Un chercheur en sécurité a réussi à retracer le fonctionnement d’un des plus importants réseaux de spammeurs. Son récit est édifiant.
«Cheap Viagra», «Cialis Discount», pilules pour «stimuler votre virilité» ou pour perdre de l’embonpoint… D’où proviennent donc ces messages qui polluent nos boîtes aux lettres? Leurs auteurs pensent-ils vraiment que des gogos vont tomber dans le panneau? Brian Krebs, un ancien reporter du Washington Post reconverti dans la sécurité informatique, apporte aujourd’hui des réponses à ces questions. Il a réussi à mettre la main sur la base de données d’un des plus grands réseaux de distribution illégale de médicaments sur Internet, Glavmed.
Ce groupe, qui opère depuis la Russie, a gagné la bagatelle de 150 millions de dollars entre mai 2007 et juin 2010 en traitant plus de 1,5 million de commandes ! Preuve qu’il existe des acheteurs pour ce type de produits. «Si vous avez reçu ces dernières années des courriers non sollicités vantant des pilules pour améliorer votre virilité ou pour résoudre vos problèmes d’érection, il y a de grandes chances pour qu’ils proviennent d’un membre du réseau Glavmed, signale Brian Krebs. Les sites sur lesquels renvoient ces messages, mieux connus sous le nom de Canadian Pharmacy, étaient de loin les plus représentés dans les spams avant juin 2010.»
Une véritable entreprise
À l’origine de ce business très rentable, l’homme d’affaires russe Igor Gusev, 32 ans. Poursuivi fin 2010 pour ses activités illégales, il est actuellement en fuite. Le modèle économique de Glavmed reprenait celui d’une véritable entreprise, avec ses filiales, son réseau de partenaires, ses associés, sa base de données clients et ses livres de comptes.
Pour diffuser ses publicités, essentiellement au Canada et aux États-Unis, Glavmed s’appuyait sur l’organisation SpamIt.com, le plus grand pourvoyeur de pourriel au monde, dont Gusev lui-même serait un des fondateurs. SpamIt.com rémunérait des spammeurs pour vanter les mérites des pharmacies en ligne de Glavmed, le plus souvent par l’intermédiaire d’ordinateurs zombis, des PC de particuliers contrôlés à distance par des pirates. «Peu après que les charges retenues contre Gusev ont été rendues publiques, SpamIt.com a fermé, raconte Krebs. En conséquence, le volume de spams qui se déversait dans les boîtes aux lettres du monde entier a subitement chuté.»
Selon M86 Security Labs, le nombre de publicités abusives a diminué de 40 % à cette période. En cessant ses activités, SpamIt.com ne pouvait plus payer les spammeurs… qui ont alors cherché d’autres partenariats.
Plus de 2500 «partenaires» ont ainsi bénéficié de commissions (à hauteur de 40 % du prix de vente des articles) pour promouvoir les sites de pharmacie de Glavmed ou pour enregistrer les commandes de médicaments contrefaits. Gusev leur fournissait un modèle de formulaire qu’ils pouvaient déployer sur des sites ou sur des ordinateurs piratés. «Huit sur dix des principaux revendeurs ont gagné plus de 1 million de dollars en commissions, précise Krebs en s’appuyant sur les livres de comptes de Glavmed. Les meilleurs partenaires pouvaient espérer des commissions mensuelles comprises entre 5000 et 50.000 dollars.» Les sommes transitaient à l’aide du système WebMoney, l’équivalent russe de PayPal. Détail insolite : les partenaires de Glavmed étaient invités à céder une partie de leurs commissions au profit d’une association pour les orphelins et les enfants défavorisés…
Règlement de comptes
Pour attirer d’autres clients, Glavmed avait également recours au piratage de sites Web pour rerouter les internautes sur sa pharmacie en ligne et à des stratagèmes qui lui permettaient de figurer en bonne place dans les moteurs de recherche Internet. Les ventes auraient permis à Glavmed d’empocher environ 50 millions de dollars par an entre 2007 et 2010. Sans parler de probables malversations, comme le souligne le site Spamtracker, qui met en garde contre les risques de fraude à la carte bancaire: «Les visiteurs qui se rendent sur ces sites (Canadian Pharmacy) sont prévenus que leurs commandes ne sont pas sécurisées.» Le certificat produit par la pharmacie en ligne est bidon et la transaction n’est pas cryptée.
Les informations auxquelles Brian Krebs a pu avoir accès, qui ont été transmises aux autorités judiciaires américaines, représentent un total de 9 Go de fichiers. «Cette base de données se présente comme une véritable galerie de fripouilles du Web souterrain, écrit-il sur son blog. On y trouve des surnoms, des numéros de messagerie instantanée, des adresses électroniques et des informations sur les comptes bancaires des pirates et des spammeurs les plus célèbres d’Internet.»
Comment Krebs a-t-il pu obtenir cette base de données ? Vraisemblablement à la suite d’un règlement de comptes entre ex-associés. Gusev avait en effet cofondé huit ans plus tôt le service de paiement en ligne ChronoPay avec un autre entrepreneur russe, Pavel Vrublevsky. Or, une grande partie des documents qui incriminent Gusev proviennent de ChronoPay, ce qui laisse penser à Brian Krebs que Vrublevsky voulait couler son ancien associé. Pour quelle raison? Pour pouvoir lancer sa propre pharmacie en ligne, Rx-Promotion. Sans concurrence. Une opération qui sera facilitée lorsque Vrublevsky récupérera la base de données clients de Gusev. Dans un des e-mails dévoilés par Krebs, un intermédiaire la propose à Vrublevsky au prix de 15.000 dollars pour environ 800.000 fiches clients. Dans le même temps, la majorité des serveurs jusqu’ici utilisés par Gusev ont été victimes d’attaques informatiques…
Comme le soulignent plusieurs experts, les activités de Gusev ont bénéficié d’un vide juridique dans la législation russe sinon d’une forme de laisser-aller. Sans doute parce qu’elles embarrassent moins la Russie que les États-Unis ou l’Europe de l’Ouest.
La situation a évolué en 2010. Favorable à une véritable économie Internet, le président Medvedev cherche désormais à en finir avec l’image négative des informaticiens russes. Et les plaintes en provenance d’officiels américains, dont le gouverneur Arnold Schwarzenegger, ont sans doute encouragé son gouvernement à accélérer les choses. Mais alors que les escrocs comme Gusev pouvaient facilement être identifiés et condamnés, ce changement de politique va inévitablement conduire ses alter ego à passer dans la clandestinité. Et donc à devenir plus difficiles à appréhender.
Source : Le Figaro