contre le célèbre fabricant de logiciels espions NSO Group.
Pourtant, la progression particulière de la DCU était le résultat de la domination unique de Microsoft lors de l’essor de l’Internet grand public. Alors que la mission du groupe devenait plus précise face aux menaces de la fin des années 2000 et du début des années 2010, comme le ver très répandu Conficker, l’approche peu orthodoxe et agressive de la DCU a parfois suscité des critiques pour ses retombées et son impact potentiel sur les entreprises et les sites Web légitimes.
« Il n’existe tout simplement aucune autre entreprise qui adopte une approche aussi directe pour lutter contre les fraudeurs », a écrit WIRED dans un article sur la DCU d’octobre 2014. « Cela rend Microsoft plutôt efficace, mais aussi un peu effrayant, disent les observateurs. »
Richard Boscovich, avocat général adjoint de la DCU et ancien procureur adjoint des États-Unis dans le district sud de la Floride, a déclaré à WIRED en 2014 qu’il était frustrant pour les personnes au sein de Microsoft de voir des logiciels malveillants comme Conficker se déchaîner sur le Web et d’avoir l’impression que l’entreprise pourrait améliorer les défenses de ses produits, mais ne fait rien pour s’attaquer directement aux acteurs derrière ces crimes. Ce dilemme a stimulé les innovations de la DCU et continue de le faire.
« Qu’est-ce qui affecte les gens ? C’est ce qu’on nous demande de faire, et nous avons développé la capacité de changer et de nous attaquer à de nouveaux types de criminalité », déclare Zoe Krumm, directrice de l’analyse de la DCU. Au milieu des années 2000, dit Krumm, Brad Smith, aujourd’hui vice-président et président de Microsoft, a joué un rôle moteur dans l’attention portée par l’entreprise à la menace du spam par courrier électronique.
« La DCU a toujours été un peu une équipe d’incubation. Je me souviens que tout d’un coup, c’était comme : « Nous devons faire quelque chose contre le spam. » Brad vient dans l’équipe et il dit : « OK, les gars, élaborons une stratégie. » Je n’oublierai jamais que c’était simplement : « Maintenant, nous allons nous concentrer ici. » Et cela a continué, qu’il s’agisse de l’évolution des logiciels malveillants, de la fraude au support technique, de l’exploitation des enfants en ligne ou de la compromission de la messagerie professionnelle.