Aujourd’hui, les syndicats du cybercrime sont capables de prouesses technologiques dans le but de voler toujours plus d’argent, et la beauté de la chose, c’est que pratiquement toute l’escroquerie est automatisée !

Voici concrètement les principales caractéristiques de cette arnaque:

- L’utilisation inédite de VPN sur des opérations liées au botnet Zeus.
- Un système entièrement automatisé capable de piloter un nombre impressionnant de services en ligne, tels que l’archivage de chèques bancaires, la vérification de ces chèques, les sites d’offres d’emploi et certains Webmails.
- Le recrutement automatique de mules pour l’encaissement des chèques et le virement bancaire.
- Le détournement de certains systèmes anti-fraude pour faciliter l’arnaque.
- Fraude à la carte de crédit pour utiliser des services de livraison postale.

Utiliser un tunnel VPN pour dissimuler les opérations.

Le VPN (Virtual Private Network) permet de faire passer des données d’un réseau privé au travers l’Internet. Pour un maximum de sécurité, les données sont cryptées. Concrètement, vous êtes en déplacement et vous avez besoin d’accéder aux ressources privées de votre entreprise (Fichiers, intranet, imprimantes, etc.) Le VPN « creuse » un tunnel privé et sécurisé jusqu’à un serveur qui vous authentifie et redistribue ces données vers votre poste: vous faites désormais partie intégrante du réseau privé de votre entreprise, même si physiquement vous êtes à des milliers de kilomètres de votre lieu de travail.

L’arnaque utilise ce dispositif pour piloter les machines Zombie, préalablement intégrées au botnet Zeus. Windows dispose en standard d’un client VPN s’appuyant sur le protocole PPTP. Le Zombie se connecte au moyen de cette technologie à un serveur C&C (Command and Control) qui peut lui envoyer ses ordres en toute discrétion. Le système va alors s’installer sur un port TCP aléatoire et se transformer en proxy Socks.

La technique est beaucoup plus évoluée par rapport à ce qui se fait habituellement, notamment sur le Botnet Storm et son système de pilotage à base de P2P. Ici le flux de commandes est encrypté et encapsulé dans un protocole très courant et largement répandu, ce qui rend sa détection quasi impossible: une signature VPN est généralement anodine et ignorée par un IPS/IDS ou même un anti-spyware. Mais la grande force de la méthode est qu’elle permet de contourner n’importe quel firewall et aussi de résoudre la problématique du NAT (translation d’adresses IP) qui masque la machine sur Internet.

Des Zombies qui travaillent à différentes taches.

A partir du moment où un groupe de cyber-criminels prend le contrôle de plusieurs milliers de machines, il lui est facile d’organiser des opérations à un niveau industriel. Les Zombies sont capables d’effectuer automatiquement les tâches suivantes:

- Scraper des sites d’emploi pour y récupérer des adresses email.
- Lancer des campagnes de spams via Webmail (Yahoo, Gmail, etc.) afin de recruter de nouvelles mules.
- Créer automatiquement de nouveaux comptes Webmail pour générer du spam, la création se faisant à l’aide d’un service de décodage de Captcha.
- Utilisation des raccourcisseurs d’URL afin de camoufler les liens dans les spams.
- Piratage des images de chèques numérisés sur des sites de e-commerce.
- Achat automatique grâce à des cartes de crédit volées, d’enveloppes pré-timbrées et pré-remplies pour l’expédition par voie postale des faux chèques.

Toutes ces opérations jouent un rôle crucial dans le but ultime des escrocs: sortir de l’argent de certains comptes bancaires via de faux chèques et virer l’argent ainsi obtenue dans un autre pays.

Le mécanisme de l’arnaque.

Si l’on décortique un peu plus en détail les activités des machines Zombies, on comprend mieux comment le groupe contrefait les chèques. Un processus automatique scrape les images des chèques sur certains sites de e-commerce qui archivent leurs chèques. Ironiquement, l’un de ces sites s’avère être un site spécialisé dans la lutte contre la fraude aux chèques.

Finalement, le groupe était capable de s’introduire dans d’autres systèmes sous-traitants la gestion des chèques en provenance d’autres sites commerciaux. Le système était capable d’aller chercher un très grand nombre de ces chèques numérisés; il avait alors les précieuses informations nécessaires à l’élaboration des faux chèques: le numéro du chèque, le numéro de compte, le nom et l’adresse de la société ainsi que l’image de la signature des personnes autorisées à signer les chèques: comptables, particuliers, etc.

Le groupe semblait utiliser un véritable programme d’édition de chèques que l’on peut acheter chez un revendeur spécialisé.

Mules ou pigeons voyageurs ?

Les mules constituent l’un des piliers de l’arnaque; il est donc nécessaire d’en recruter toujours plus. C’est grâce aux sites d’emploi que les escrocs peuvent trouver des mules. Vraisemblablement grâce à des accès volés, ils accèdent aux adresses email de demandeurs d’emploi qu’ils n’ont plus qu’à insérer dans leur base de données de spam. Ces mules sont ensuite contactées par un email pour leur proposer une offre alléchante: travailler pour une grande société financière à la recherche de « talents » pouvant effectuer quelques opérations simples comme l’encaissement d’un chèque et un virement bancaire.

Voici un exemple de proposition:

A: [le nom du demandeur d'emploi]
De: Service des ressources humaines
Sujet: Proposition pour [le nom du demandeur d'emploi]

Cher [le nom du demandeur d'emploi]

Notre société – “La SA Méga Fiduciaire Internationale” gère des prestations bancaires depuis plus de 10 ans. Pour faire face à notre croissance exceptionnelle, nous sommes à la recherche de personnes pouvant transférer de l’argent depuis les États-Unis vers l’étranger.

Le travail consiste en les opérations suivantes:
- Récupérer un chèque via un point de dépôt postal.
- Encaisser le chèque.
- Effectuer un virement bancaire vers des comptes que nous vous indiquerons.

Pour ce travail, il vous est demandé:
- Une adresse active.
- 1 à 2 heures de disponibilité par jour.
- Un compte bancaire suffisamment approvisionné.

Rémunération:

De $100 à $500 par jour avec une garantie minimale de $3000 en à peine quelques heures. Notre société prend en charge tous les frais.

Si cela vous intéresse, merci de bien vouloir vous inscrire sur notre site Web et d’y renseigner vos coordonnées.

Sincères salutations.
Le Directeur des Ressources Humaines
SA Méga Fiduciaire Internationale.

Le groupe a utilisé bon nombre de noms de société proches de sociétés financières complètement légitimes, afin de gagner la confiance des mules. Si le demandeur d’emploi répondait à l’annonce, voici le genre de mail qu’il recevait:

Sujet: Première opération pour [le nom de la mule]. Veuillez suivre attentivement les instructions ci-jointes.
De: Paiement réussi
A: [le nom de la mule]

Cher [le nom de la mule]
Attention: veuillez répondre à ce message au maximum 12 heures après sa réception.

Notre client vous a envoyé un chèque de $2740. Vous recevrez ce chèque par voie postale entre le 10 et le 12 juillet.

Vous pouvez voir en temps réel l’état d’avancement de l’expédition grâce à son numéro de suivi: X3535XX

Une fois reçu, vous pouvez encaisser le chèque:
1) Auprès de la banque qui a émit le chèque.
2) Auprès d’un centre d’encaissement.
3) En déposant directement le chèque sur votre compte bancaire.

Plus vite vous enverrez l’argent par virement, et plus importante sera votre commission. Si vous envoyez l’argent dans les 24 heures, votre commission représentera 15% du montant du chèque. Dans le cas contraire, vous ne percevrez que 8% de la somme.

Dans les 24 heures:
Somme à envoyer: 2204
Votre commission: 411
Frais: 125

Après 24 heures:
Somme à envoyer: 2395
Votre commission: 220
Frais: 125

S’il y a d’autre frais, merci de bien vouloir les déduire du montant à envoyer.

Vous allez avoir besoin des informations suivantes pour effectuer le virement bancaire:
1) Prénom ** [Le prénom de la mule russe]
2) Nom ** [Le nom de la mule russe]
3) Ville ** Saint-Saint-Pétersbourg
4) Pays ** Russie

Une fois que vous avez envoyé l’argent, la banque va vous donner un numéro de suivi que vous nous enverrez par email.

Merci de bien vouloir indiquer précisément les informations suivantes
1) Votre adresse (celle que vous avez indiquée dans le virement):
2) Vos noms et prénoms (que vous avez indiqué dans le virement):
3) Somme transférée:
4) Le numéro de suivi:

Une fois que notre client aura reçu le virement, prouvant ainsi votre efficacité, le nombre de chèques à encaisser sera augmenté au jour le jour. Nous apprécions votre collaboration et espérons que vous travaillerez longtemps avec nous. Merci de bien vouloir nous répondre par mail et nous indiquer que vous avez bien compris les instructions.

Une organisation bien huilée mais trahie par un mauvais anglais

Afin que l’opération soit un réel succès, la mule devait agir dans les meilleurs délais. C’est pour cette raison qu’il était vital que le virement se fasse le plus rapidement possible, d’où la commission de 15% pour la première journée et de seulement 8% pour un délai supérieur. Le montant des faux chèques n’excédait jamais $3000. Au delà de ce montant, les délais d’encaissement ont tendance à augmenter et le risque de découvrir la fraude devient beaucoup plus important.

Lorsque la mule ne répondait pas au mail d’information, le groupe insistait en lui téléphonant directement. Une femme parlant anglais mais avec un accent russe appelait la mule en lui demandant d’envoyer l’argent le plus rapidement possible.

Les chèques reçus par les mules semblaient bien réels. Même les habituelles mesures anti-contrefaçons y apparaissaient.

Un exemplaire de faux chèque

Malheureusement pour le groupe, la mauvaise maitrise de l’anglais leur a été fatale: les très nombreuses fautes d’orthographe et de grammaire présents directement sur les chèques trahissaient la contrefaçon.

Pour terminer, nous avons ici affaire à un groupe très bien organisé et qui a su exploiter les gigantesques possibilités offertes par un botnet; le degrés d’automatisme est tel que l’avenir nous prépare certainement encore de bien belles surprises en provenance des cyber-syndicats.

Xrumer est un sacré logiciel qui m’ennuie beaucoup. Il me met une pagaille pas possible dans un forum associatif que je gère, m’obligeant à valider manuellement les inscriptions, ce qui me donne du travail supplémentaire; du travail de fourmi que j’exècre au plus haut point.

Suite à mes déboires, je me suis donc penché un peu plus sur ce sinistre logiciel, par la force des choses. C’était il y a quelques mois, au cours duquel j’échangeais régulièrement avec l’un de mes correspondants Estoniens qui m’avait tuyauté sur le botnet Storm.

Mon correspondant, appelons le Piotr, connaissait bien la bête car il l’utilisait fréquemment. Il me l’avait longuement recommandé, mais je ne l’ai jamais acheté, préférant développer à la main mes machines infernales. Et puis les problèmes avec mon forum m’avaient aussi un peu échaudé.

Un jour où nous échangions, il me dit qu’il a quelques soucis avec le monstre et que, « Nibdon » comme ils disent en Estonien, le site web qui le distribue (www.botmasternet.com) n’est plus accessible et qu’il se retrouve dans la galère, surtout au prix où il a payé sa licence (plus de $500). Un peu amusé par la situation, je me dis que Piotr fait surement parti des spammeurs qui ont inondé mon forum mais, bon prince ou déformation professionnelle, je décide de jeter un œil au problème.

La Russian connection

Le site était hébergé à l’adresse 95.169.190.220, et ne répondait plus. J’en profite pour lancer quelques tests avec certain de mes outils et je tombe sur les données administratives du réseau. Cette adresse fait partie du réseau 95.169.190.0/23 qui appartient à un certain Ivan Gladenko de la société Keyweb.de.

Ces messieurs font partie des fournisseurs qui ne sont pas très regardants sur leurs conditions générales d’utilisation. Au programme des clients: spams, faux codecs, arnaque financière (HYIP) et d’autres choses que je préfère taire. De plus en plus intéressé par eux, je vais même jusqu’à découvrir qu’ils hébergent deux serveurs de contrôle du botnet Zeus !

Bon finalement, c’est tout de même dans la logique des choses que Xrumer soit hébergé plutôt chez ce type de société plutôt qu’au Vatican. Suite à ce sympathique moment, Piotr me dira que le site a tout simplement été migré chez un autre prestataire et qu’il fonctionne bien désormais.

Un autre prestataire ? Mais qui donc cette fois-ci ? Allons-nous passer de Al Capone à mère Thérésa ? Jetons un œil si vous le voulez bien.

Le retour de la Russian connection

Tout d’abord, j’apprends qu’il faut faire soit même la résolution DNS, c’est à dire coder un fichier hosts sur sa machine; pas bien pratique tout cela, mais passons. Voici donc la nouvelle adresse du site de Xrumer: 188.72.244.95.

Cette adresse appartient à la plage 188.72.244.64 – 188.72.244.127, dirigé par un certain Alexey Terentyev de nkvdteam.ru.

Le Ripe nous apprend que ce bloc d’adresses est en fait routé par la société Netdirekt, récemment rachetée par Leasweb, un gros fournisseur néerlandais. La société Netdirekt a également un très lourd passif en matière de petits ennuis, pour rester courtois.

Tout en bas de la page, vous prêterez une attention toute particulière à l’un de leur turbulent client Rustelekom qui ressemble étrangement à la tentaculaire mais néanmoins défunte Russian Business Network.

En clair les concepteurs de Xrumer utilisent les infrastructures « underground » habituelles qui leur permettent de ne pas être trop inquiétés dans leurs petites affaires, mais pas seulement.

L’envers du décor

Il y a environ un mois, je discutais via IRC avec Piotr alors qu’il était en « plein travail » avec Xrumer, et c’est là que j’ai été pris d’un petit soupçon que j’ai eu envie de vérifier. Je lui ai donc demandé si je pouvais me connecter sur son serveur dédié que je puisse admirer « la bête dans ses œuvres » (Création de 500 liens à la minute).

Il a accepté mais à condition que « Nibdon », je ne casse rien parce que c’est quand même de son gagne-pain que nous parlons.
Je me suis donc connecté et à l’aide de Windump, j’ai discrètement lancé une capture réseau du trafic généré par Xrumer.

La première chose que j’ai trouvé étrange est la grande fréquence de requêtes ICMP envoyées par le serveur. Le protocole ICMP est un protocole de service utilisé par exemple par les commandes ping et traceroute. (tracert sous Windows). On l’utilise normalement pour signaler un problème ou pour véhiculer des messages de contrôle. Dans notre cas, j’ai pu compter jusqu’à 10 requêtes ICMP par minute, ce qui est absolument anormal lors d’une utilisation conventionnelle d’un service réseau. J’ai demandé à Piotr si l’on pouvait arrêter temporairement Xrumer, et lorsqu’il l’a fait, les requêtes ICMP ont disparu. C’est donc bien ce logiciel qui est à l’origine de ce type de trafic réseau. A noter que toutes ces requêtes étaient toujours envoyées dans la même direction: une machine hébergée par groatcoats.com (Site web indisponible).

La deuxième chose que j’ai constaté est la taille du paquet ICMP. Alors que celle-ci est généralement de l’ordre de quelques octets, là le paquet faisait plusieurs kilos-octets, de quoi transporter un certain nombre d’informations. Cela m’a rappelé une expérience que j’avais faite il y a quelques années pour contourner un IDS. L’idée était que comme la plupart du trafic conventionnel (Web, mail, etc.) était étroitement surveillé, il fallait faire preuve de beaucoup de subtilité pour arriver à faire entrer ou sortir de l’information située au delà du système de protection d’une entreprise. J’ai trouvé la solution en camouflant des données dans une requête d’apparence complétement anodine: le ping qui fonctionne au moyen de deux paquets ICMP¨: ECHO_REQUEST et ECHO_REPLY. Outre l’entête traditionnelle (source, destination, type, checksum), ce paquet comporte un « payload » (cargaison) pas franchement normalisée. C’est donc dans cette cargaison que j’ai pu insérer mes informations au nez et à la barbe de l’IDS grâce à un petit programme écrit en C.

Pour en revenir avec cette caractéristique de Xrumer, je n’ai pas su décoder le contenu du paquet. Le mystère reste total, mais il y a pour ma part 3 à 4 kilos en trop dans ce type de requête lorsque l’on fait fonctionner Xrumer.

Et la dernière chose qui m’a également semblé bizarre dans mon analyse, c’est le nombre absolument incroyable de connexions TCP sortantes. Faites un test, lancez un blast sous Xrumer, ouvrez une ligne de commande (cmd) et tapez la commande suivante:

netstat -an

La première colonne indique le protocole (tcp ou udp), la seconde est l’adresse IP émettrice, la troisième l’adresse de destination munie de son type d’application (le port dans le cadre de tcp) et la dernière représente l’état de la connexion (Établie, finie, etc.). Vous isolez le trafic Web en repérant les adresses de destination se terminant par :80. Si vous avez plus de 10 connexions simultanées, cela revient à dire que vous êtes sans doute en train de lancer un DDOS contre une victime !

C’est là une de mes interrogations: est-ce que Xrumer ne profite pas de ses blasts pour lancer peut-être des attaques simultanées contre des sites Web ? Après tout cela passerait complétement inaperçu: si la machine est chargée, et croyez-moi lors d’un DDOS, elle l’est, après tout cela reste une situation qui semble normale, surtout lorsque l’on crée 500 liens à la minute.

En conclusion mon analyse ne prouve rien certes, mais la chose qui est certaine c’est que personnellement, je refuserai toujours d’installer ce type de logiciel sur ma propre machine.

Je sais que tout le monde s’en fiche éperdument, mais j’ai passé une bonne partie de mon existence dans le nord de la France, au pays des moules et des frites. A ce sujet, j’ai souvenir de la rue principale de mon patelin, où l’on pouvait dénombrer pas moins de 8 friteries. En dehors de ceci, il était possible de trouver des frites dans l’une de ces nombreuses caravanes à petite cheminée en périphérie de la ville. On y servait des cornets avec supplément mayonnaise, camembert, maroilles et même pâté pour la modique somme de un franc.

Vous pouviez également opter pour un américain (les Belges appellent cela une mitraillette): vous prenez une demie baguette que vous coupez en deux, insérer-y une fricadelle (si vous savez ce que c’est), bourrez-le tout de bonnes frites non surgelées et mettez par dessus une bonne cuillère à soupe de mayonnaise. Fermez le sandwich et agrémentez votre déjeuner d’une bonne bière belge ou chti, de quoi donner des cauchemars à mes ennemis de chez mangerbouger point fr.

Malheureusement pour moi et sans doute heureusement pour mon taux de cholestérol, les circonstances de la vie ont fait que j’ai du m’éloigner de ce qu’il faut bien appeler un paradis culinaire. Me voici désormais dans une région où en une dizaine d’années, je n’ai jamais pu retrouvé ces sympathiques baraques à frites, les autochtones du coin ayant de nettes préférences pour les grenouilles. Moi qui déteste la cuisine chirurgicale, celle qui vous oblige à utiliser une pince à épiler pour vous sustenter, je n’ai jamais retrouvé (ou presque :) ce qui a bercé toute mon enfance: de bonne frites bien grasses à des années lumière de toute la propagande actuelle vantant les bienfaits du potage salsepareille-mandragore.

Sur le WEB, il existe des business qui subissent le même sort que mes amies les Frites de chez Gégène: alors qu’elles sont appréciées et reconnues dans le quartier de l’avenue de France à Maubeuge, elles sont quasiment inconnues, ici en région Lyonnaise. C’est le cas du business du proxy: alors qu’il s’agit d’un business bien développé outre atlantique, il n’existe pratiquement rien au doux pays de Frédéric Dard.

Arsinoe Lebrac, j’ai deux mots à vous dire via ce proxy

Pour les ceuses et les ceux qui ignorent ce qu’est un proxy, je vous exprime en des mots très simples son utilité. Vous détestez Arsinoe Lebrac, le maire de votre village, Gromette-en-Gleu et vous mourrez d’envie de lui dire deux mots, à ce paltoquet malfaisant qui a refusé de subventionner votre association, l’amicale des boulistes de Gromette.

Mr Lebrac, conscient que maintenant sans l’Internet, tout élu n’est qu’un vieux ringard qui ne sait pas encore que le telex n’existe plus, est doté d’un magnifique blog WordPress qui lui sert à communiquer avec ses très chers administrés. Vous décidez d’aller lui dire deux mots sur son blog, mais vous savez que Mr Lebrac est suffisamment susceptible pour demander une enquête et remonter jusqu’à vous par l’intermédiaire de votre adresse IP.

Vous savez pertinemment que dans notre beau pays, il est très mal vu d’insulter un élu et que vous risquez de voir déchainer contre vous tous les hérauts de la bienséance, de la vertu, de l’altruisme, de la générosité, de la solidarité, de l’abnégation, de l’affection, de l’allocentrisme, de la bénignité, du bienfait, et de la bienveillance. C’est d’autant plus grave que l’arrière petit cousin de Mr Lebrac a récemment épousé une demoiselle issue de la diversité. Vous risquez d’être condamné pour racisme et d’avoir affaire aux forces de la bonté, de la charité, de la clémence, de la générosité, de la gentillesse, de la longanimité, de la magnanimité, de la mansuétude, de l’oubli et de la philanthropie.

Vous décidez alors de camoufler votre adresse IP. Ceci se fait très simplement au moyen d’un proxy. Vous vous connectez sur l’un de ces sites, par exemple en Chine, vous allez sur le blog de Lebrac et là vous pouvez lui pourrir son existence en toute impunité. Si Lebrac est trop échaudé suite à vos velléités, il demandera enquête. Trois mois après il obtiendra l’adresse IP de l’utilisateur qui a dit du mal de sa maman, l’imposante Roxane Lebrac. Mais les recherches aboutiront en Chine, et là, il n’y aura pas grand chose à faire.

Donc pour résumer, un proxy joue à votre place une requête Web. C’est donc son adresse qui apparait et la vôtre est complètement dissimulée, ce qui est particulièrement pratique lorsque l’on a des querelles de clochers à résoudre mais pas seulement.

- Je suis un élève médiocre de Lyon 2 qui a beaucoup de temps à perdre mais qui ne peut pas aller sur Facebook pendant les heures de TP parce que l’admin réseau bloque le site-qui-fait-perdre-son-temps-à-tout-le-monde: j’utilise un proxy pour contourner le filtrage.

- Je suis un Chinois qui veut lire le Figaro mais qui ne peut pas parce que le gouvernement Chinois interdit la presse subversive: j’utilise un proxy.

- Je suis un salarié qui s’est découvert une passion pour les grosses noires, chanteuses de Gospel, mais qui ne peut pas accéder au site Lovebigblack durant les heures de travail midi parce que le firewall de la boite l’interdit: j’utilise un proxy.

En clair, un proxy est utilisé pour contourner un mécanisme de filtrage ou tout simplement pour dissimuler sa propre adresse IP.

Comment installer un proxy ?

Si à l’instar des frites lyonnaises, ce business est quasiment anecdotique en France, il est pourtant bien établi ailleurs et les gens qui en possèdent arrivent à en tirer des sommes d’argent non négligeables. J’ouvre ici une petite parenthèse avant d’aller plus loin dans mes explications. Il existe deux types de proxy: ceux qui sont installés dans le but d’être utilisés par le public et ceux qui le sont devenus accidentellement, suite à une erreur de manipulation et que l’on est normalement pas censé utiliser; on les appelle les proxy ouverts. Je m’intéresse à la première catégorie, celle qui peut vous rapporter de l’argent et non pas des ennuis pour utilisation frauduleuse de ressources informatiques.

La première chose qu’il faut savoir, c’est qu’un proxy demande des ressources, en bande passante, mais aussi en CPU. Inutile donc d’installer ce type de programme sur votre vieux portable derrière votre ligne ADSL. Préférez-lui un hébergement de qualité.

Vous devez également vous assurer que votre hébergeur accepte ce genre d’utilisation, car comme je vous l’ai dit, ce type de programme est fort gourmand mais peut également s’avérer contraire aux conditions générales d’utilisation de votre hébergeur. Le proxy est un service assez particulier et bon nombre d’opérateurs grand public le refusent tout bonnement. Le mieux est de passer par un hébergeur spécialisé dans le proxy.

Après, il vous faut le logiciel adapté. Le leader incontesté dans ce domaine est Glype qui fonctionne sur une base PHP+Curl. Il existe quelques alternatives comme par exemple PHProxy mais qui n’est plus maintenu depuis quelques années.

Une fois votre logiciel installé, vous devez le faire connaitre et assurer sa promotion. Faire du SEO sur ce type de service est très difficile, et bon nombre de propriétaires lui préfèrent d’autres moyens:

- Acheter une publicité sur Proxy.org, le site phare des utilisateurs de proxy, avec la garantie d’avoir des milliers de visiteurs par jour.

- S’inscrire sur l’une de ces innombrables toplists de proxy. Une toplist est une sorte d’annuaire fonctionnant par classement. A chaque sortie (un clic), le site sélectionné grimpe dans le classement.

- Acheter un blast via email. Certaines mailling-list spécialisées dans le proxy comporte plus de 200000 membres !

- Acheter une annonce sur un groupe Yahoo.

Gagner de l’argent avec un proxy, c’est bien

J’en arrive maintenant à la partie la plus captivante de ce business: sa monétisation. Mais avant tout, il y a quelques particularités qu’il est nécessaire d’expliquer:

- Le trafic est saisonnier, et a tendance à beaucoup diminuer durant les vacances scolaires, car une bonne partie des utilisateurs de proxy sont des lycéens et des étudiants.

- Les proxy attirent les visiteurs à peu de valeur ajoutée, notamment en provenance de Chine ou d’Iran. Bon nombre de propriétaires de proxy n’hésitent pas à filtrer ce type de visiteurs, générateurs de peu de revenus, y compris en matière de PPC.

- Le proxy est un business reconductible, c’est à dire qu’il peut être reproduit un nombre illimité de fois en suivant toujours le même modèle. Certains ont d’ailleurs fait de véritables fortunes en appliquant de façon industrielle les même schémas d’implémentation et de promotion.

- La durée de vie et surtout la notoriété d’un proxy est généralement assez éphémère: bon nombre d’administrateurs réseau, notamment ceux travaillant dans les écoles et les universités, font la chasse aux proxy en bannissant rapidement leurs adresses IP.

Comme je l’ai expliqué, les utilisateurs de proxy sont généralement des jeunes personnes qu’il n’est pas toujours commode de rentabiliser. Les affiliations classiques ne fonctionnent pas très bien, hormis tout ce qui touche aux rencontres via des CPA par exemple. La meilleure façon de monétiser un proxy est de faire appel au classique PPC et l’inévitable Adsense de Google. Jusqu’à peu, il était également possible d’utiliser Adbrite sur un proxy, mais c’est désormais terminé.

Google autorise les annonces uniquement sur les pages d’accueil des proxy. Il n’est pas possible d’utiliser Adsense sur les autres pages, celles qui sont proxifiées. D’une manière générale, peu d’annonceurs autorisent que leur annonces soient déposées sur du contenu proxifié; il faut alors se tourner vers des petits annonceurs peu rigides à ce genre de trafic.

Ce business a connu des heures de gloire, il y a quelques années. Aujourd’hui, il est plutôt sur une phase descendante, en partie à cause du départ de certains des annonceurs qui étaient clairement les bailleurs de fond des propriétaires de proxy. Mais il y a toujours des places à prendre et moyen de gagner de l’argent pour ceux qui veulent s’y essayer.

A l’instar de certaines autres activités économiques, ce sont encore la promotion et la publicité qui tirent leur épingle du jeu: toplist, annonces et blasts se vendent décemment.

Les proxy ont encore de beaux jours devant eux, surtout avec une réglementation de plus en plus sévère à l’encontre de la toile. Et puis, n’avons-nous tous pas notre Arsinoe Lebrac à côté de chez nous ?

Initialement pour indexer mes liens, j’utilisais une méthode toute simple: sur plusieurs de mes blogs, j’avais un script PHP qui centralisait tous mes liens et en affichait quelques uns en effectuant une simple rotation. Les liens n’étaient pas visibles pour l’utilisateur mais simplement pour les moteurs; du bête cloaking en définitive. Cette méthode s’est avérée particulièrement efficace, grâce notamment à la magnifique structure inter-liens de WordPress, mais je n’ai pas continué dans cette direction, car je n’aime pas mélanger les genres: un blog WH quelconque n’est pas destiné à indexer des liens, il est là pour faire de l’argent ou distraire mes lecteurs. Et puis à la longue, il m’est venu l’idée que la problématique de l’indexation des liens est quelque chose qui doit être complétement mis à part et géré comme un véritable projet doté d’une véritable pérennité.

Je me suis donc attelé à la construction d’une nouvelle machine infernale, avec les objectifs suivants:

- Qu’elle soit dans son coin, qu’elle bosse toute seule et ce ad vitam eternam.
- Qu’elle soit rentabilisée et qu’elle ne me demande aucun effort intense.

L’architecture de cette machine s’articule autour de plusieurs modules distincts: le script Ant, le script Mxrss et WordPress MU doté de plugins particuliers.

Tout d’abord, la première chose qu’il faut savoir est que j’ai mon propre serveur Ant, car c’est un outil fondamental dans toutes mes stratégies. Ce site est invisible aux yeux de tous, et doit le rester. En clair, il n’est jamais exposé et aucun lien n’est jamais construit vers ce site. Pour le préserver, j’utilise plusieurs artifices: cloaking, bannissement, faux messages d’erreur et surtout Mxrss. Ce script a été placé sur des pages perso, gratuites ou autres et sous le couvert d’innocentes pages appelle tranquillement mon serveur Ant qui reste donc invisible et fait tranquillement son travail en tache de fond. Je profite de cette occasion pour vous rappeler de mettre souvent à jour Ant, car en fonction des fils RSS, certains imprévus surviennent souvent. C’est par son utilisation intensive que j’ai pu constater plusieurs problèmes liés au décodage RSS, particulièrement sensible.

L’exploitation du serveur Ant est automatisé à l’extrême: je suis capable de déployer tout un package en à peine quelques secondes grâce à une succession de scripts Shell et Perl.

La deuxième pièce maitresse de l’arsenal est un WordPress MU, qui permet la création quasi-illimitée de blogs. Je préfère utiliser ce genre de CMS plutôt que de multiplier les domaines, sources trop importantes de travail, et bien entendu de frais. WordPress a aussi l’avantage d’avoir une structure qui s’indexe très bien et aussi un nombre incroyable de plugins qui vous facilitent grandement la vie.

Avant tout, il faut savoir que même si la machine infernale est avant tout un outil, il ne me parait pas superflu de tenter de la rentabiliser. Un nom de domaine coute, un hébergement coute, de l’exploitation coute, du développement coute, etc. Vous avez certainement déjà une idée du prix d’un nom de domaine, donc je ne m’y attarde pas. Pour l’hébergement, il vous suffit de diviser le cout mensuel par le nombre de sites Web.
Par exemple, je paye $14 mensuel pour un hébergement illimité chez Hostagator sur lequel j’ai déposé 10 sites. Mon cout par site est donc de 14/10 = $1,4 par mois. Pour l’exploitation, il suffit de prendre votre salaire mensuel et de le diviser par le nombre d’heures par mois que vous travaillez pour obtenir votre cout horaire.

C’est donc avec ce double objectif que je développe ma machine infernale: indexer mes liens et avoir un minimum de revenus pour couvrir les frais engagés, sinon cela s’appelle perdre de l’argent, et c’est fort dommage, même pour un Français.

Dans mon cas, j’ai basé mes blogs sur une thématique proche du produit que je cherche à promouvoir, je n’utilise aucune bannière, aucune régie PPC (surtout pas d’Adsense !) et m’appuie uniquement sur le plugin TrafX qui permet de bien « véhiculer » mes visiteurs vers la page de vente et surtout de voir le taux de clic (CTR).

Pour le contenu, c’est tout simple, je me contente de créer un autoblog video, à base de Youtube, Dailymotion, Break, etc. J’utilise au choix deux plugins: wp-o-matic ou Phpmyvideoblog, avec une préférence pour ce dernier. Je préfère les vidéos aux contenus qui sont toujours dupliqués et peuvent vous amener des ennuis.

Après, j’optimise au mieux le WordPress avec les dispositifs habituels: structure du permalien, articles récents, archives, tags, calendrier, etc. De sorte de faire un maximum de liens internes.

Finalement, j’intègre dans un widget le fil RSS construit par Mxrss et qui contient les liens en provenance du serveur Ant (qui reste invisible). Par défaut, WordPress contient un lecteur RSS intégré mais il n’est franchement pas génial. De cette manière, mes liens sont déposés sur les nombreuses pages crées par WordPress et se retrouvent rapidement indexés.

Grâce à WordPress MU, je construis autant de blogs que je le souhaite, avec à chaque fois les mêmes artifices: le plugin vidéo, le plugin TrafX, et les liens RSS dans les widgets. Cela ne demande que quelques minutes, cela finit par rapporter un peu d’argent et surtout cela indexe mes liens.

Je conclue cet article en vous souhaitant de bonnes fêtes de fin d’année et en vous prodiguant les conseils suivants:

- Mangez très gras, très sucré, très salé, ajoutez du poivre ou du Ras el hanout.
- Adhérez au CAG (Club des Amis du Gras), fondé par mon propre frère Sylvain, et dont je suis membre d’honneur.
- Ne mangez pas 5 fruits et légumes par jour.
- Blacklistez définitivement mangerbouger.fr et autres pénibles aseptisants vantant la culture brocolis-vitel.
- Buvez 4 verres de ce cadeau divin qu’est le Chateauneuf du Pape, de sorte que la cousine Hildegarde vous oblige à rester dormir chez elle, à proximité du lit de camp de Gwendoline, sa collègue à l’abyssal décolleté.

« Mieux vaut crever dans le champagne que mourir dans la tisane. »

Heureusement, on peut souvent compter sur l’organisation interne du site pour indexer nos propres liens. Par exemple, un forum Vbulletin affiche en première page le nom de la dernière personne qui s’est inscrite, les gens qui sont connectés, ceux dont c’est l’anniversaire, etc. Ceci a comme avantage de créer dynamiquement un lien vers notre propre lien, renforçant ainsi les chances d’être indexé.

Malheureusement, ce n’est pas toujours le cas et les liens orphelins, ceux qui ne sont pas liés, ont beaucoup de chances de ne jamais être indexés, et même de disparaitre à tout jamais.

Voici un exemple des plus frustrants:

http://www.statbrain.com/www.pagasa.net/

Ce serait quand même sympa d’avoir un lien en provenance de ce PR6, vous ne trouvez pas ? Malheureusement, il n’y a presque aucune chance pour que cela arrive, car nous avons encore affaire à un lien orphelin. (Enfin plus vraiment maintenant :)

Alors, on peut utiliser des méthodes classiques: le spam-referer, les commentaires de blogs et même créer une ferme de liens avec LFE par exemple et qui n’aurait comme but uniquement d’indexer nos propres liens.

Pour ma part, je vous propose une petite méthode personnelle, bien à moi et qui réduit considérablement les efforts à déployer. J’ai appelé cette méthode « la technique de la petite bête » en hommage à une personne qui m’a beaucoup inspiré sur ce sujet.

La première chose à faire est de se procurer un hébergement PHP gratuit bien entendu: hors de question de payer pour quelque chose qui ne va pas nous rapporter ne fut-ce qu’une pelure de cacahuètes. Si vous êtes chez Free, c’est très facile. Pour les autres (dont je fais partie), je ne vous ferais pas l’injure de vous expliquer comment vous procurez un plan PHP gratuit.

Dans ma tactique, cet hébergement s’appelle la ruche: c’est elle qui va être le cœur de toute la stratégie. Sur la ruche, vous commencez par créer une page banale, ridicule, inutile: vous pouvez par exemple expliquer que vous êtes une idiote qui s’appelle Hildegarde, qui aime le chocolat glacé et qui rêve d’avoir un iPhone à Noël pour épater les copines. Bien entendu, il s’agit d’une vitrine, mais celle-ci doit être crédible car elle doit subsister dans le temps.

Derrière la ruche, vous installez Mxrss, mon script qui permet de fusionner plusieurs flux RSS. Pour tester et mettre en route la machine infernale, installez-y un flux quelconque, celui du Figaro ou de Libé par exemple.

Ceci fait, créez-vous un compte Twitter ainsi qu’un compte TweeterFeed. Sur ce dernier, vous allez installer le flux RSS de la ruche; ce sera un machin du style:

http://hildegarde.free.fr/mxrss.php

qui sera donc automatiquement twitté vers votre compte Twitter et son indéniable pouvoir SEO.

Dans la seconde partie que nous appellerons la petite bête, vous aurez encore besoin d’un deuxième hébergement PHP gratuit mais ailleurs cette fois-ci. Là, vous allez encore devoir créer une page stupide, imbécile : vous pouvez par exemple expliquer que vous êtes un idiot qui s’appelle Arsinoé, qui aime les caramels mous et qui rêve d’avoir un Blackberry à Noel pour épater les copains.

Derrière la petite bête, nous installons le script Ant qui permet de consolider tous vos liens dans un flux RSS. C’est ici que vous mettez tous vos backlinks : profiles, blogs, etc. Ceux qui ont toujours beaucoup de mal à s’indexer ; ils sont désormais en rotation dans le flux RSS et prêt à être « consommés ». Vous pouvez pinger la petite bête au moyen de Pingomatic pour faire venir les bots.

Finalement, il nous reste une dernière chose à faire : la petite bête doit maintenant rejoindre la ruche. Dans cette dernière, vous accrochez donc le flux RSS de la petite bête. Voilà, c’est fini.

Pour résumer, vous disposez donc d’une ruche qui consolide tous les flux RSS contenant vos backlinks et qui les twitte automatiquement. Et le tout est extensible à l’infini.

Et il y a moyen d’aller encore plus loin : comme votre flux RSS est très facilement transportable, vous pouvez le mettre dans Netvibes, votre compte Yahoo, Google et tout sorte de lecteurs ou agrégateurs, créant ainsi un très joli plat de spaghettis. Bien entendu, plus il y aura de petites bêtes, mieux ce sera. Vous créez une troisième page crétine, demeurée : vous pouvez par exemple expliquer que vous êtes un idiot qui s’appelle Isengrain, vous connaissez la suite ?

Vous configurez le script au moyen du fichier « ant.conf »; il doit comporter:
- Le nombre maximum de liens à afficher,
- L’encodage du flux (UTF-8 ou autre),
- Le titre du flux,
- La description du flux,
- La langue du flux.

Vous placez les liens à construire dans le fichier csv « ant », à raison d’un par ligne. Vous pouvez si le souhaitez ajouter un mot clé pour intituler le lien. Par exemple:

« http://forum.tarteaupom.com/member.php?u=111″;achat viagra

Si vous omettez le mot clé, le programme construira de lui même le titre de l’article. N’oubliez pas les guillemets, sinon le programme ne pourra pas fonctionner.

Appelez le flux RSS de la manière suivante:

http://votresite/ant.php

Vous pouvez ajouter une URL directement à distance en utilisant la commande suivante:

http://votresite/ant.php?add=http://votreurl

Le script est capable de détecter les pages en erreur et les effacer de la configuration.

Pour pouvoir fonctionner, le script doit être capable d’écrire dans le répertoire courant et être autorisé à utiliser la commande d’ouverture à distance d’URL fopen(« URL », « r »), ce qui n’est pas systématique, notamment chez les hébergeurs gratuits.
Vous pouvez tester la fonctionnalité grâce au petit code PHP suivant:

<?php
$fd = @fopen(« http://www.google.fr », »r« );
if($fd) {
echo « OK »;
fclose($fd);
}
else
echo « KO !! »;
?>

Finalement, un fichier .htaccess est livré avec le programme afin de protéger vos données d’éventuels accès interdits. Merci à Jeremy de me l’avoir signalé.

09 décembre 2010: Version 1.4, amélioration du décodage des fils RSS.

07 décembre 2010: Version 1.3, modification de la syntaxe du fichier des URL pour un meilleur support des « liens à problème ».

30 novembre 2010: Version 1.2, suppression de quelques fils RSS disparus. Amélioration de la gestion du fichier de configuration et du parse RSS.

Modification du 10 octobre 2010: compatibilité avec certains formats d’URLs exotiques. Merci à Kevin pour la mise à jour.

Télécharger le script

Je m’appelle Arkady, j’ai bientôt 28 ans, je suis Russe, junkie de mon état et accessoirement professionnel de tout ce qui se fait de pire en matière d’Internet.

D’aussi loin que je me rappelle de ma jeunesse, j’ai toujours eu un faible pour le cinéma Italo-Americain de Scorsese, De Palma et surtout Copola. Ce sont certainement ces réalisateurs qui ont donné toute leur lettre de noblesse aux bandits de la Cosa Nostra. Mais je ne peux m’empêcher de penser que s’ils avaient su tout ce que nous sommes désormais capables de faire, nous autres Bratva, alors Robert de Niro aurait certainement pû jouer Flyman, le mystérieux leader de la Russian Business Network.

Car nous sommes désormais des gens riches et puissants, et ce grâce à cette fabuleuse mine d’or qui s’appelle l’Internet. Cela fait maintenant plus de 8 ans que ma vie a été transformée par le e-eldorado. Je n’étais alors qu’un minable étudiant en informatique, épuisé par les milliers de lignes de code Cobol et C données par mes professeurs de l’ETU, l’université de  Saint Petersbourg. Mais après les cours, le pitoyable Arkady commençait à faire ses armes sur la toile au commande de quelques puissants systèmes Unix, généreusement « prêtés » par son université. J’étais encore pauvre, incapable de me payer ne fut-ce qu’une simple connexion RTC; heureusement que j’avais à ma disposition mon accès universitaire qui m’a ouvert à peu près toutes les portes de la criminalité informatique mondiale. Dieu bénisse la Sainte Russie.

Car j’ai vite découvert que dans cet endroit sans frontière, la fortune n’était qu’à deux doigts, ceux que j’utilisais au début pour communiquer et créer ce qui allait devenir mon véritable empire.

J’ai commencé comme tout le monde: par le spam. Avec un script de ma composition, s’appuyant sur des relais ouverts trouvés dans les groupes de discussion, j’étais capable d’envoyer des dizaines de milliers d’emails par jour sur toute la planète. La promotion, c’était bien entendu ce qu’il y avait de plus simple: du porno. Je faisais entre une à dix conversions par jour, ce qui pouvait me rapportait jusqu’à $100 quotidiennement; pour un petit étudiant fauché comme moi, c’était l’Amérique ! Cette histoire a duré quelques mois jusqu’au jour ou toute une partie du bloc IP de mon université a été blacklistée par Spamhaus. Les deux administrateurs réseaux de l’école étaient de vieux fonctionnaires de l’époque soviétique qui n’avaient jamais prêté attention à « mes activités ». Mais cette fois-ci, c’était différent, au vue de la gravité de la situation: la plupart des mails de l’université était systématiquement rejetée. Je suis passé en conseil de discipline et ce n’est que de justesse que je n’ai pas été renvoyé.

Quelque part grisé par mon « exploit » et aussi par le bon filon, j’ai néanmoins continué depuis chez moi via ma toute nouvelle et très couteuse ligne RTC. Mais mon expérience universitaire m’avait appris à être prudent: afin de brouiller les pistes, je multipliais les relais ouverts, et aussi changeais régulièrement mon adresse IP en redémarrant mon modem analogique. Le problème, c’est que j’y ai beaucoup perdu en terme de performances. Passer d’une connexion T1 à un simple RTC à 33kb, pas fiable de surcroit, mes conversions ont chuté dramatiquement: il y avait même des jours où je ne gagnais pas d’argent !

C’est aussi à cette époque que je me suis diversifié vers le spam via les failles des formulaires mail: plus discret, et plus fiable, j’ai réussi quelques bons coups avec cette technique. Et parallèlement, c’est aussi à ce moment que je me suis mis à fumer beaucoup de marijuana essentiellement chez moi.

Un jour, alors que j’étais en plein « travail » (ma dose de spam quotidienne, agrémenté d’un bon joint), un magnifique BSoD a magistralement planté mon ordinateur. Après quelques heures passées à réparer les quelques dégats constatés, j’ai découvert quelque chose qui allait changer radicalement ma conception de faire des affaires sur Internet: j’avais été contaminé par un ver.

Cette histoire m’a fait longuement cogité, et ce pendant plusieurs nuits. Mon business n’allait pas très bien, essentiellement à cause du débit largement insuffisant de ma connexion et des précautions dont je m’étais entouré. Et voilà qu’un programme informatique pénètre sur mon PC, et commence à utiliser mes précieuses ressources, déjà bien limitées. Je me suis alors dit que je tenais là certainement la solution à mon problème de performance: il fallait que j’aille chercher ailleurs ce que j’étais pour l’heure incapable de fournir.

Mon idée était toute simple: j’allais développer un cheval de Troie qui une fois installé, me permettrait d’envoyer mes spams en profitant de la connexion de ma « victime ». J’ai mis deux mois pour développer mon parfait petit système. Celui se présentait sous forme d’un simple processus Windows qui prenait ses directives via un canal IRC dissimulé. Je pouvais envoyer des spams et aussi mettre à jour le programme à distance. Mon cheval n’était pas un ver, un système capable de s’autorepliquer, il fallait qu’il soit exécuté pour pouvoir être installé. J’ai utilisé le P2P ainsi que les canaux warez pour propager ma création. En le dissimulant par exemple dans un générateur de clé ou un crack, j’ai rapidement pu disposer de plusieurs centaines de machines « infectées », essentiellement basées en Europe ou aux Etats-Unis et pourvues de connexions DSL. C’est là que j’ai fait un malheur ! J’étais capable d’envoyer des dizaines de milliers d’emails par jour, avec bien entendu toutes les retombées financières qui vont avec. En ce mémorable 8 mai 2002, j’ai réussi à gagner $2203 en une seule journée, grâce à une performante affiliation pornographique dont j’avais réussi à avoir l’exclusivité via une de mes Partnerka.

A ce sujet, je pense avoir eu beaucoup de chances dans ma vie. Car on ne rentre pas comme cela dans une Partnerka, nos plateformes d’affiliation en Russie. Contrairement à celles que l’on voit en Europe, nos Partnerka ont beaucoup moins pignon sur rue; elles sont discrètes, et il faut montrer patte blanche pour pouvoir espérer un jour y rentrer. Pour ma part, cela a commencé en fréquentant un forum de Webmasters de chez nous. On savait tous qu’il y avait des gens des Partnerka parmi les membres, mais la plupart du temps, ils n’intervenaient que très rarement. On les reconnaissait à leur signature et leur manière unique de communiquer: l’ICQ. Il était inutile de leur envoyer un MP, ils ne répondaient que très rarement, voir même ils finissaient par filtrer les plus insistants d’entre nous. Certains des nôtres avaient fini par rentrer chez eux, mais ils restaient discret sur ce qu’ils faisaient et nous affirmaient toutefois que « cela valait le coup mais qu’il fallait faire ses preuves ».

A la longue, j’ai fini par tisser des liens avec un type que j’ai beaucoup aidé en PHP, un certain Voevoda666, Venyamin de son vrai nom. Or celui-ci avait déjà réussi à rentrer chez Topsold2.ru, une Partnerka montante. Il m’a parrainé et j’ai été accepté après avoir discuté au téléphone avec leur AM (Gestionnaire de comptes), un Arménien du nom de Vardan. Au fil des années, je suis resté en contact avec Vardan. Nous sommes d’ailleurs devenus assez proches, et il est sans conteste, le rare ami que je n’ai jamais eu dans le « business ». Car Vardan m’a beaucoup aidé, de par ses étroites relations et aussi de son implication dans le monde des Partnerka. Le jour où il quittait Topsold2.ru pour créer sa propre Partnerka, j’ai été son premier affilié. Et c’est aussi lui qui m’a initié à la coke :-]

Les années qui suivirent ont vu la professionnalisation de mes activités sur Internet: je suis devenu rapidement un spécialiste pour faire de l’argent par tous les moyens possible et inimaginable. J’ai touché à tout et pratiquement tout fait: à coup de Xrumer, je suis devenu un spammeur chimique grâce à l’obscur Canadian Pharmacy. J’ai installé des dizaines de milliers de faux Codecs, antivirus, spywares. Vendu des fausses montres et évidemment trempé dans les juteux marchés du casino, des rencontres, et bien entendu continué comme pas un dans le porno. Je dois dire que Vardan y est aussi pour beaucoup dans ma réussite, il avait toujours le chic pour me trouver un bon produit à promouvoir. En bref, c’est essentiellement grâce à sa Partnerka que je suis devenu riche avec des revenus qui pouvaient atteindre plus de $20000 par mois.

Les moyens pour y arriver sont simples: du volume, de l’industrialisation et même de la sous-traitance. J’ai continué à spammer de plus belle par mail; grâce à un très gros travail d’automatisation, je suis arrivé au chiffre astronomique de 700000 mails envoyés par jour. J’ai aussi utilisé toute la panoplie du Blackhateur en herbe, comme Xrumer, Scrapebox, Senuke. Mais jouer à cache-cache avec Google a finis par me lasser; par ailleurs, il est fort hasardeux de baser tout un chiffre d’affaire uniquement sur le bon vouloir d’un seul moteur de recherche ! J’ai aussi beaucoup utilisé les régies PPC de seconde zone qui vous demandent 1 centime du clic. Au début, j’étais tellement mauvais à ce jeu que j’ai payé un type pour le faire à ma place. A force d’observer ce qu’il faisait, j’ai fini par comprendre le truc, mais il était plus rentable de continuer la sous-traitance. J’ai même poussé le vice à aller injecter des ActiveX « malsains » dans des publicités à la bannière sur des forums adultes.

De toutes les manières, quand vous connaissez les ficelles de ce milieu, vous arrivez toujours à faire de l’argent ou à faire faire de l’argent pour vous par quelqu’un d’autres.
Par exemple, vous achetez un « blast Xrumer » pour $35 qui peut vous rapporter 10 fois plus en même pas une semaine. Vous pouvez aussi vous procurer de la longue traine extrêmement bien ciblée à partir de 1 centime l’expression. Si vous faites 1% de conversion sur un produit de type Forex qui se vend $50, il vous faut donc investir seulement $1. Il y a même des gens qui louent leur botnets pour que vous puissiez envoyer vos spams ou plus subtile, monter des escroqueries au CPM, au CPA ou au parking de domaine. En bref, les moyens possible sont légions pour qui veut gagner de l’argent mais il faut savoir différencier les coups d’un véritable emploi à plein temps.

Il est arrivé un jour où j’ai pris un peu de recul sur mes activités, notamment sur le côté éthique de tout ce que j’avais accompli en une dizaine d’années. J’en avais fait quand même des belles durant tout ce temps, et il est clair que plusieurs fois, j’aurai peut être pu finir dans les goulags de Sibérie. Mais j’ai toujours eu un avantage certain: le fait d’être russe. Notre pays n’est pas tellement en avance en matière de législation sur la criminalité informatique, et nos dirigeants ont bien d’autres chats à fouetter que de s’occuper de malheureux spams. Je me suis souvent dit que finalement, je ne faisais pas véritablement de mal à mon prochain, que je n’étais qu’une sorte de profiteur des failles d’un système complétement ouvert. Et aux quelques rares détracteurs que j’ai parfois côtoyé, je n’ai eu qu’un seul mot: « des clous ! » La seule véritable limite que je me suis imposé est de ne jamais faire de pédo-pornographie; pour tout le reste, je ne me suis jamais véritablement posé de question: ce n’est que du business, et pas forcément illégal, du moins pas chez nous.

Il est maintenant 3 heures du matin, je vais rentrer chez moi me coucher, seul comme d’habitude. Qui voudrait d’un type comme moi, un nerd certes aisé mais quand même complétement jeté ? En chemin, je me prendrai sans aucun doute une dernière dose de Tianeptine, histoire d’écourter encore plus le délai qui m’amène irrémédiablement vers ma tragique destinée.

Aujourd’hui, ce ne serait évidemment plus possible, car nous avons affaire à des millions de virus, vers, chevaux de Troie, sans compter tous les Spywares, Adwares qui hantent l’Internet: heureusement nous disposons d'antivirus tout simplement téléchargeables, comme cloud pour venir contrer tous ces parasites- il faudrait forcément rassembler une équipe tant les proportions d’infection sont grandes. On peut véritablement parler d’épidémie, et ceci dure depuis déjà de nombreuses années sans que l’on puisse en voir la fin.

Connaissant ce milieu, je me suis penché sur les motivations qui peuvent pousser quelqu’un à écrire un virus. Vous verrez qu’elles offrent un large éventail de profils bien distincts les uns des autres. Elles sont aussi à la hauteur du nombre gigantesque de malwares que l’on recense chaque jour.

La première motivation est le défi intellectuel. En effet, ce n’est pas forcément donné à tout le monde de coder un virus, capable d’infecter des millions de machines. Pour avoir déjà désassembler quelques virus, il faut parfois une très bonne maitrise technique pour arriver à produire « quelque chose » de performant. Je vous laisse imaginer le défi que cela représente d’aller inspecter les entrailles de Windows et  pondre un code capable d’exploiter une faille LSASS. Maintenant, la chose est tout de même devenue plus aisée grâce  à l’utilisation de langages plus simple comme le Visual Basic. Mais le résultat ne sera pas forcément spectaculaire; c’est toujours en assembleur que l’on sera capable d’aller au plus loin dans le codage d’un virus. Le défi est finalement similaire au challenge que l’on peut se lancer dans un sport ou une activité extrême.

La deuxième motivation est la vengeance. Lorsque l’on a été brimé par son employeur, par exemple, il est tellement facile de déposer quelque part « une petite cochonnerie », bien cachée au sein du système d’information qui se déclenchera quelques semaines après notre licenciement départ. Ce genre de chose n’est pas à proprement parlé un virus, mais plutôt un cheval de Troie; le but n’étant pas de forcément se reproduire, mais juste de nuire à l’ennemi. Par exemple, on peut imaginer un programme qui, à chaque redémarrage du PC, va aller effacer aléatoirement un fichier stratégique, comme une DLL par exemple.

Notre troisième motivation est la reconnaissance. Si vous faites partie de ceux dont on se moque tout le temps, parce que vous transportez votre ventre dans une brouette, vous avez beaucoup de chances de rentrer dans cette catégorie. En mal de notoriété, vous cherchez le coup d’éclat, vous faire remarquer et créer un virus peut certainement vous aider dans votre quête. Le seul problème, c’est que vous allez devoir affronter un paradoxe que votre esprit n’arrivera pas à résoudre: vous voulez être connu, mais vous savez pertinemment que si vous déclarez sur un forum que vous êtes l’auteur du ver Sasser, vous avez beaucoup de chances d’avoir des problèmes avec la justice. Et pour votre gouverne, les sociétés n’embauchent pas les créateurs de virus, il s’agit d’une légende urbaine. De toutes les manières, il est clair que vous allez avoir des ennuis.

Notre quatrième motivation est sans doute la pire des choses, puisqu’il s’agit de terrorisme.Vous ne l’avez peut être pas remarqué, mais l’Internet grouille de cyber-activistes, cyber-anarchistes, cyber-extrême-machin, etc. A l’image du pyromane qui se délecte de la vue d’un feu de forêt, certains ne rêvent que de destruction. Et l’Internet a ceci de fabuleux, c’est qu’il est un formidable terrain de jeu pour les créateurs de virus destructeurs, capables de semer la destruction des systèmes d’exploitations ou des précieuses données. Et je profite de cette occasion pour vous dévoiler comment on a déjà tenté si ce n’est de détruire l’Internet, mais le ralentir fortement: en lançant un DDOS massif sur les principaux serveurs root.

Et je termine avec la dernière motivation: l’argent. Évidemment, avec les milliards qui transitent sur l’Internet, il est normal que les bandits de grands chemins se soient attaqués à ce nouveau territoire. De plus en plus de Botnets sont désormais utilisés pour des malversations financières. Les précédents exploits du Botnet Mariposa ne sont pas là pour me contredire.

C’est en faisant un peu de tri l’autre jour sur une de mes machines infernales, que je suis retombé sur la relique de l’un de ces coups. Comme ceci remonte à 3 ans déjà, j’en profite pour vous dévoiler ce coup et y apporter une analyse. Avec le temps, on murit et on est certainement plus critique quand à ses expériences passées.

L’idée était toute simple et maintes fois réutilisée: automatiser la création d’un site, rediriger le trafic vers ma Money Page, l’URL qui me permet d’acheter des Petshops à ma petite fille, puis multiplier cela à l’infini.

La création se faisait tout simplement via un bête script en PHP: depuis un dictionnaire anglais, je construisais des phrases à partir de mots tirés aléatoirement. Cela faisait une belle grosse méchante bouillie, incompréhensible bien entendu par le commun des mortels; mais je m’en moquais, étant donné que ces pages n’étaient là que pour nourrir mes amis, les moteurs de recherche.

A l’époque, ce n’était pas grave d’avoir des pages avec des contenus irrationnels, plein de gens le faisaient; depuis lors, de nouvelles lois ont été votées par ceux qui font la pluie et le beau temps sur la cyber-planète.
Dans une page, j’incorporais quelques liens vers d’autres pages qui se construisaient au fur et à mesure des visites. Si bien qu’au bout de quelques temps, je me suis retrouvé avec plusieurs centaines de pages auto générées.

Ces pages étaient quand même optimisées grâce à une astuce du très productif Blackhatter cité en début de l’article. Un agrégateur Web mettait à disposition une liste de blogs fraichement mis à jour, et il me suffisait d’aller récupérer régulièrement ces informations et de les utiliser pour construire mes pages. Ce qu’il faut savoir, c’est qu’un nombre impressionnant de scrapers utilisait cet agrégateur pour pratiquer en masse le spam à base de Trackback: vous publiez un article sur le viagra, et immédiatement la moitié de la planète des spammeurs vous pingeront avec comme espoir d’obtenir un retour sur leur Trackback. En clair, les spammeurs vous construisent gracieusement vos liens !

Parallèlement, un autre script construisait toutes les heures un feed RSS à partir du site auto généré, et lançait quelques pings vers des sites comme pingomatic.com afin de faire venir les moteurs de recherche.

Je ne peux pas dire que les liens se construisaient rapidement avec cette méthode; en fait, c’était bien en dessous de mes attentes et des affirmations du collègue.

Proverbe Blackhat: lorsque quelqu’un dévoile une nouvelle technique,
c’est qu’elle est déjà périmée depuis belle lurette.

Néanmoins, j’arrivais à faire venir des visiteurs, essentiellement grâce à la longue traine et Blogsearch. Les visiteurs étaient alors redirigés vers la money page, un produit « Rock&Roll » à télécharger.

Je suis alors passé à la vitesse supérieure, en créant une grande quantité de sous-domaines. Dans les bons jours, j’arrivais à générer plusieurs centaines de visiteurs, toujours grâce à Blogsearch. En multipliant toujours les domaines, je serai rapidement arrivé au millier de visiteurs, j’en suis convaincu.

Un jour, j’ai eu la visite de la Quality Team, et une semaine après l’ensemble du domaine ainsi que tous les sous-domaines ont été blacklistés.

Le site hébergeant la money Page n’a pas été pénalisé, mais Google m’a demandé d’y retirer les Adsenses, car jugé trop « Rock&Roll ». Pas porno, ni même érotique mais un peu limite quand même, je dois bien le reconnaitre après coup.

Au final, certes j’y ai gagné de l’argent, mais comme tout projet BlackHat, cela restera un simple coup et une expérience bien amusante.

Mais cela reste formateur, et j’ai appris beaucoup de choses:

- Tout d’abord, la durée: il se sera passé 3 mois entre le lancement du projet et le bannissement. Cela laisse quand même du temps pour faire rapidement de l’argent. Mais encore une fois, vivre sur ce genre de coup me laisse perplexe. Et puis, comme je l’ai déjà expliqué, je suis convaincu qu’un site banni peut avoir des conséquence sur le profiling d’un Webmaster par Google dans le futur.

- Des erreurs techniques: « oubli » du cloacking pour rediriger les visiteurs, et ne pas prévoir la venue prévisible de la Quality Team, en leur affichant un faux 404 ou plus marrant un compte désactivé pour spam :-)
Ce qui me fait dire qu’il faut vraiment une bonne préparation, avoir un script impeccable que l’on teste longuement avant sa « mise en production ». Je ne vous explique pas la galère lorsque vous devez corriger un bug sur des centaines de sites !

- Une erreur fondamentale: utiliser le même nom de sous-domaine avec un nombre: machin01, machin02, etc. Ça sent quand même le spam à plein nez ! Et puis avoir des milliers de sous-domaines qui apparaissent comme cela, du jour au lendemain, avec plein de pages, cela reste assez bourrin. Il faut être plus subtil, utiliser plusieurs domaines pour se couvrir, et faire cela tout doucement, lentement, insidieusement.

- Le contenu « scrambled », c’est bien fini, et d’après-moi, cela ne peut qu’accélérer le bannissement ou le spam-report

- Le spam à base de Trackback fonctionne encore, mais il faut faire quelques recherches pour bien les utiliser …

- Les liens sont toujours aussi compliqués et pénibles à construire.

- La longue traine est une excellente alternative à exploiter « puissamment ».

E Finita la Commedia !

Je vous rappelle toutefois que cet outil ne génère pas lui même la sémantique ni les synonymes: c’est à vous de le faire.

D’après quelques sources que j’ai eu, il semble que Google soit déjà au courant de notre petite bidouille et il n’est pas rare  d’avoir des articles spinnés se faire pénaliser . N’oubliez jamais que quelque part dans l’ombre, une armée de personnes s’acharne jours et nuits à lutter contre les mauvaises pratiques de ceux qui ne sont pas dans le camp du bien.

Néanmoins, même si les ingénieurs de Google ont certainement des mécanismes de détection susceptibles d’identifier les articles « trafiqués », il est facile de les contourner en utilisant quelques bonnes pratiques que je vais vous expliquer. Après ceci, vous serez capable de créer des milliers d’articles entièrement uniques. N’oubliez pas les backlinks, je vous prie: c’est déductible de votre ISF.

Tout d’abord, dans un souci de sauvegarde de notre patrimoine Francophone et par respect pour mes lecteurs du CanadZa, j’utiliserai désormais « pivoté » en lieu et place de « spinné ».

Lorsque l’on fait pivoter le contenu d’un article de façon conventionnelle, c’est à dire rapidement et sans se poser de question, trop pressés que nous sommes à vouloir promouvoir une ferme de blogs à coup de Xrumer, invariablement une série de problèmes survient et qui finissent par sauter aux yeux de notre grand ami à tous, l’inénarrable Google.

Le premier problème concerne l’agencement de l’article pivoté: en fait, même si son contenu diffère grâce au génialissime algorithme que je vous ai pondu (3 malheureuses lignes de code), la structure de votre page HTML reste généralement toujours la même, avec le même nombre de paragraphes, retour à la ligne, puces, images et tout le même fatras HTML habituel: H1, H2, H3, CENTER, etc.

L’idée est donc de casser le caractère monotone de notre article pivoté, en y insérant des étiquettes HTML différentes dans nos alternatives.

Par exemple, tantôt je mets un caractère en gras, tantôt je ne le fais pas:

{<b>Thibaut est gras</b>|Thibaut est gras}

En italique:

{<i>Cialis en italique</li>|Cialis en italique}

Centré:

{<center>Tramadol au centre</center>|Tramadol au centre}

En jouant sur les entêtes:

{<h1>Acheter mon viagra pas cher</h1>|<h2>Acheter mon viagra pas cher</h2>|<h3>Acheter mon viagra pas cher</h3>|Acheter mon viagra pas cher}

En cassant les paragraphes:

{.|.<br />}

En utilisant des puces

{<ul><li>Viagra 1</li><li>Viagra 2</li></ul>|=> Viagra 1<br />=> Viagra 2<br />}

En insérant des images de temps en temps:

{<img src= »image de Carla Bruni nue »>|}

Etc, etc. Le langage HTML est suffisamment riche pour que vous puissiez exprimer toute l’étendue de votre talent.

Notre deuxième souci est la quantité d’informations beaucoup trop similaire d’un article à l’autre: on y trouve généralement le même nombre de mots ainsi qu’un nombre identique de phrases:

Je {vais|pars} à {Lyon|Lille} jeudi prochain. J’y verrai {un match|une partie} de {foot|volley}

Ce problème se contourne aisément en créant un nombre différent de mots et aussi de phrases; il suffit de prévoir des expressions optionnelles:

J’aime {beaucoup|} regarder la télévision {le soir|}. {Cela me détend|}

Ma fille {qui vient d’avoir 4 ans|} va à l’école uniquement le matin {du lundi au vendredi|}

Troisième problème, la similitude qui peut exister d’une phrase à l’autre:

{Connaissez-vous la meilleure façon de perdre du poids ?|Savez comment perdre des kilos ?}

Même si elles sont différentes, ces deux phrases expriment clairement la même idée et sont tout simplement des synonymes basiques.

L’analyse sémantique est quelque chose de difficile à réaliser d’un point de vue informatique car il faut des algorithmes assez chiadés mais je ne suis pas convaincu que ce soit un obstacle pour une multinationale pesant plusieurs milliards de dollars.

Esquivez le piège des phrases synonymes en changeant complètement leur tournure:

{Dans le chapitre qui suit, je vous expliquerai la meilleure de façon de perdre du poids|Si vous voulez perdre du poids, lisez les explications qui suivent, une méthode vous détaillera précisément comment arriver à vos objectifs}

Le quatrième problème se rapporte aux OBL, les liens sortants: en créant systématiquement une relation vers votre site ou votre lien d’affiliation, vous ouvrez un boulevard béant à Google qui n’aura aucun mal à identifier son propriétaire.

Pour éradiquer cet inconvénient, multipliez les liens dans votre article, surtout ceux qui vont vers des sites de confiance, comme Wikipedia, Youtube, Facebook, etc. Votre lien en sera d’autant plus crédible. Si vous êtes dans une logique purement trafic, utilisez différents raccourcisseurs d’URL.

Et j’en viens maintenant à notre cinquième et dernier problème: la date de publication du lien. Si vous créez une dizaine d’articles que vous publiez le jour même, la rapidité d’apparition de votre lien sera trop importante. Comme je vous l’ai déjà expliqué dans un un article précédent, la vélocité est certainement un indicateur très utilisé par Google. Différez donc de quelques jours la publication de vos articles, et espacez votre travail suivant des intervalles irréguliers.

Joyeux pivotage à tous !