Systèmes escrow sur les forums cybercriminels : « Le bon, la brute et le truand »

Systèmes escrow sur les forums cybercriminels : « Le bon, la brute et le truand »
Photon Research Team
Read More From Photon Research Team
October 1, 2020 | 18 Min Read

Il y a quelques mois à peine, l’univers cybercriminel russe était secoué par la nouvelle d’une procédure d’arbitrage impliquant un membre respecté de la communauté et l’un des collectifs de ransomware les plus connus au monde. Cette affaire – qui portait sur les agissements d’un garant de forum à la réputation jusque-là sans tache – nous a amenés à réfléchir sur les différentes facettes du système escrow, ou dépôt fiduciaire, mis en place sur les forums cybercriminels de différentes communautés linguistiques, ainsi que sur ses points forts et ses faiblesses.

Avant d’entrer dans le vif du sujet, commençons par une petite explication de certains termes : 

L’arbitrage est un système formalisé mis en place sur de nombreuses plateformes russes et grâce auquel un membre du forum qui s’estime lésé lors d’une transaction peut introduire une plainte contre l’autre partie. Un membre de confiance de l’équipe du forum entend les deux versions et recueille les preuves fournies par le plaignant et le défendeur (généralement sous la forme de journaux de conversations issus de services de messagerie privée). Dans ce type d’affaire, il arrive souvent que d’autres membres du forum soumettent leur opinion ou fassent part de leur expérience s’ils ont eux-mêmes eu affaire à l’une des parties. Le tiers de confiance désigné au sein du forum prend tous ces éléments en compte pour rendre sa décision et peut exiger le remboursement des fonds ou le versement d’une indemnité, ou encore signaler l’un des utilisateurs comme « fraudeur » et lui interdire l’accès au forum.

Wikipedia définit l’escrow, ou dépôt fiduciaire, comme suit : « un arrangement conclu en vertu de dispositions contractuelles entre les diverses parties d’une transaction et pour lequel un tiers de confiance indépendant reçoit et débourse l’argent ou les documents pour les diverses parties prenant part à la transaction ». Le terme, d’origine anglo-saxonne, est plus connu aux États-Unis dans le contexte des achats immobiliers. Sur les forums cybercriminels, il décrit un arrangement en vertu duquel, après accord sur une transaction, l’acheteur envoie des fonds via l’intermédiaire d’une partie neutre, appelée tiers de confiance. Ce dernier ne débloquera les fonds pour les remettre au vendeur qu’après avoir reçu confirmation de l’acheteur que les biens ou services reçus du vendeur répondent aux attentes ou aux conditions convenues lors de la transaction. Il peut arriver que le tiers de confiance conserve un pourcentage des fonds versés en contrepartie du service rendu. Le système vise à limiter le risque d’arnaque tant pour les acheteurs que les vendeurs et à garantir que chaque partie obtienne ce qui était prévu. Sur les plateformes cybercriminelles, de nombreux vendeurs utilisent systématiquement un service escrow pour leurs transactions. D’ailleurs, un refus de leur part d’y avoir recours est souvent révélateur d’un problème et devrait inciter à la méfiance. 

COMPLICATIONS DU SYSTÈME ESCROW 

Forums cybercriminels russes

Les systèmes escrow sont très répandus sur les forums cybercriminels russes. La plupart des plateformes offrent un service escrow officiel à leurs membres et désignent souvent l’un des doyens de leur équipe comme tiers de confiance. Prenons comme exemples Exploit et XSS. 

escrow
Annonce du service escrow d’Exploit

Sur les deux sites, l’acheteur et le vendeur doivent remplir un formulaire de dépôt fiduciaire et contacter le tiers de confiance du forum via le service de messagerie Jabber. Ensuite, l’acheteur vire les fonds au tiers de confiance, le vendeur transfère les biens à l’acheteur et, si ce dernier est satisfait, il autorise le tiers de confiance à remettre les fonds au vendeur. La commission prélevée par ces services escrow varie entre 3 et 10 %, en fonction de divers facteurs. Ainsi, la part conservée peut être augmentée en raison du montant de la transaction, des risques potentiels ainsi que du type de biens concernés. La commission doit être payée, indépendamment du résultat de la transaction. Exploit a récemment créé un nouveau compte officiel de dépôt fiduciaire pour le forum avec son propre ID Jabber officiel. La responsabilité financière des transactions réalisées via ce compte relève du forum. Sur le site XSS, c’est à l’administrateur qu’est confié ce rôle.

XSS-escrow
Annonce du service escrow de XSS

Forums cybercriminels anglais

Les forums cybercriminels anglais sont beaucoup moins susceptibles d’avoir un système escrow officiel que leurs homologues russes. Les vendeurs et les acheteurs dépendent souvent d’autres utilisateurs du forum, de préférence des membres « respectés », qui acceptent ponctuellement ce rôle de tiers de confiance. Torum fait cependant figure d’exception avec son modèle escrow qui semble imiter le système russe. En septembre 2019, trois membres de la plateforme ont été désignés, après vérification préalable, comme garants officiels chargés de superviser le processus escrow du forum : « Terminal », « Chargen19 » et « TheAngryDwarf ». Il n’a pas fallu longtemps pour qu’il n’en reste plus qu’un seul puisque les services escrow fournis par Chargen19 et Terminal ont été supprimés en septembre 2019 pour le premier et en février 2020 pour le second. Actuellement, le dernier modérateur des services escrow de Torum, TheAngryDwarf, prélève une commission de 2 % sur les transactions et accepte le Bitcoin et le Monero.

TorumEscrowModerators
Modérateurs des services escrow de Torum

Même si les administrateurs des forums en anglais ne fournissent généralement pas de services escrow, ils conseillent généralement aux parties à la transaction de faire appel à un tiers agissant à titre de garant. Par exemple, dans les procédures d’arbitrage qu’il nous a été donné d’observer, nous avons constaté à plusieurs reprises que les administrateurs de forum reprochaient à l’acheteur ayant déposé une plainte pour fraude contre un vendeur de ne pas avoir procédé aux vérifications d’usage avant l’achat. Il est clair que les systèmes escrow ont globalement gagné en popularité mais leur usage reste toutefois limité au sein de la communauté cybercriminelle anglophone.

TorumEscrowProcess
Modérateur actuel des services escrow de Torum – Extrait des consignes relatives aux transactions avec dépôt fiduciaire

Forums cybercriminels allemands 

Poursuivons notre voyage pour découvrir ce qu’il en est chez nos voisins allemands. Sur les forums cybercriminels de cette communauté linguistique, le système escrow (« Treuhand » en allemand) est beaucoup plus répandu. Il repose sur un modèle standard qui consiste à bloquer les fonds sur un compte de tiers jusqu’à ce que l’acheteur et le vendeur soient satisfaits des conditions de la transaction.

Certains forums allemands sont allés plus loin et proposent un système escrow appelé « Multisig ». En vertu de cet arrangement, les deux parties à la transaction saisissent la clé publique de leur portefeuille Bitcoin. Le système génère ensuite un portefeuille de cryptomonnaie multisignature dans lequel l’acheteur peut déposer ses fonds. Une fois la transaction vérifiée, le vendeur peut vendre les biens à l’acheteur, après quoi ce dernier confirme la qualité de l’achat et les fonds sont remis au vendeur. La libération des fonds dans un sens ou l’autre exige que deux des trois participants (acheteur, vendeur et tiers de confiance) s’entendent sur le versement du paiement. En d’autres termes, le tiers de confiance ne peut pas garder l’argent pour lui. Si d’autres systèmes escrow, par exemple ceux des forums cybercriminels russes et anglais, adoptaient ces garde-fous supplémentaires, ils offriraient un cadre plus rassurant. 

Crimenetwork
Formulaire de dépôt fiduciaire de Crimenetwork

Le forum cybercriminel allemand Crimenetwork constitue un excellent exemple de service escrow formalisé. Il propose deux systèmes, qui sont l’un comme l’autre automatisés grâce à l’utilisation d’une plateforme de paiement de type « tableau de bord » et prélèvent une commission de 5 % sur chaque transaction. En cas de litige, seul le garant du forum intervient (en l’occurrence son administrateur).

AD0 CONTRE SODINOKIBI

C’est cette affaire qui a inspiré notre réflexion sur les systèmes escrow. Vers la mi-mars 2020, un nouveau fil de discussion relatif à un arbitrage est apparu sur les célèbres forums cybercriminels russes Exploit et XSS. L’affaire a fait beaucoup de bruit puisque le litige portait sur la coquette somme de 170 000 dollars. La partie requérante était le représentant du groupe de ransomware Sodinokibi (ou REvil), connu sous le nom d’utilisateur UNKN sur le forum Exploit et sous celui d’Unknown sur XSS (Unknown a récemment été remplacé par « ZeleniyHach » pour des raisons inconnues). La partie défenderesse était un utilisateur nommé « AD0 », désigné comme tiers de confiance dans la transaction contestée.

UNKN/Unknown a affirmé avoir passé plusieurs commandes à un autre membre du forum et s’être adressé à AD0 pour garantir ces transactions, d’une valeur totale de 170 000 dollars. Il a déclaré avoir versé le montant de ces commandes à AD0, sans que le vendeur ne reçoive jamais les fonds. Lorsque les deux parties ont interrogé AD0 sur la raison du problème, ce dernier a répondu que les fonds étaient « bloqués » mais que la situation serait bientôt résolue. Le montant n’ayant toujours pas été versé une semaine plus tard, la transaction est tombée à l’eau. UNKN/Unknown a donc demandé à AD0 de lui restituer les fonds, ce qu’il n’a apparemment pas fait. Selon les dires d’UNKN/Unknown, AD0 aurait utilisé l’argent qui lui avait été confié pour spéculer sur le marché des cryptomonnaies, dans l’espoir de profiter des fluctuations du taux de change du dollar. AD0 a rétorqué qu’il ne contestait pas la plainte mais qu’il s’agissait de son problème. Il a néanmoins publié par la suite des listes des taux de change du Bitcoin pour démontrer qu’il n’aurait pas pu réaliser un bénéfice sur les fonds investis.

UNKIN
Fil de discussion d’UNKN sur l’arbitrage extrait du forum Exploit

Suite à cela, les administrateurs d’Exploit et de XSS ont publié dans les discussions sur l’arbitrage un message indiquant qu’AD0 était exclu des forums. Pour sa part, AD0 a accepté le remboursement de la dette sur trois mois et son exclusion des forums jusqu’à la restitution totale de l’argent, sous réserve d’un examen mensuel de la situation.

SUITE DE L’AFFAIRE… 

Au cours des trois mois suivants, AD0 a remboursé les fonds en plusieurs versements, en dépit des nombreuses demandes de remboursement intégral d’UNKN/Unknown puisque, selon lui, AD0 avait la somme à disposition. À quoi ce dernier a répondu que ce n’était pas nécessaire puisque la sanction – la suspension du forum — le pénalisait suffisamment. D’autres membres des forums Exploit et XSS y sont allés de leurs commentaires dans les fils de discussion consacrés à l’arbitrage et au plan de remboursement, avec des avis très partagés.

À la mi-juin, UNKN/Unknown a fait savoir sur les sites Exploit et XSS que la dette avait été entièrement remboursée et qu’il n’avait plus aucune autre réclamation à l’encontre du défendeur. L’administrateur du forum Exploit s’est réjoui du remboursement de la dette mais a déploré le comportement « inapproprié » d’AD0. Il a ajouté que ce dernier avait « sérieusement abusé de sa notoriété » et, de surcroît, mis en danger les deux forums et sapé la confiance placée dans leurs équipes d’administration. L’administrateur a expliqué qu’en raison de cette perte de confiance, AD0 ne verrait pas son statut modifié et qu’il resterait interdit de participation au forum Exploit. Il a ajouté que l’utilisation des services d’AD0 serait laissée à la discrétion de chacun et que le forum n’engagerait plus sa responsabilité dans les transactions passées avec celui-ci. La décision de l’administrateur a suscité de nombreux commentaires de la part des membres d’Exploit, dont les avis étaient très divergents quant à l’exclusion permanente.

d'AD0 sur Exploit
Annonce du maintien de l’exclusion d’AD0 sur Exploit

Pour sa part, l’administrateur du forum XSS a annulé l’exclusion d’AD0 en mai 2020, après que celui-ci a remboursé 45 000 dollars de sa dette. Il a justifié sa décision de laisser AD0 continuer à utiliser XSS alors qu’il était interdit de participation sur Exploit en faisant valoir que la procédure d’arbitrage s’était déroulée de façon aussi transparente et publique que possible et que les membres du forum disposaient donc des éléments nécessaires pour en tirer leurs propres conclusions.

COMPLICATIONS DU SYSTÈME ESCROW 

Même s’il est intéressant de faire appel à un tiers de confiance pour de multiples raisons, l’arrangement apporte son lot de problèmes. L’inconvénient le plus manifeste du système escrow est de voir le garant abuser de la confiance qui lui a été accordée. L’affaire impliquant AD0 a mis en lumière cette faiblesse majeure du système. En effet, même si les parties à la transaction procèdent aux vérifications d’usage et choisissent un garant jouissant d’une excellente réputation, elles doivent à un moment donné décider de faire confiance à la personne. Le plus consternant dans la procédure d’arbitrage introduite contre AD0 est le fait que ce dernier a passé des années à établir sa crédibilité en tant que tiers de confiance, au point que son alias était à un moment donné synonyme du système escrow lui-même. Dans les milieux clandestins russes, l’affaire a fait grand bruit et en a conduit plus d’un à remettre en question la stabilité du système. 

Par ailleurs, le système escrow présente d’autres défauts :

  • Pour les vendeurs, l’un des inconvénients majeurs des transactions réalisées via un service escrow est la perte financière liée à la commission prélevée. Il n’est pas rare de voir les services escrow officiels prélever jusqu’à 10 % de commission sur les transactions, ce qui érode les profits. 
  • Pour les forums qui offrent un système officiel ou confient à l’un de leurs utilisateurs le soin de gérer le service escrow, un risque potentiel est la responsabilité financière qu’ils doivent alors assumer quant aux actions du garant. Si celui-ci venait à manquer à ses obligations, le forum pourrait être tenu pour responsable. 
  • Les responsables des services escrow ne sont pas disponibles en permanence. Les acheteurs et vendeurs qui souhaitent réaliser rapidement une transaction doivent passer par un processus long et fastidieux : contacter le tiers de confiance, remplir tous les formulaires appropriés et attendre que cette personne se connecte et trouve le temps de superviser la transaction. C’est sans doute l’une des raisons pour lesquelles, en dépit des risques, de nombreux administrateurs de forum désignent d’autres utilisateurs comme tiers de confiance au lieu d’assumer ce rôle : ils sont bien trop occupés à d’autres tâches. On comprend aisément pourquoi il est tentant d’éviter ces pertes de temps et procédures administratives en réalisant des transactions sans passer par un tiers de confiance. 
  • Lorsque la responsabilité des services escrow est confiée à un tiers indépendant, le succès de la transaction dépend fondamentalement du bon vouloir ou de la situation de ce tiers de confiance. Un représentant du service escrow d’un forum peut apprécier la notoriété et le prestige que lui confèrent ce statut officiel, mais l’avidité ou les circonstances personnelles peuvent l’amener à céder à la tentation et à détourner les fonds qui lui sont confiés.
MarketMS
Options offertes par MarketMS en matière de transactions

Certaines plateformes ont tenté de pallier les inconvénients du modèle escrow actuel en introduisant des systèmes automatisés. Ainsi, MarketMS, place de marché dédiée aux cybercriminels aujourd’hui disparue, permettait aux acheteurs de contester la qualité des biens reçus et d’obtenir un remboursement. Les fonds n’étaient versés au vendeur que 72 heures après l’achat et, dans l’intervalle, l’acheteur avait tout loisir d’introduire une procédure d’arbitrage ou de confirmer la transaction. Le choix d’une telle méthode de la part d’un vendeur était censé inspirer confiance à l’acheteur.

Depuis quelques années déjà, Verified, un autre forum cybercriminel russe, améliore régulièrement son système escrow par l’ajout de fonctions automatisées. En mars 2018, le site a notamment apporté les changements suivants : 

  • Les utilisateurs peuvent désormais faire appel à un médiateur en un seul clic pour la résolution des litiges.
  • Ils peuvent lancer la procédure de remboursement en un clic si l’une des parties à une transaction venait à disparaître.
  • Les acheteurs peuvent confirmer les transactions en cliquant sur un bouton, au lieu de devoir passer par de longs échanges de messages.
  • Les utilisateurs peuvent désormais voir les montants reçus par le garant de la transaction. 
verified-escrow-system
Système escrow de Verified

Cela étant, de nombreux cybercriminels restent réticents à l’idée d’utiliser des services escrow entièrement automatisés et ne choisissent ce type de système que pour les transactions de peu de valeur. Par ailleurs, beaucoup apprécient avoir l’avis d’un tiers en cas de problème lors d’une transaction plutôt que s’en remettre entièrement à des systèmes automatisés. Qui plus est, ceux-ci ne sont pas sans risque. De nombreuses places de marché offrent des versions automatisées de système escrow ou conservent les fonds avant de les remettre aux parties à la transaction. Il n’existe pourtant aucune garantie que l’administrateur du site, qui a accès aux fonds déposés sur celui-ci, ne décide pas un beau jour de filer à l’anglaise en emportant l’argent des membres. 

CONCLUSIONS

En dépit des inconvénients du système escrow, aucune solution capable de pallier tous ses défauts et risques potentiels n’existe visiblement à ce jour. En d’autres termes, les cybercriminels ne sont pas près d’abandonner ces services.

Au contraire, certains sites cherchent même à augmenter l’utilisation du dépôt fiduciaire. Le forum Verified, par exemple, s’est toujours attaché à protéger l’accès à son contenu en n’autorisant l’adhésion à sa plateforme que moyennant des frais élevés. Pourtant, vers la fin de l’année 2019, le site a lancé une version d’abonnement gratuite mais limitée, conçue dans le seul but de permettre aux utilisateurs d’utiliser le service escrow du forum. On pouvait lire sur le forum : « Il n’est désormais plus possible d’invoquer l’excuse de ne pas avoir de compte Verified et donc de ne pas pouvoir réaliser des transactions par l’intermédiaire d’un garant. » L’inscription gratuite donne accès à une version très limitée du site, à rien d’autre qu’aux sections du compte escrow automatique et de la liste noire en réalité. 

En janvier 2020, le compte de support du forum a fait savoir que ces améliorations et l’automatisation progressive du service escrow avaient été positifs. Il a annoncé une augmentation des transactions réalisées via ce service, avec « enfin » une belle progression des celles de la tranche de 50 à 300 dollars. Autrement dit, les utilisateurs voyaient de plus en plus dans le service escrow un outil pratique pour réaliser des transactions de façon rapide et sécurisée. En mars 2020, le forum faisait mention de « 50 transactions actives dans le service escrow ». 

Il se peut qu’un nombre croissant de forums décident d’adopter le modèle allemand. Ainsi, la place de marché anglophone Versus est passée à un système « multisignature » et a publié un guide d’utilisation du service à l’intention de ses membres. Cela dit, il est bien plus simple d’essayer un nouveau système sur une plateforme n’ayant que quelques centaines d’utilisateurs que sur un site dont les membres se comptent par milliers. C’est d’ailleurs probablement ce qui empêche les très grandes structures, telles qu’Exploit, de tester de nouveaux systèmes escrow. 

Quelle que soit sa forme et en dépit de son imperfection, le service escrow proposé par les forums cybercriminels – avec quelques modifications ci et là – a encore de beaux jours devant lui.

Access Our Threat Intel In Test Drive

Test Drive SearchLight Free for 7 Days
Try It Now

Connecte-toi avec nous

Related Posts

Tendances du 2e trimestre en matière de ransomware : le rôle de la Threat Intelligence

Tendances du 2e trimestre en matière de ransomware : le rôle de la Threat Intelligence

October 1, 2020 | 10 Min Read

Si vous êtes comme moi, j'imagine que vous...
Surveillance du Dark Web : Le bon, la brute et le truand

Surveillance du Dark Web : Le bon, la brute et le truand

May 6, 2020 | 26 Min Read

La surveillance du Dark Web, en...