Le professeur Guy-Vincent Jourdan, de la Faculté de génie, son étudiant au doctorat Emad Badawi et Iosif Viorel Onut, du Centre d’études avancées d’IBM Canada, sondent actuellement ce monde virtuel souterrain. Leurs travaux ont attiré l’attention du groupe de travail contre la cybercriminalité APWG, une coalition internationale composée d’acteurs industriels, gouvernementaux et universitaires basée aux États-Unis. Fondée en 2003, l’APWG mise sur le partage des données et des résultats de recherches pour lutter contre la cybercriminalité.
Il y a environ trois ans, l’APWG a formé le groupe de travail sur la cybermonnaie (CCWG); l’Université d’Ottawa et l’Université de Tulsa ont été les premiers établissements d’enseignement supérieur à envoyer des données pour alimenter le répertoire d’adresses de portefeuilles de cryptomonnaies utilisés par les cybercriminels pour récupérer les rançons et autres paiements frauduleux. La société IBM participe aussi au projet de l’Université d’Ottawa par l’entremise de sa division du renseignement sur les menaces, Security X-Force, qui offre conseils et ressources. La base de données générée grâce à cette collaboration internationale se révèle de plus en plus utile dans la lutte contre la cyberfraude.
Fraudes de pseudo-générateurs de Bitcoins
Guy-Vincent Jourdan, Emad Badawi et leurs collègues ont récemment adapté un de leurs systèmes de détection de fraudes pour découvrir automatiquement des pages Web vantant des pseudo-générateurs de Bitcoins. Leur système extrait les adresses de portefeuilles utilisées par les fraudeurs et analyse les transactions monétaires entre les victimes et les fraudeurs. Ce faisant, ils peuvent repérer les attaques avant même qu’elles ne fassent des victimes.
Contrairement aux autres types de cybercrimes, les fraudes en lien avec la cryptomonnaie peuvent être repérées car les transactions sont publiées sur la chaîne de blocs, explique le professeur Jourdan, dont les travaux de recherche sont au cœur du pôle de cybersécurité de l’Université d’Ottawa, lancé en partenariat avec IBM en 2019.
« Nous profitons aussi du mode opératoire de ces arnaques : les escrocs ne connaissant pas leurs victimes, ils doivent annoncer leurs “services” frauduleux et attendre que des personnes se manifestent, précise-t-il. Nous fréquentons donc les forums et autres endroits où ces “services” sont annoncés afin de créer un ensemble initial de données. Nous extrayons ensuite un ensemble de caractéristiques propres à ces annonces et utilisons notre moteur de recherche pour trouver de nouvelles pages qui présentent des caractéristiques semblables.
Ces pages sont ensuite transférées à notre classificateur, un système d’apprentissage machine que nous avons entraîné à reconnaître les vrais cas de fraude. Résultat : notre système trouve automatiquement les nouvelles tentatives d’escroquerie au moment où les fraudeurs les annoncent, cherchant à harponner les victimes potentielles. Finalement, un dernier système analyse ces fraudes en temps réel, dès qu’elles sont découvertes, afin d’en extraire de l’information précise comme l’adresse de paiement. »
Bloquer les cyberattaques
Cette approche proactive de la détection de la cryptofraude porte déjà fruit. « À l’heure actuelle, 70 % des fraudes actives détectées par notre système sont trouvées avant même que le premier paiement soit soumis, affirme Guy-Vincent Jourdan. C’est cette partie du système qui nous intéresse le plus. Nous voulons bloquer les attaques avant qu’elles ne fassent de victimes, et notre système est un pas dans la bonne direction. » Jusqu’à maintenant, ils ont réussi à détecter au-delà de 8 000 adresses.
La production automatique de ces données révélatrices est inestimable, affirme Peter Cassidy, secrétaire général d’APWG à l’origine du groupe de travail sur la cybermonnaie. « On utilise les ressources du Web pour l’aider à se protéger. On ne peut pas faire ce travail manuellement. Le Web doit pouvoir se défendre tout seul. »
« Il est essentiel de cultiver une cyber-main-d’œuvre hautement qualifiée afin de protéger et de défendre la prospérité économique du Canada, déclare Steven Astorino, directeur du laboratoire d’IBM Canada et vice-président, Développement, données et IA. Il est très prometteur et encourageant de voir qu’un projet de recherche produise un outil international de repérage de menaces une année seulement après l’annonce de notre partenariat avec l’Université d’Ottawa. C’est une preuve que la collaboration entre l’industrie et le monde universitaire est vraiment puissante, et la raison pour laquelle IBM continuera de soutenir et d’encourager le leadership canadien en matière de cybersécurité. »
Que se passe-t-il quand des adresses frauduleuses sont dévoilées? L’équipe du professeur Jourdan les transmet à la communauté de recherche et à l’APWG, qui gère la centrale eCrime eXchange utilisée par les professionnels et professionnelles du domaine, notamment les bourses de cryptomonnaies et les plateformes d’échange, de même que les fournisseurs de portefeuilles. « On peut facilement concevoir que les forces de l’ordre utilisent également ces données », affirme le professeur Jourdan.
En contribuant au démantèlement d’un réseau complexe d’escroquerie dans le secteur de l’investissement, le partenariat de recherche entre le professeur Jourdan et le CCWG participe à un effort plus large de protection du public – et de son portefeuille – contre toutes les formes de cybercrimes à l’échelle internationale.