Bug Butter : la plateforme collaborative de mise en relation entre pirates et forces de l’ordre
Illustration : Freepik

Bug Butter : la plateforme collaborative de mise en relation entre pirates et forces de l’ordre

La plateforme Bug Butter met en relation pirates et membres des forces de l'ordre autour d'une place de marché d'informations sensibles.

Après les plates-formes de Bug Bounty, qui visent à mettre en relation des experts en cybersécurité avec des entreprises, une nouvelle étape vient d’être franchie dans la « plateformisation » des relations humaines : en partenariat avec l’ANSSI, la société OPFOR Intelligence ouvre aujourd’hui Bug Butter, la première plateforme de mise en relation entre pirates et membres des forces de l’ordre.

Bug Butter a pour ambition de fluidifier le processus d’enquête tout en permettant aux pirates de mieux gérer leur capital informationnel et leur image. La plateforme a également pour objectif de pallier le manque de moyen des services d’enquêtes, en offrant à ces derniers un outil simple et transparent capable d’optimiser le taux de résolution des affaires pour un budget donné.

La plateforme se compose de trois parties essentielles : des profils de cybercriminels, des profils de cyber-enquêteurs et, au centre, une place de marché unique en son genre.

Concrètement, Bug Butter permet aux cybercriminels de s’enregistrer sur une plateforme conçue à l’image de LinkedIn : compétences techniques, exploits réalisés, mentors, affiliations récentes avec des groupes de cybercriminels en vue, ils peuvent créer un profil complet et moderne afin d’offrir une vision complète de leurs activités.

Toutefois, et contrairement aux plateformes sociales que l’on connaît actuellement, ce profil reste pour l’essentiel privé : seul le pseudo du pirate est visible par défaut. C’est ensuite au criminel de décider quelles informations il souhaite rendre visibles, à quel prix, et -surtout- à qui.

Car outre les pirates, la plateforme est ouverte aux membres des forces de l’ordre. Ces derniers peuvent eux aussi créer leur profil de manière similaire. Nationalité, unité de rattachement, centres d’intérêt (fraude aux outils de paiement, recel, harcèlement, moeurs, renseignement…), outils maîtrisés (EnCase, i2 Analyze, Palantir…) là aussi tout est fait pour que chaque investigateur puisse donner une vision à 360° de son activité et valoriser son image.

Une fois les profils créés de part et d’autre, toute l’intelligence de la plateforme se situe dans sa place de marché, basée sur une technologie propriétaire développée et exploitée en interne par OPFOR Intelligence.

Une veille temps réel des attaques menée par les équipes d’analystes de OPFOR Intelligence et le COSSI de l’ANSSI permet d’alimenter un pool d’affaires publiques et, pour les utilisateurs Premium, non publiques. Les cybercriminels peuvent alors rattacher dynamiquement leur profil à ces affaires, et bien sûr en créer de nouvelles si celles-ci n’ont pas encore été détectées.

Chaque affaire est catégorisée par ses cibles, son mode opératoire (les exploit-kits utilisés, par exemple) et toute autre information pertinente. Une fois son profil rattaché à une affaire, le cybercriminel est libre d’enrichir cette information à l’aide de tags afin d’améliorer la visibilité de l’affaire et sa popularité.

De leur côté, les membres des forces de l’ordre disposent d’un dashboard personnel leur permettant de définir des recherches préenregistrées (type d’affaires, mots-clés concernant des cibles particulières ou des techniques d’attaque spécifiques) ou de suivre un cybercriminel particulier. Il leur est bien sûr également possible de lancer en parallèle tout type de requêtes en temps réel sur la base des affaires, afin de faire remonter des pistes à suivre et, peut-être, des informations de valeur.

Négociations automatiques

Lorsqu’une correspondance est identifiée entre des informations étiquetées et des recherches enregistrées par les membres des forces de l’ordre, la plateforme Bug Butter lance une phase de négociation, en grande partie automatisée.

Car à l’image d’un compte AdWord de Google chaque membre des forces de l’ordre aura en effet défini au préalable un budget mensuel maximal à consacrer à l’acquisition d’informations pouvant faire progresser ses enquêtes. En face, chaque cybercriminel aura fixé un prix de réserve pour les informations en question, qu’elles soient dynamiques (liées à des affaires) ou statiques (liées à son identité).

En associant les besoins des investigateurs aux tarifs définis par les pirates, la plateforme Bug Butter opère un matching parfait entre l’offre et la demande : les pirates vendent des informations qui, de toute manière, auraient fini par être découvertes par les enquêteurs, et ces derniers gagnent du temps sur leurs affaires tout en maîtrisant parfaitement leur budget.

Bien sûr, le cybercriminel demeure en contrôle de ses informations : il lui est même possible de mettre en liste noire certains enquêteurs (par nationalité, unité de rattachement, affaires particulières…) et même d’appliquer des bonus / malus à ses tarifs, en fonction des mêmes critères, mettant de fait un véritable outil d’équité sociale à la disposition des pirates (la même information pourra ainsi être vendue plus cher à la NSA qu’à la PJ de Melun).

D'excellent retours terrains

Lancée aujourd’hui, la plateforme Bug Butter compte déjà de nombreux utilisateurs séduits durant sa longue phase de bêta test, tant chez les cybercriminels que chez les forces de l’ordre. Les premiers résultats sont ainsi particulièrement encourageants : « durant la phase pilote restreinte à une unité-test, celle-ci a réduit de moitié son budget de fonctionnement et a augmenté son rendement de 42% par rapport aux autres groupes qui n’utilisaient pas la plateforme. C’est un résultat suffisamment significatif pour que nous envisagions d’étendre l’usage de Bug Butter à l’ensemble du service« , explique le commandant S, de l’OCLCTIC à Nanterre.

Et les bénéfices de l’outil ne s’arrêtent pas là : ainsi Serge M, de Levallois, lui doit un joli tournant dans sa carrière : « peu de temps après avoir créé mon profil et listé les outils d’analyse que je maîtrisais, j’ai reçu une belle offre d’emploi de la part d’un groupe français du CAC40, que j’ai décidé d’accepter« . Une proposition très bien venue pour ce jeune père de famille qui arrive bientôt à l’issue d’un contrat de trois ans dans la banlieue du Nord-ouest parisien.

Même enthousiasme chez les cybercriminels. Ainsi Dimitri K a trouvé dans l’initiative Bug Butter un moyen de diversifier ses sources de revenus : « Il y a de plus en plus de concurrence dans le métier. Des jeunes débarquent avec des outils tout faits, montent un coup pour trouver de quoi s’offrir un abonnement à un exploit kit en mode SaaS, et ils sont en business. Il n’y a plus de respect. Bug Butter me permet donc de diversifier mes sources de revenus en revendant quelques babioles, des informations sur mes affaires passées, des trucs comme ça« .

A l’avenir la plateforme compte s’ouvrir aux journalistes, qui pourront occuper une place centrale sur le marché aussi bien en achetant qu’en revendant des informations sur des affaires en cours. Les premiers tests internes ont d’ailleurs commencé avec l’aide de Brian Krebs, le journaliste américain bien connu spécialiste de la cybersécurité.  

Lire les articles précédents :
#SSI S01E01 : Alsid surveille Active Directory (qui en a bien besoin)

Rencontre avec Alsid, une startup française qui propose une solution de surveillance en temps réel des annuaires Active Directory. Et...

Fermer