Je m’appelle Arkady, j’ai bientôt 28 ans, je suis Russe, junkie de mon état et accessoirement professionnel de tout ce qui se fait de pire en matière d’Internet.

D’aussi loin que je me rappelle de ma jeunesse, j’ai toujours eu un faible pour le cinéma Italo-Americain de Scorsese, De Palma et surtout Copola. Ce sont certainement ces réalisateurs qui ont donné toute leur lettre de noblesse aux bandits de la Cosa Nostra. Mais je ne peux m’empêcher de penser que s’ils avaient su tout ce que nous sommes désormais capables de faire, nous autres Bratva, alors Robert de Niro aurait certainement pû jouer Flyman, le mystérieux leader de la Russian Business Network.

Car nous sommes désormais des gens riches et puissants, et ce grâce à cette fabuleuse mine d’or qui s’appelle l’Internet. Cela fait maintenant plus de 8 ans que ma vie a été transformée par le e-eldorado. Je n’étais alors qu’un minable étudiant en informatique, épuisé par les milliers de lignes de code Cobol et C données par mes professeurs de l’ETU, l’université de  Saint Petersbourg. Mais après les cours, le pitoyable Arkady commençait à faire ses armes sur la toile au commande de quelques puissants systèmes Unix, généreusement « prêtés » par son université. J’étais encore pauvre, incapable de me payer ne fut-ce qu’une simple connexion RTC; heureusement que j’avais à ma disposition mon accès universitaire qui m’a ouvert à peu près toutes les portes de la criminalité informatique mondiale. Dieu bénisse la Sainte Russie.

Car j’ai vite découvert que dans cet endroit sans frontière, la fortune n’était qu’à deux doigts, ceux que j’utilisais au début pour communiquer et créer ce qui allait devenir mon véritable empire.

J’ai commencé comme tout le monde: par le spam. Avec un script de ma composition, s’appuyant sur des relais ouverts trouvés dans les groupes de discussion, j’étais capable d’envoyer des dizaines de milliers d’emails par jour sur toute la planète. La promotion, c’était bien entendu ce qu’il y avait de plus simple: du porno. Je faisais entre une à dix conversions par jour, ce qui pouvait me rapportait jusqu’à $100 quotidiennement; pour un petit étudiant fauché comme moi, c’était l’Amérique ! Cette histoire a duré quelques mois jusqu’au jour ou toute une partie du bloc IP de mon université a été blacklistée par Spamhaus. Les deux administrateurs réseaux de l’école étaient de vieux fonctionnaires de l’époque soviétique qui n’avaient jamais prêté attention à « mes activités ». Mais cette fois-ci, c’était différent, au vue de la gravité de la situation: la plupart des mails de l’université était systématiquement rejetée. Je suis passé en conseil de discipline et ce n’est que de justesse que je n’ai pas été renvoyé.

Quelque part grisé par mon « exploit » et aussi par le bon filon, j’ai néanmoins continué depuis chez moi via ma toute nouvelle et très couteuse ligne RTC. Mais mon expérience universitaire m’avait appris à être prudent: afin de brouiller les pistes, je multipliais les relais ouverts, et aussi changeais régulièrement mon adresse IP en redémarrant mon modem analogique. Le problème, c’est que j’y ai beaucoup perdu en terme de performances. Passer d’une connexion T1 à un simple RTC à 33kb, pas fiable de surcroit, mes conversions ont chuté dramatiquement: il y avait même des jours où je ne gagnais pas d’argent !

C’est aussi à cette époque que je me suis diversifié vers le spam via les failles des formulaires mail: plus discret, et plus fiable, j’ai réussi quelques bons coups avec cette technique. Et parallèlement, c’est aussi à ce moment que je me suis mis à fumer beaucoup de marijuana essentiellement chez moi.

Un jour, alors que j’étais en plein « travail » (ma dose de spam quotidienne, agrémenté d’un bon joint), un magnifique BSoD a magistralement planté mon ordinateur. Après quelques heures passées à réparer les quelques dégats constatés, j’ai découvert quelque chose qui allait changer radicalement ma conception de faire des affaires sur Internet: j’avais été contaminé par un ver.

Cette histoire m’a fait longuement cogité, et ce pendant plusieurs nuits. Mon business n’allait pas très bien, essentiellement à cause du débit largement insuffisant de ma connexion et des précautions dont je m’étais entouré. Et voilà qu’un programme informatique pénètre sur mon PC, et commence à utiliser mes précieuses ressources, déjà bien limitées. Je me suis alors dit que je tenais là certainement la solution à mon problème de performance: il fallait que j’aille chercher ailleurs ce que j’étais pour l’heure incapable de fournir.

Mon idée était toute simple: j’allais développer un cheval de Troie qui une fois installé, me permettrait d’envoyer mes spams en profitant de la connexion de ma « victime ». J’ai mis deux mois pour développer mon parfait petit système. Celui se présentait sous forme d’un simple processus Windows qui prenait ses directives via un canal IRC dissimulé. Je pouvais envoyer des spams et aussi mettre à jour le programme à distance. Mon cheval n’était pas un ver, un système capable de s’autorepliquer, il fallait qu’il soit exécuté pour pouvoir être installé. J’ai utilisé le P2P ainsi que les canaux warez pour propager ma création. En le dissimulant par exemple dans un générateur de clé ou un crack, j’ai rapidement pu disposer de plusieurs centaines de machines « infectées », essentiellement basées en Europe ou aux Etats-Unis et pourvues de connexions DSL. C’est là que j’ai fait un malheur ! J’étais capable d’envoyer des dizaines de milliers d’emails par jour, avec bien entendu toutes les retombées financières qui vont avec. En ce mémorable 8 mai 2002, j’ai réussi à gagner $2203 en une seule journée, grâce à une performante affiliation pornographique dont j’avais réussi à avoir l’exclusivité via une de mes Partnerka.

A ce sujet, je pense avoir eu beaucoup de chances dans ma vie. Car on ne rentre pas comme cela dans une Partnerka, nos plateformes d’affiliation en Russie. Contrairement à celles que l’on voit en Europe, nos Partnerka ont beaucoup moins pignon sur rue; elles sont discrètes, et il faut montrer patte blanche pour pouvoir espérer un jour y rentrer. Pour ma part, cela a commencé en fréquentant un forum de Webmasters de chez nous. On savait tous qu’il y avait des gens des Partnerka parmi les membres, mais la plupart du temps, ils n’intervenaient que très rarement. On les reconnaissait à leur signature et leur manière unique de communiquer: l’ICQ. Il était inutile de leur envoyer un MP, ils ne répondaient que très rarement, voir même ils finissaient par filtrer les plus insistants d’entre nous. Certains des nôtres avaient fini par rentrer chez eux, mais ils restaient discret sur ce qu’ils faisaient et nous affirmaient toutefois que « cela valait le coup mais qu’il fallait faire ses preuves ».

A la longue, j’ai fini par tisser des liens avec un type que j’ai beaucoup aidé en PHP, un certain Voevoda666, Venyamin de son vrai nom. Or celui-ci avait déjà réussi à rentrer chez Topsold2.ru, une Partnerka montante. Il m’a parrainé et j’ai été accepté après avoir discuté au téléphone avec leur AM (Gestionnaire de comptes), un Arménien du nom de Vardan. Au fil des années, je suis resté en contact avec Vardan. Nous sommes d’ailleurs devenus assez proches, et il est sans conteste, le rare ami que je n’ai jamais eu dans le « business ». Car Vardan m’a beaucoup aidé, de par ses étroites relations et aussi de son implication dans le monde des Partnerka. Le jour où il quittait Topsold2.ru pour créer sa propre Partnerka, j’ai été son premier affilié. Et c’est aussi lui qui m’a initié à la coke :-]

Les années qui suivirent ont vu la professionnalisation de mes activités sur Internet: je suis devenu rapidement un spécialiste pour faire de l’argent par tous les moyens possible et inimaginable. J’ai touché à tout et pratiquement tout fait: à coup de Xrumer, je suis devenu un spammeur chimique grâce à l’obscur Canadian Pharmacy. J’ai installé des dizaines de milliers de faux Codecs, antivirus, spywares. Vendu des fausses montres et évidemment trempé dans les juteux marchés du casino, des rencontres, et bien entendu continué comme pas un dans le porno. Je dois dire que Vardan y est aussi pour beaucoup dans ma réussite, il avait toujours le chic pour me trouver un bon produit à promouvoir. En bref, c’est essentiellement grâce à sa Partnerka que je suis devenu riche avec des revenus qui pouvaient atteindre plus de $20000 par mois.

Les moyens pour y arriver sont simples: du volume, de l’industrialisation et même de la sous-traitance. J’ai continué à spammer de plus belle par mail; grâce à un très gros travail d’automatisation, je suis arrivé au chiffre astronomique de 700000 mails envoyés par jour. J’ai aussi utilisé toute la panoplie du Blackhateur en herbe, comme Xrumer, Scrapebox, Senuke. Mais jouer à cache-cache avec Google a finis par me lasser; par ailleurs, il est fort hasardeux de baser tout un chiffre d’affaire uniquement sur le bon vouloir d’un seul moteur de recherche ! J’ai aussi beaucoup utilisé les régies PPC de seconde zone qui vous demandent 1 centime du clic. Au début, j’étais tellement mauvais à ce jeu que j’ai payé un type pour le faire à ma place. A force d’observer ce qu’il faisait, j’ai fini par comprendre le truc, mais il était plus rentable de continuer la sous-traitance. J’ai même poussé le vice à aller injecter des ActiveX « malsains » dans des publicités à la bannière sur des forums adultes.

De toutes les manières, quand vous connaissez les ficelles de ce milieu, vous arrivez toujours à faire de l’argent ou à faire faire de l’argent pour vous par quelqu’un d’autres.
Par exemple, vous achetez un « blast Xrumer » pour $35 qui peut vous rapporter 10 fois plus en même pas une semaine. Vous pouvez aussi vous procurer de la longue traine extrêmement bien ciblée à partir de 1 centime l’expression. Si vous faites 1% de conversion sur un produit de type Forex qui se vend $50, il vous faut donc investir seulement $1. Il y a même des gens qui louent leur botnets pour que vous puissiez envoyer vos spams ou plus subtile, monter des escroqueries au CPM, au CPA ou au parking de domaine. En bref, les moyens possible sont légions pour qui veut gagner de l’argent mais il faut savoir différencier les coups d’un véritable emploi à plein temps.

Il est arrivé un jour où j’ai pris un peu de recul sur mes activités, notamment sur le côté éthique de tout ce que j’avais accompli en une dizaine d’années. J’en avais fait quand même des belles durant tout ce temps, et il est clair que plusieurs fois, j’aurai peut être pu finir dans les goulags de Sibérie. Mais j’ai toujours eu un avantage certain: le fait d’être russe. Notre pays n’est pas tellement en avance en matière de législation sur la criminalité informatique, et nos dirigeants ont bien d’autres chats à fouetter que de s’occuper de malheureux spams. Je me suis souvent dit que finalement, je ne faisais pas véritablement de mal à mon prochain, que je n’étais qu’une sorte de profiteur des failles d’un système complétement ouvert. Et aux quelques rares détracteurs que j’ai parfois côtoyé, je n’ai eu qu’un seul mot: « des clous ! » La seule véritable limite que je me suis imposé est de ne jamais faire de pédo-pornographie; pour tout le reste, je ne me suis jamais véritablement posé de question: ce n’est que du business, et pas forcément illégal, du moins pas chez nous.

Il est maintenant 3 heures du matin, je vais rentrer chez moi me coucher, seul comme d’habitude. Qui voudrait d’un type comme moi, un nerd certes aisé mais quand même complétement jeté ? En chemin, je me prendrai sans aucun doute une dernière dose de Tianeptine, histoire d’écourter encore plus le délai qui m’amène irrémédiablement vers ma tragique destinée.

Ce que je sais désormais et que j’applique systématiquement, c’est qu’une transaction impliquant de l’argent appelle toujours à la prudence et au recul.

Mais ce qu’il y a de bien avec une arnaque, c’est qu’elle n’est finalement pas tellement difficile à démontrer et que l’on peut éprouver beaucoup de plaisirs à l’exposer à celui qui tente de vous escroquer, surtout devant une assemblée ou une tribune, qu’elle soit virtuelle ou réelle.

Une chose qui caractérise notre société de consommation est qu’avant tout, elle est financière et repose entièrement sur le calcul d’une marge. Pour ma part, et contrairement à une partie de mes concitoyens Français, je n’ai franchement rien contre ceux qui gagnent de l’argent; après tout, tant mieux pour eux, surtout si c’est fait dans les règles de l’art. Cette situation étant clair dans ma tête, je m’intéresse tout de même à cette fameuse marge que je vous ai évoquée auparavant: gagner de l’argent n’est en rien répréhensible, toutefois je m’inspire un droit de regard sur cette marge.

Ma réflexion est liée à des contraintes idéologiques personnelles, et je vous livre ici un petit tableau avec mon échelle de valeur. C’est très simple à comprendre: lorsque quelqu’un investit X euros, voici ce que je déclare lorsqu’il récupère Y euros:

• 1€ donne 1,5€ = Bravo !
• 1€ donne 2€ = Excellent !
• 1€ donne 3€ = Chapeau
• 1€ donne 4€ = Continuez comme cela
• 1€ donne 10€ = Heu, comment avez-vous fait ??
• 1€ donne 20€ = Hum, est-ce bien honnête ?
• 1€ donne 50€ = Il y a quelque chose de louche !
• 1€ donne 100€ = Jérôme, c’est toi ??

Vous allez me dire que ce sont des bobards et que de tels ROI n’existent pas. Et bien détrompez et ici il n’est pas question de Trading, de Forex, ou autre super produits de la nébuleuse financière, mais bien d’actes de la vie
courante et qui vous sont facturés tels quel.

Ici, je m’attaque plus particulièrement à l’acte que l’on vous facture. Cela peut être une prestation artisanale, intellectuelle ou encore de service, mais la plupart du temps quelque chose de non conventionné et qui s’appuie sur l’absence total de transparence quand au tarif qui vous est communiqué.

Je vais prendre un exemple concret avec ces fameux frais de mutation des syndics de copropriété. Je m’intéresse à l’acte en lui même, ce que cela coute à une régie et à ce que cela lui rapporte, à savoir 322€ dans mon cas
particulier. La personne qui s’occupe des états datés les établit de temps en temps, mais cela fait partie de ces attributions et de son travail quotidien. J’ai déjà ici une interrogation: pourquoi facturer quelque chose qui n’est pas exceptionnel, puisque l’on paye déjà quelque chose pour ce type de service ?

C’est là une question qui revient souvent: pourquoi dans un abonnement certaines choses sont comprises et pas d’autres. Un exemple flagrant est la relance, à ne pas confondre avec le recouvrement qui est systématiquement facturé. Dans mon cas, je n’ai que deux type de prestataires qui les facturent: l’administration fiscale et les régies immobilières.

Mais passons, nous supposerons donc qu’il s’agit d’une surcharge de travail qu’il faut donc facturer. Cette personne fait 2300€ brut et travaille 167 heures par mois. Donc son cout horaire revient à 13,77€. En réalité, c’est un peu plus car il faut ajouter les charges patronales, 40% pour cette personne. Ce qui nous entraine à 19,27€ par heure.

A ceci, il existe quelques frais qu’il faut rentabiliser: les fournitures de bureau, 1€ par jour (C’est très généreux, sauf si on rajoute l´amortissement des meubles de bureau!), l’amortissement de l’informatique (Internet, PC, électricité) pour 5€ par jour, divers (eau, toilette, locaux), 1€ par jour. Soit 7€ par jour, et Madame travaille 7h5 par jour.Ajoutons donc un euro de frais supplémentaire (7 divisé par 7,5), ce qui porte le cout total horaire de cette personne à 20,27€.

J’en viens maintenant à l’acte en lui même: il faut un peu moins d’une heure pour l’établir; à ceci ajoutons quelques frais annexes en étant toujours aussi généreux: téléphone et timbre pour 3€.

Cout total de l’opération = 20,27 * 1 + 3 = 23,27€.

Ajoutons à cela la TVA (19%) = 27,69€

Nous avons donc désormais accès à la marge qui n’est que la division de la prestation par son cout total, 322 / 27,69 = 11.

Donc pour schématiser, pour un euro investi, la régie touchera 11€. Reportez-vous à mon échelle de valeur pour voir ce que j’en pense. Alors quand je demande en assemblée si une marge de 1/11 est normale, on me répond génériquement:

« Mais Monsieur, ce n’est pas comme cela que cela marche, ce n’est pas si simple ! »

J’applique désormais beaucoup plus ce type de raisonnement sur les prestations douteuses et j’ai parfois d’étonnantes surprises. Bien entendu mon calcul peut être parfois faussé, il y a surement des choses internes qui m’échappent, mais dans le cas des frais de mutation, même si je double mes chiffres, j’arrive tout de même à un ROI de 5, ce qui me semble tout de même bien élevé.

Finalement, je crois qu’il n’y a rien de choquant à faire beaucoup de profits; en revanche avoir des marges aussi importantes me laisse tout de même perplexe.

Le type d’arnaque employé par Madoff s’appelle un montage Ponzi du nom de Charles Ponzi. Celui-ci était un immigrant Italien qui travaillait comme commis à Boston. En 1919, il mit en place un programme pyramidal dans un bureau situé au deuxième étage d’une banque. Ironiquement, il appela sa société « Securities and Exchange Company ». Au mois de décembre de cette même année, il commença à envoyer des prospectus offrant un retour de 50% sur investissement après 45 jours et 100% après 90 jours. A la fin du mois de juin 1920, il lui arrivait de recevoir jusqu’à 500 000 dollars par jour et le même jour il déboursait 200 000 dollars.

Des milliers de personnes enthousiastes débarquaient chez lui pour investir. La quantité de cash qui entrait était telle qu’il fut obligé d’employer 16 commis pour trier et compter les sommes gigantesques qu’il stockait dans ses cabinets et empilait dans de larges corbeilles à papier.

Comme la plupart des montages pyramidaux, il arriva un moment où les espèces entrantes ne suffirent plus pour payer les anciens investisseurs. Au moment où le cash cessa d’entrer, la pyramide s’effondra. Des journaux d’investigations ainsi que l’intervention du gouvernement mirent un terme définitif à son activité. Le 26 juillet 1920, 30000 personnes avait payé à Ponzi la somme de 9 582 591 dollars.

Ponzi fut arrêté et beaucoup de ceux qui avait perdu leur argent blâmèrent le gouvernement pour son intervention. Ponzi fut condamné à 7 années de détention dans une prison d’état du Massachussets mais fut finalement libéré sous caution. Par la suite, il lança d’autres programmes similaires en Georgie, Texas et Floride. Il fut finalement arrêté et retourna au Massachussets où il purgea sa peine initiale de 7 ans.

Ponzi fut extradé vers son pays d’origine, l’Italie et trouva un travail au bureau Brésilien de la nouvelle compagnie aérienne de Mussolini. Il mourut dans un dispensaire de charité d’un hôpital de Rio, à moitié aveugle et paralysé. Le peu d’argent qui lui resta lui permit tout juste d’éviter d’être enterré dans un cimetière pour indigents.

Voilà pour la petite histoire; mais ce qu’il faut avant retenir, c’est que Mr Ponzi n’a fait qu’exploiter deux faiblesses humaines: la cupidité et surtout la naïveté des gens. Il est également intéressant de constater que l’Internet pullule de ce type d’arnaque: c’est facile, mondialisé, discret et l’on ne risque pas de voir un jour débarquer chez soi des investisseurs floués.

Le Ponzi le plus courant est le HYIP, pour High Yield Investment Programs, programmes d’investissement à haut rendement. Vous mettez par exemple $10 et le programme vous rapporte quotidiennement 20% ($2) pendant 20 jours, soit $40 sans rien faire. Pour payer, vous devez utiliser une monnaie électronique louche, comme E-Gold par exemple. L’avantage de ce type de devise, c’est que contrairement à Paypal, il n’y a pratiquement jamais de recours possible en cas de litige. Le programme repose toujours sur le même axiome: « Des professionnels du Forex ou de la bourse souhaitant vous aider à parvenir à l’indépendance financière ». La durée de ce type de Ponzi va de une journée à une dizaine de jours, rarement plus. Il est amusant de constater que des scripts tout faits sont disponibles à l’achat. A l’instar des vendeurs de pelles durant la ruée vers l’or, ce sont certainement ces personnes qui sont les grands gagnants du marché du HYIP. Vous pouvez vous rendre compte à quel point ce genre de script a du succès au moyen de cette requête Google. Vous trouverez une montagne de HYIP sur les forums d’argent comme celui-ci ou encore celui-là et même en français.

Les autosurfs sont une forme de Ponzi un peu différente: vous achetez des crédits et vous engagez à visualiser un certain nombre de sites au moyen d’une « visionneuse ». Lorsque vous avez fait votre quota, vous êtes payés moyennant une commission. L’exemple le plus célèbre d’autosurf est 12DailyPro. Le site proposait une commission de 44% à ses membres à condition qu’ils visitent 5 minutes par jour d’autres sites, et ce pendant 12 jours. Les propriétaires de 12DailyPro affirmaient que l’argent provenait de la publicité ainsi que d’autres investissements, mais en réalité 95% de l’argent provenait des cotisations des nouveaux membres. Au cours de l’année 2006, plus de 50 millions de dollars ont ainsi été extorqués à environ 300000 personnes. Vous trouverez ici des autosurfs.

Les matrices vous vendent une position dans leur schéma et vous demandent de recruter des filleuls qui à leur tour vous paieront. Parfois l’argent obtenu est investi dans « d’autres programmes performants ». Souvent, il s’agit tout simplement d’autres matrices amies ou même concurrentes !

Prédicat final: « Sur Internet, si l’on te propose de gagner de l’argent, cela signifie que tu vas en perdre ».

A contrario, il y a plus de 15 ans, je me rappelle avoir été au cinéma de General Santos City dans une salle tout à fait correcte où j’ai payé la modique somme de 12 pesos (soit 20 centimes maintenant).

On comprend parfois que certains soient tentés par le côté obscur de l’Internet et sombre dans le piratage, au risque d’avoir à subir les foudres des ayatollahs de l’industrie cinématographique, comme la MPAA ou encore la RIAA.

A ce sujet, ces deux organisations américaines viennent de présenter leur plan au tout nouvel Office de la Propriété Intellectuelle, l’équivalent de notre INPI Française au travers de cinq propositions phares dont elles demandent la mise en place par l’administration Américaine:

- La possibilité d’installer des Spywares sur les ordinateurs particuliers capables de détecter des médias contrefaits et aussi de pouvoir les effacer.

- Installer un dispositif de filtrage sur toutes les connexions Internet afin d’interdire tout transfert de médias contrefaits.

- Autoriser la fouille des lecteurs MP3/DIVX, portables, notebooks et clés/disques USB.

- Faire pression sur les autres pays afin qu’ils puissent mettre en place les mêmes directives de contrôle.

- Faire en sorte que toutes les agences fédérales (FBI et ministère de l’intérieur compris) puissent effectuer d’elles même les contrôles.

A ce niveau là, j’hésite entre deux explications: Le désespoir ou la science-fiction !

Côté sécurité, la machine était blindée de chez blindée: afin de limiter au maximum les fuites, tous les flux de données sortants vers l’extérieur étaient scrupuleusement filtrés voir même oblitérés dans certains cas: pas d’envoi de mail possible, aucun port USB, accès canalisé uniquement aux extranets des fournisseurs avec notamment un filtrage par un IDS du POST HTML, la méthode qui permet de remplir un formulaire et ainsi d’envoyer des informations sur Internet. En définitive, une machine complétement verrouillée et en théorie parfaitement sécurisée.

Au cours d’un déjeuner avec un collègue ERP, nous avons évoqué à plusieurs reprises cette machine ainsi que les précautions extrêmes qui avaient été prises pour la sécuriser. Lui en rigolait car il m’avoua qu’il existait des problèmes de communication entre les achats et la comptabilité, et que régulièrement des deltas existaient entre les deux services, essentiellement à cause de cette machine: visiblement quelques opérations d’achat n’étaient pas répercutées convenablement vers la comptabilité, essentiellement à cause d’un problème récurrent d’interfaçage avec l’ERP. Les comptables étaient souvent obligés de repasser derrière les acheteurs pour les contrôler (en utilisant leur outil de gestion) et au vue du nombre important de transactions effectuées, des tensions avaient commencé à surgir entre les deux services, l’un traitant l’autre d’incompétent. « Au lieu de transformer la machine des achats en forteresse, ils feraient mieux de corriger ce problème  » m’avait dit le collègue.

Les semaines ont passé et mon audit était sur le point de se terminer lorsque j’ai eu une conversation animée avec la DSI et notamment son responsable sécurité sur la machine des achats. Alors que celui-ci clamait haut et fort que cette machine était certainement la plus sécurisée de toute l’entreprise, moi je tempérais de la manière la plus diplomatique possible en lui rétorquant que par expérience un système n’est jamais sûr à cent pour cent. Il l’a très mal pris et a commencé à m’attaquer et aussi à critiquer mon audit et mon professionnalisme. Comme le client a toujours raison, je n’ai pas insisté et rapidement laissé tombé, le laissant à ses arguments qui ne m’ont jamais convaincu.

Je n’ai jamais de problème avec mes détracteurs, je les laisse toujours parler et évite tant que faire se peut la confrontation professionnelle: c’est fatiguant et on perd beaucoup trop de temps pour généralement des queues de cerises. Si je n’ai jamais véritablement souffert de ce type d’attaque, il y a quand même quelques chose qui m’a toujours intéressé dans ce type de situation: le défi intellectuel. Alors, je me suis mis à réfléchir sur les moyens de contourner les dispositifs de sécurité de cette machine. Comme j’y avais accès pour mon audit, j’ai pu en profiter pour mettre en place une tactique qui m’a pris plus de trois semaines d’intenses réflexions.

Tout d’abord, j’ai pu constater avec bonheur que le VBS n’avait pas été désactivé sur la machine. J’exècre ce langage au plus haut point, lui préférant Perl mais il faut bien reconnaitre qu’il est bien utile pour faire des scripts sous Windows. Ensuite, la machine n’est pratiquement jamais éteinte car elle réalise des transferts EDI la nuit.

Je commence par repérer la tâche planifiée qui lance les traitements EDI le soir à 22 heures. Il s’agit d’un script qui appelle plusieurs applications. Dedans, j’y incorpore discrètement un petit programme VBS de ma composition. Mon programme commence par ouvrir l’application e-carte bleue, celle qui génère les numéros de cartes bancaires uniques. Grâce à l’instruction SetCursorPos, je me positionne sur la fenêtre de l’application, et finalement je simule un clic de souris au moyen d’un « mouse_event ». Après grâce à l’outil en ligne de commande ImageMagick, je fais une capture d’écran. Puis je récupère les informations bancaires au moyen d’un logiciel de reconnaissance de caractères, dans mon cas il s’agit de GOCR. Toutes ces opérations sont faites en tâche de fond, discrètement. J’ai pu installer ces logiciels grâce à un répertoire partagé que la machine utilise pour y récupérer quelques fichiers à traiter. Bien évidemment ce répertoire était en lecture seul, toujours dans le but d’éviter toute fuite.

C’est à ce niveau que je suis confronté à une difficulté majeure: comment envoyer automatiquement ces informations à l’extérieur de l’entreprise, sachant que je n’ai accès ni au mail, ni au FTP, ni même à ce fameux POST qui m’aurait bien aidé ? Je dois bien avouer qu’il n’y a pas beaucoup de solution à ce problème, d’autant plus que la machine ne peut accéder qu’à certains sites, essentiellement ceux des fournisseurs. En parlant de ceux-là, justement j’ai découvert quelque chose d’intéressant.  Plusieurs d’entre eux utilisent le fameux logiciel de statistiques Awstats. C’est ce que j’ai découvert en examinant le cache Google qui a fortuitement indexé plusieurs pages des statistiques web des fournisseurs.

C’est là que j’ai découvert la solution à mon problème:  je vais utiliser mon User-Agent pour transporter les codes bancaires. Prenez par exemple ce User-Agent Firefox:

Mozilla/5.0 (Windows; U; Windows NT 6.0; fr; rv:1.9.1.8)                Gecko/20100202 Firefox/3.5.8 (Build 01425)

Que je transforme en:
Mozilla/5.0 (Windows; U; Windows NT 6.0; fr; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8 (Build 4970549792752184-0510-174)

Vous notez la différence ? En fait, j’incorpore le code bancaire directement dans le User-Agent; dans ce cas, on pourrait presque parler de stéganographie. Pour terminer, j’utilise le logiciel Wget et son option « -U » muni du User-Agent qui va chercher anodinement la page d’accueil du fournisseur. Finalement, depuis chez moi, je récupère les pages de statistiques web que j’examine avec un dernier script qui met les codes bancaires dans un simple fichier CSV. Et voilà comment j’ai pu récupérer plusieurs milliers de codes en à peine trois mois.

Bien entendu, je n’ai pas dévoilé cette astuce à mon client et gardé toute cette tactique pour moi. J’étais content: j’avais pu me prouver à moi même que j’avais entièrement raison lorsque j’expliquais au client qu’il n’existe aucun système fiable à cent pour cent. L’audit s’est finalement terminé après que mes relations se soient beaucoup dégradées avec cette société. Ils n’ont pas été très satisfaits de mes conclusions, et je pense que cela vient du responsable sécurité qui a tout fait pour discréditer mes travaux. Ils n’ont jamais voulu payé la prestation qui se monte à plusieurs centaines de millier d’Euros. Nous sommes désormais en contentieux avec eux, et je pense que cela va durer encore des années.

Je ne suis pas quelqu’un de revanchard, mais quelque part j’ai quand même l’impression d’avoir été bien floué. Alors est-ce une folie passagère ou tout simplement un mauvais coup de colère, j’ai décidé de mettre tous ces codes bancaires en ligne, de sorte que d’une façon ou d’une autre ils payent chèrement ma prestation. Il y a exactement 8734 codes bancaires, il s’agit juste de l’extraction d’une base MySql; en aucun cas, je n’ai déplombé le secret des cartes bancaires.

Vu le foutoir qui règne toujours entre leur service achat et comptabilité, qu’ils gèrent des milliers de commandes par mois, qu’ils ne sont absolument pas au courant de ma petite bidouille ainsi que la grande improbabilité qu’ils lisent Pagasa, franchement n’hésitez pas à vous servir de ces codes. Attention, je vous rappelle qu’un code ne sert qu’une seule fois.

Bons achats à tous.

Comme vous le savez déjà, j’ai récemment vendu mon appartement. A la signature de l’acte de vente devant le notaire, celui-ci prend des frais à l’acheteur; rien de bien nouveau jusqu’ici. Mais ce que vous ignorez peut-être, c’est que le syndic de copropriété vous facture une prestation que l’on appelle les frais de mutation.

D’abord, la première chose à savoir, c’est que ces frais s’appellent l’état daté et qu’il s’agit en gros d’un relevé de ce que vous devez à votre syndic ainsi que d’autres bricoles. Ces frais ne sont imputables qu’au vendeur. Si vous êtes acheteur, la loi ne prévoit pas que vous soyez redevable de ces frais.

La deuxième chose à retenir, c’est que ce document qui comprend de une à quatre feuilles vous est facturé une fortune. Pour ma part, j’ai payé 322 euros, et il n’est pas rare de voir des factures de plus de 500 euros !
Et d’après ce que j’ai pu découvrir, l’établissement de ces documents ne prend pas plus de deux heures de travail d’un comptable. (Edit: après quelques recherches, certains le font en 10 minutes !)

Une troisième chose qui n’est franchement pas clair, c’est qu’un syndic ne peut normalement pas vous facturer à titre individuel. Le contrat le lie uniquement au syndicat des copropriétaires, même si la clause figure dans le contrat. La preuve est là sous forme de question posée au gouvernement ainsi que sa réponse.

Maintenant si vous êtes vendeur, je ne peux que vous conseiller de refuser de payer ces fameux frais de mutation qui ne sont qu’une belle escroquerie; franchement 322 euros pour quelques papiers administratifs, il faut quand même pas exagérer !
Vous pouvez vous faire aider par l’association Unarc qui connait bien le problème.

Si vous êtes propriétaire, jetez un œil au contrat de syndic, et soulevez le problème du coût de l’état daté lors de l’assemblée. Je vous rappelle que vous devez approuver les comptes une fois par an. Pour ma part, je regrette de ne pas avoir plus souvent décortiqué ces comptes car on y découvre parfois des choses surprenantes. Un petit exemple qui m’est arrivé: un cahier d’entretien facturé 600€ !

A lire finalement, cet article très intéressant qui décortique toute la mécanique de cette escroquerie et l’arsenal juridique en face.

Le lendemain, un type qui s’appelle Benoit contacte Charles par mail: il est intéressé par la voiture et souhaiterait avoir quelques détails supplémentaires.

Par contre, il est assez pressé de conclure l’affaire car il doit partir prochainement en Cote d’Ivoire pour plusieurs semaines. S’ensuivent quelques échanges de mail dans lequel Benoit accepte le prix: 5000€ pour la voiture de Charles. Benoit promet d’envoyer un chèque très rapidement. En guise de bonne foi, il donne son adresse à Lyon, ce qui va grandement simplifier la logistique puisque Charles habite aussi à Lyon. Et puis, ça rassure toujours d’avoir à traiter avec un voisin. Benoit viendra chercher la voiture à son retour d’Afrique d’ici un mois.

Trois jours plus tard, Charles reçoit une lettre de Côte d’Ivoire avec dedans un chèque de 6000€: c’est Benoit qui visiblement n’a pas eu le temps de déposer le courrier en France et qui a dû l’envoyer d’Afrique. Par contre, le gaillard s’est trompé: il a fait un chèque de 6000€ au lieu des 5000€ convenus.

Dans l’après-midi, Charles, qui n’aime pas garder des chèques chez lui, passe à sa banque et encaisse les 6000€. Puis il contacte Benoit d’abord pour le remercier du chèque mais aussi pour le prévenir de sa méprise. Plutôt embarrassé, Benoit lui redemande s’il peut lui renvoyer la différence moins une petite commission pour s’excuser du dérangement. Benoit propose 50€, Charles accepte et lui envoi donc un chèque de 950€ à son domicile Lyonnais.

Quelques jours plus tard, Charles reçoit un appel de sa banque: le chèque de 6000€ est un faux et son compte est à découvert à cause des 950€ qui, eux, ont bien été encaissés. Charles tente de contacter Benoit, mais en vain: il est aux abonnés absents. Dépité, Charles décide de porter plainte contre Benoit pour escroquerie. Et ce ne sera pas bien difficile: il a son adresse à Lyon.

Benoit est un étudiant qui passe une bonne partie de son temps libre à scruter les forums sur Internet. Un jour alors qu’il lit un forum technique, il tombe sur une certaine Stéphanie qui ne s’en sort pas avec sa connexion Wifi. Benoit lui prodigue alors quelques conseils sur le forum et Stéphanie finit par faire fonctionner sa connexion Wifi. Toute contente, Stéphanie remercie vivement Benoit par message privé, et lui propose même un petit dédommagement via Paypal.

Benoit refuse, arguant qu’il ne fait pas cela pour l’argent mais simplement pour aider les gens. Stéphanie lui demande alors si elle peut rester en contact avec lui car elle a parfois des problèmes avec son ordinateur portable. Benoit lui propose de continuer la conversation par messagerie instantanée.

Stéphanie accepte et commence à raconter sa vie: elle a 22 ans, habite encore chez ses parents à Lyon, et travaille comme vendeuse itinérante dans une société qui fabrique des meubles. Elle est depuis peu célibataire, et sinon elle a une grande passion sur laquelle elle s’étend longuement: les bijoux africains. Elle se fournit essentiellement en Afrique car elle a du mal à trouver ce qu’elle cherche en France.

Elle avoue dépenser beaucoup d’argent dans sa passion et achète de façon compulsive. Mais comme elle le dit si bien, quand on aime, on ne compte pas.

Au fil de la conversation, Benoit a le sentiment d’être sur un coup car Stéphanie l’a flatté à deux reprises et ne lui semble pas indifférente. Il lui a
demandé de mettre sa webcam mais elle a refusé; par contre, elle lui a promis d’envoyer prochainement une photo d’elle « s’il reste sage ».
Benoit et Stéphanie communiquent encore quelques jours par messagerie instantanée et parlent de tout et de rien. Ils ont fini par s’envoyer des
photos et Stéphanie s’avère être une jolie brune à son gout. « Pas franchement top, mais je la mettrai quand même bien dans mon lit », s’est dit Benoit à plusieurs reprises.

Stéphanie est toute contente car elle vient de recevoir aujourd’hui un de ces bijoux dont elle raffole tellement. Là, elle vient de trouver une pièce rare et elle espère que l’affaire va se faire dans les prochaines jours. Elle est un peu embêtée car elle doit partir prochainement chez un client en Italie pour au moins une semaine. « A mon retour, on peut peut-être s’appeler, voir même se voir si tu veux. En attendant, je t’enverrai des cartes postales depuis l’Italie », lui dit-elle. Benoit, tout content de la perche, en profite pour lui donner son téléphone et son adresse à Lyon. « Et tes coordonnées ? » lui demande-t-il ? « A mon retour, c’est promis. Je ne vais pas avoir beaucoup de temps à te consacrer depuis l’Italie ». Sur ce, Stéphanie s’en va car elle se sent fatiguée.

Le lendemain, comme à l’accoutumée, Benoit et Stéphanie entrent en contact par messagerie instantanée. Stéphanie est dans un hôtel en Italie; son voyage s’est décidé dès le matin et elle a à peine eu le temps d’attraper un avion. Elle n’a pas trop le moral et se sent seul, et puis elle n’a pas eu le temps de régler son histoire de bijou, ce qui l’a beaucoup énervé. Les deux amis se quittent assez rapidement.

Le lendemain, Stéphanie entre en contact avec Benoit beaucoup plus tôt que d’habitude. Elle n’a pas l’air dans son assiette. Benoit lui dit qu’elle peut se confier à lui, qu’ils sont amis et que les amis servent à s’entraider. Stéphanie est très déçue: elle lorgnait sur un de ces bijoux Africain dont elle raffole, et le vendeur lui a donné juste deux jours pour envoyer l’argent en Afrique. Le problème, c’est qu’elle est dans un bled dans lequel il n’y a aucun moyen d’envoyer de l’argent à l’étranger et que de toutes les manières avec ses horaires, elle ne peut se permettre de commencer à faire des kilomètres en voiture pour envoyer l’argent.

Compatissant, Benoit se propose de l’aider. Stéphanie le remercie mais n’a pas trop envie de l’impliquer dans ce qu’elle appelle « un caprice ».
Benoit se montrant insistant, Stéphanie accepte finalement et lui explique la démarche à suivre. Elle va s’arranger avec son père, Charles. Celui-ci va
envoyer à Benoit un chèque de 950€ qu’il pourra encaisser à sa banque. Dès que ce sera fait, il ira dans une agence Western Union pour payer le vendeur et pourra même garder 50€ pour payer les frais et sa course. « Et en plus, tu auras mon adresse, enfin celle de Papa et de Maman, puisqu’elle sera écrite sur le chèque. » dit-elle. Benoit, tout content, accepte bien volontiers. Mais attention, il y a urgence, car le vendeur n’a accordé que deux jours à Stéphanie pour payer. Benoit promet de faire au plus vite, dès qu’il aura reçu le chèque.

Le surlendemain, il reçoit le chèque de Charles, le père de Stéphanie. Au passage, il en profite pour noter son adresse et envoie les 900€ dans la journée chez le vendeur, un certain Jo de Côte d’Ivoire. Le soir même, il tente de contacter Stéphanie, mais elle n’est pas là. Déçu, il lui envoi un mail pour la prévenir et n’obtient aucune réponse. Dans les jours qui suivirent, Stéphanie est toujours absente. Benoit commence à s’inquiéter et sentir le doute monter en lui; mais il se voit rassurer en constatant que le chèque de 900€ a bien été crédité sur son compte.

3 jours après avoir envoyé l’argent, il reçoit la visite de deux policiers à son domicile.

Jo vit en Côte d’Ivoire. Il n’apprécie pas trop d’être qualifié d’escroc ou encore d’arnaqueur, des sobriquets beaucoup trop réducteurs à son gout.
Lui même se qualifie « d’orfèvre en machination financière ». Car Jo y connait un bout dans ce qu’il appelle affectueusement son « biz »: cela fait
maintenant plus de 5 ans qu’il s’y consacre à temps plein. Il s’est fait une spécialité dans l’arnaque des occidentaux, dont il utilise toujours
les petits travers pour son plus grand profit. Désir, innocence, naïveté, Jo sait parfaitement exploiter les moindres faiblesses de ces inconnus du bout du monde.

Il y a quelques années, Jo s’était essayé à l’arnaque africaine la plus connue, le 419. Mais cela fait désormais un certain temps qu’il laisse ce type d’escroquerie à ces cousins nigériens, les Yahoo boys, pour des combines beaucoup plus subtiles. Ces armes principales: un scénario béton et un soupçon de e-whoring très soft.

Les arnaques de Jo sont toujours triangulaires: il y a d’un côté le pigeon, celui qui va payer, et de l’autre, la mule, celle qui transporte et qui va porter le chapeau. Quand à Jo, il reste au milieu et contrôle tout le scénario qui repose pratiquement toujours sur la même histoire:
une fille d’une vingtaine d’année, assez conventionnelle, dévorée par une passion dans laquelle elle engloutit beaucoup d’argent et qui a désespérément besoin d’aide.

Le « conditionnement de la mule » demande toujours un certain temps, c’est d’ailleurs la partie la plus délicate à gérer mais Jo arrive généralement à former sa mule en seulement quelques jours. Il commence par épier un forum ou un chat ICQ et prend des notes. D’abord, le profil idéal: un jeune adulte célibataire, doté d’un compte en banque, et si possible très disponible. Les réseaux sociaux comme Facebook ou encore
Viadeo permettent un profiling parfois très précis d’une mule. Jo n’hésite
d’ailleurs pas à créer de faux profiles et poser des questions stratégiques, des amorces comme il les appelle, afin d’extraire de précieuses informations.

« Moi, je suis né le 8 mai 1987, et toi ? ».
« Pauvre Parisiens, je vous plains. Ici à Lyon, il fait 35° ».
« Combien elle vous charge votre banque pour les agios ».
« Ça y est, il m’a largué, ça intéresse quelqu’un de venir pleurer avec moi ».
« Pff, dur ma révision pour l’examen d’urbanisme, quelqu’un pour m’aider ? »

Notre orfèvre a deux façons de pêcher sa mule: soit, il jette son filet et étudie si sa proie correspond à ce qu’il recherche: il s’agit de la méthode la plus rapide. Soit, il épie sa mule et fera en sorte que ce soit elle même qui vienne à lui: la méthode la plus difficile mais qui fera sans doute la meilleure des mules.

Avec Benoit, Jo a pu facilement déterminer qu’il y connaissait un bout en Wifi: c’est toujours lui qui répond aux questions. Et en plus, cela prouve qu’il est volontaire et qu’il n’hésitera certainement pas à aider quelqu’un dans le besoin, surtout une fille. Par ailleurs, dans sa signature de forum, son lien sur une page personnelle a permis à Jo de déterminer qu’il était étudiant à Lyon. Et finalement en recherchant des traces de son pseudo sur Google, Jo a appris qu’il fréquentait un autre forum. Là, il lui a jeté une de ces amorces qui lui a permis d’identifier qu’il détenait un compte bancaire et même le nom de sa banque.

Lorsque Benoit est tombé dans les griffes de Stéphanie alias Jo, ce dernier l’a « travaillé » un petit moment. D’abord, il lui a laissé miroiter l’espoir d’une aventure, en se faisant désirer et en l’obligeant à se parler régulièrement. Puis, il lui a rapidement parlé de sa passion pour les bijoux, afin de lui inculquer l’instrument principal de l’intrigue.

Pour arriver à ses fins, Jo a une belle panoplie d’artifices qu’il utilise en fonction des mules qu’il rencontre. Tout d’abord, il tient toujours à mettre en confiance sa proie en lui proposant de le rémunérer dès la prise de contact; ici, un dépannage Wifi.

S’il accepte, Jo paye sans état d’âme une petite somme; c’est rassurant de traiter avec quelqu’un avec qui on a déjà fait affaire: c’est en quelque sorte un investissement. Ensuite, Jo sait choisir une photo qui convient: il se fournit toujours sur Shareapic ou sur l’un de ces nombreux blogs de filles qui pullulent sur Internet. En général, il prend une fille assez ordinaire mais suffisamment charmante pour exciter le désir de sa mule. De toutes les manières, il est très vite fixé et se trompe assez rarement. Ça aide aussi
d’être un homme … Et finalement, afin de parfaire la féminisation de son personnage, Jo a beaucoup étudié le comportement des femmes (vaste sujet :-), sur des forums tel que aufeminin.com ou encore Doctissimo, leur façon de choisir un pseudo, un avatar, leur manière de tourner les mots pour leur faire dire leur contraire, etc. Un bon adepte du e-whoring doit avant tout savoir utiliser la sensibilité féminine pour convaincre.

Jo n’a aucun mal à manipuler sa mule, et il s’efforce le plus souvent à ne pas donner de directives: dans la plupart des cas, c’est la mule elle même qui propose son aide, à sa plus grande satisfaction.

Après arrive le choix du pigeon. Jo s’est fait une spécialité dans les petites annonces de voitures, mais il utilise également l’arnaque aux locations. Le fait est que le marché des voitures d’occasion comporte déjà beaucoup d’escrocs et que les vendeurs ont appris à se méfier. Les locations sont plus simples à gérer et les arnaques moins nombreuses.

Jo envoi une dizaine de réponses à des personnes habitant à proximité de sa mule, généralement, une grande agglomération. Là, il exprime son intérêt pour la voiture, pose quelques questions, tente de faire baisser, voir même d’augmenter le prix en sortant des chiffres destinés à embrouiller sa victime mais aussi justifier son erreur à venir.

Et il finit toujours par « je peux vous envoyer un chèque dès demain ». Si le pigeon accepte, il lui sort son histoire de voyage et lui envoi le faux chèque depuis la Côte D’Ivoire.

Jo n’a aucune difficulté à se procurer des faux chèques: il les fabrique lui même avec un simple Paint, une bonne imprimante couleur et du papier épais !

Parfois, Jo fait appel à des mulets pour expédier ses chèques directement depuis la France. Les mulets sont des mules qui participent à la combine: ce sont des gens qui se contentent de poster du courrier depuis le pays. Il les utilise surtout dans ses arnaques aux locations. Mais Jo n’apprécie que moyennement l’utilisation des mulets car ils représentent un cout supplémentaire et peuvent parfois se faire arrêter par la police.
Après, tout est question de timing; mais son taux de réussite est suffisamment élevé pour lui permettre de vivre confortablement.

Lorsque l’on demande à Jo s’il a parfois du remord à agir ainsi, il déclare que l’on ne peut pas faire de « biz » avec des scrupules, que les occidentaux ont déjà beaucoup fait payé l’Afrique par le passé, qu’il est normal que ce soit à leur tour de payer et que quelque part, il existe une forme d’intellectualité dans son activité.