1. SEP2016 GHOSTMARKET FORUM
UPEM C3N
VOL. 1O . P O P I L L E / S . D I D I O N / J . M I L L I O N / C . L E L U D E C / A . J D A I N I
RAPPORT
D’ANALYSE RESEAU
2. GENERAL Dédié aux questions portant sur le forum : les règles, la présentation des membres, les questions techniques.
OTHER Qui réunit les tutoriels, recherche des acheteurs.
CARDING MARKET Portant sur l’activité principale du forum : la vente des informations bancaires, la liste des établissements
ou les données ont été utilisées, les cartes cadeaux.
HACKING CRACKING MARKET Essentiellement centré sur la vente d’outils permettant d’entrer illégalement sur certains sites internet.
PHISHING BANKING MARKET Afin de poster la marche à suivre ou le résultat d’actions de phishing ainsi que des listes d’adresses mail.
ADMINISTRATEUR
MODÉRATEURS
TRUSTED
REGISTERED
BOTS
BANNED
GUESTS
SPECIALS
RAPPEL DE LA COMMANDE
Le Centre de Lutte Contre la Criminalité Numérique (C3N) nous a sollicité afin de réaliser une analyse du forum de carding
GhostMarket. Pour cela, nous partirons de la base de données qu’il nous a été fourni au préalable. Le but étant de permet-
tre à la gendarmerie de procéder le plus rapidement possible aux démarches visant à démanteler le réseau criminel. Nous
opérerons donc une analyse approfondie de la base de données afin de décrire les activités et drésser le réseau d’acteurs.
Notre objectif est de fournir un document synthétique afin que les services procédant à l’enquête soient opérationnels
dès que possible.
Etudier le forum et son fonctionnement permettra, nous l’espérons, de révélé les faiblesses de ce type de réseau. Nous
nous pemettrons modestement, en toute fin d’analyse, d’indiquer des processus de démantèlement applicable à ces
derniers.
DESCRIPTION DU FORUM
Le forum a été mis en ligne le 13 avril 2009 par Nicholas Webber, Ryan Thomas et un autre complice. Ces trois adoles-
cents britanniques ont administré le forum jusqu’au 17 juillet 2009, date de fermeture de ce dernier. En octobre 2009, les
fondateurs ainsi que certains membres ont été arrêtés. Les dommages financiers causés par l’activité du forum ont été
évalués à environ 16 millions de livres (équivalents à 19 millions d’euros). Le forum a souvent été décrit par les médias
comme le“Facebook du crime”. Les utilisateurs s’échangaient des services illégaux au travers de discussions privées ou de
posts sur les différents topics. Parmi ces activités, la principale était le carding : il s’agit de récupérer des données issues de
cartes bancaires volées ou piratées. L’objectif pouvant être d’utiliser l’argent à disposition pour son usage personnel ou
bien de revendre ces données à des acheteurs. C’est ainsi que l’on peut effectuer une première division entre les utilisa-
teurs de Ghostmarket : d’une part les vendeurs, d’autre part les acheteurs. D’autres activités rythmaient également la vie
du forum : trafic de drogues, vente d’armes ou de munitions.
Pour rendre compte de l’étendue du forum, nous avons pu recueillir différents chiffres permettant d’avoir une vue d’en-
semble. Pour commencer, le forum réunit sur sa durée d’existence 3331 membres. Le forum est divisé en cinq catégories
“parents” qui sont composés de “sous-forum” contenant eux-mêmes les posts. Ces cinq topics sont divisés par théma-
tiques.
Sur l’intégralité du forum, on peut compter environ 18 000 posts, relativement bien répartis selon les topics, exception
faite du topic General qui centralise 39% des posts en raison des sujets qu’il propose (des sujets généraux qui relèvent de
questions sur l’utilisation du forum et ses règles de vie). Les messages privés sont également très important en terme de
chiffres : on recense 7646 messages privés échangés sur les quatre mois de vie du forum entre les différents membres.
Comme évoqué plus haut, il est possible de distinguer des règles d’organisation dans le forum qui sont éclairantes sur la
structuration du réseau. Les utilisateurs sont répartis en différentes catégories. Outre les ache-
teurs et les vendeurs, il existe donc une hiérarchie structurel. Il existe différents groupes, qui
exerce une très grande influence sur le fonctionnement du site. Il y a premièrement les adminis-
trateurs, qui gèrent le site et font preuve d’une présence quasi systématique. Seul un utilisateur
possède ce statut sur Ghostmarket (N2C). Viennent ensuite les modérateurs, au nombre de 4,
qui surveillent les posts et le respect des règles du site. Les utilisateurs“trusted”, sont au nombre
de 74 représentent une catégorie dite “de confiance” . Pour devenir un membre trusted, il faut
l’approbation de deux autres membres du forum1
. Ce sont donc des utilisateurs qui ont prouvé
la qualité de leurs services ou leurs utilités au sein du reseau. Ces trois catégories forment l’élite
du forum : elles polarisent le plus d’interactions.
Les membres“registered”représentent la catégorie la plus importante du forum quantitativement parlant. Elle rassemblant
95% des membres totaux. Ils sont la masse d’inscrits classiques sur le forum et ne tiennent que rarement de rôle particulier.
Viennent ensuite les membres bannis (dont on ne peut que supposer le statut) et les bots. Deux autres catégories restent
difficile à définition : les“guests”et les“specials”. Ces groupes sont cependant très marginaux sur le forum et n’en représente
qu’un infime pourcentage.
Les annonces proposant les services illégaux sont publiées sous forme de posts sur le forum, afin que les acheteurs potentiels
puissent y répondre. Le système de messages privés permet en outre de contacter directement les vendeurs, afin de discuter
de manière plus approfondie de la transaction. Souvent, ces messages privées sont utilisés pour échanger sur d’autres moy-
ens de communication hors forum, notamment les adresses de messagerie MSN.
Les utilisateurs souhaitaient avant tout rester dans l’anonymat : on remarque que plusieurs posts réclamaient que le forum
ne soit plus indexé dans le moteur de recherche de Google. Ainsi l’usage de l’IP ou de l’adresse mail pour remonter vers les
identités administratives restent selon nous difficile du fait de l’usage de VPN.
NOTRE DÉMARCHE
Après avoir reçu la base de donnée, nous l’avons traité avec un système de gestion de bases de données. Différentes
requêtes ont été effectuées afin de récupérer des indicateurs utiles à l’analyse. Ces indicateurs nous ont permis d’établir
les statistiques générales du forum. Elles nous ont également permis d’obtenir une vision globale des interactions au sein
du forum et des membres importants. En croisant certains de ces indicateurs, nous avons pu déduire plusieurs tendances
utiles à la compréhension du réseau.
À partir de ces indicateurs, nous avons réalisé des visualisations afin de mettre en forme les résultats et de simplifier leurs
compréhensions . Nous avons notamment créé une cartographie de ce réseau à l’aide du logiciel Gephi, nous permettant
ainsi de mesuré le poids des“noeuds”constituant le réseaux ainsi que la forme des liens entre ces noeuds.
Nous nous sommes inspiré pour l’analyse, de l’article de David Décary-Hétu et Dominique Laferrière: “Discrediting Ven-
dors in Online Criminal Markets”2
. L’idée de la destruction “par l’intérieur” d’un forum grâce à la discréditation, qui y est
développé, sera partiellement reprise ici.
Le plan du rapport s’articulera suivant trois axes. D’abord, nous verrons ce qui structure le forum GhostMarket, à savoir la
puissance de certains de ses membres. Ensuite, nous souhaitons montrer comment cette notion de puissance se traduit
au sein du forum - en intégrant sa dimension marchande - et comment celle-ci peut représenter un risque pour la commu-
nauté. Enfin, nous livrons des recommandations pratiques ad-hoc pouvant être appliquées sur le forum GhostMarket afin
de le fragiliser et, à terme, le détruire
Ces informations seront consignées dans ce document synthétique qui permettra nous l’espérons une action rapide , peu
couteuse et efficace.
1
Décary-Hétu, David & Dominique Laferrière. (2015).“Discrediting Vendors in Online Criminal Markets”. DANS Malm, Aili & Gisela Bichler. (éds.). Disrupting Criminal Networks: Network
Analysis in Crime Prevention (pp. 129-152). Boulder, États-Unis: Lynne Rienner.
2
Ibid
2 3
4. On assiste à une logique de renforcement : les échanges entre ces acteurs centraux sont caractérisé par leur faible distance, dans la
pratique cela signifie qu’il leur est facile de communiquer rapidement les uns avec les autres. Les utilisateurs communiquent d’au-
tant plus entre eux qu’ils reconnaissent leurs statuts mutuels, renforçant leur centralité et visibilité respective, excluant les autres
utilisateurs de ces échanges.
Les personnalités disposant de la confiance de leur communauté ne sont pas seulement caractérisées par leur centralité au sein
des échanges par messageries privées. Elles sont également caractérisées par leur pratique du forum. Tout d’abord, les person-
nalités repérées comme étant au coeur du réseau font partie des contributeurs les plus importants :
6 7
NC2 occupe à cet égard une place particulière : créateur et administrateur du forum, il occupe le poste le plus prestigieux puisque
c’est l’utilisateur le plus sollicité par l’ensemble de la communauté.
Il fait par exemple figure d’autorité :
“ I don’t care, either that or banned, u’ve wasted
enough of my time, be greatful ur not banned...”
Ou rencontre en face à face, en Angleterre, certains des autres utilisateurs les plus assidus :
“Me, kabby, maybe Trigga too meetin up in London 2morrow i’ll probably
be there for a couple days too if u wanna come down and we can do some
carding or some shit :p :p (bring a laptop) xD ”
A l’inverse, _l££t est un utilisateur présent dans notre graphique, mais nous remarquons que son profil est caractérisé par un fort
degré sortant (100) et un faible degré entrant (11). Lié y compris à la périphérie du réseau, cette position originale dans le graphique
cache le fait qu’en réalité peu de gens lui répondent. Une étude du contenu de ses messages nous donne rapidement la raison de
cet état de fait : identiques à et valeur promotionnelle ils s’agit en réalité du spam pour faire la promotion d’un réseau concurrent :
Ils ont également écrit davantage si l’on prend le nombre de caractère comme indicateur de leur présence sur le forum :
5. 8 9
En revanche, ils n’ont pas écrit les messages les plus longs. Ces individus prestigieux sont absent du graphique suivant où les utili-
sateurs sont classés en fonction du nombre moyen de caractère utilisé par message posté sur le forum :
On peut conclure de l’observation de ces deux graphiques que des membres du forum comme N2C ont écrit énormément de mes-
sage courts à moyens et que c’est cette présence régulière qui a permis d’asseoir leur autorité sur le forum.
En revanche, écrire des messages longs mais moins fréquents à l’image de l’utilisateur Spatarial ne permet pas d’accéder à davan-
tage de prestige, notamment quand ces messages sont peu pertinents.
A l’inverse un utilisateur comme N2C écrit de nombreux messages de quelques phrases seulement :
Nombre moyen de caractère par message et par users.
Enfin, ce phénomène de prime à l’activité quantitative est mis en évidence par cette dernière visualisation :
Dans cet extrait seulement les 136 premiers utilisateurs historiques ont été conservé.
Dans cette visualisation, les utilisateurs sont classés de gauche à droite en abscisse en fonction de leur date d’inscription. En
ordonné, chaque jours de la durée de vie du forum. Chaque trait bleu symbolise un message posté par un utilisateur. Or, on
remarque que les personnalités présentes dès la création du forum, en plus d’être au centre du réseau, sont également celles
qui alimentent le site le plus régulièrement, tout du long de la durée de vie du forum.
C’est donc autant par leur centralité au sein du réseau, leur statut lié à la création et à la gestion du site (administrateur,
modérateur…) que par leur présence régulière sur le forum que quelques utilisateurs s’assurent de leur bonne réputation.
Concrètement, cela signifie également que le forum et sa structure relationnelle sont extrêmement dépendante de ces
quelques personnalités.
6. UN MARCHÉ DE CARDING EN
LIGNE
UN MARCHÉ DE CARDING EN LIGNE
1 Pénard Thierry, « L’accès au marché dans les industries de réseau : enjeux concurrentiels et réglementaires », Revue internationale de droit économique, 2/2002 (t. XVI), p. 293-312.
10 11
Il est essentiel de comprendre qu’il s’agit d’un marché en ligne, dédié à une activité illégale, le carding. De fait, comprendre l’organ-
isation du forum passe par une meilleure compréhension des caractéristiques d’un marché illégal en ligne. Notre démarche nous a
donc conduit à examiner Ghostnet sous trois angles : l’angle du marché en réseau, l’angle de la confiance entre vendeur et acheteur
et les caractéristiques des biens vendus.
Ghostnet est un forum qui s’organise autour d’un groupe d’utilisateurs qui met en vente des codes de carte bleus. Leur capacité à
les vendre est lié à leur réputation ainsi qu’à celle de leurs produits. Ce forum s’apparente donc à un marché, organisé en réseau. Un
exemple de marché en réseau : l’eau ou les télécommunications. Dans ces exemples, le coût d’accès au marché pour les vendeurs
est lié au coût de l’infrastructure. On verra que dans le cas du forum, le coût d’infrastructure correspond a la capacité qu’ont eu les
vendeurs d’acquérir la confiance des acheteurs.
On l’a vu précédemment, le réseau est centré sur un certain nombre de personnalités ce qui en fait sa force mais aussi sa faiblesse
puisque la participation des nouveaux utilisateurs est rendue complexe par la présence d’acteurs anciens dont la réputation est
déjà établie. Il est à noter que ce type de marché se caractérise par la difficulté pour de nouveaux vendeurs à s’établir sur ce marché.
On parle de coûts d’accès aux nouveaux entrants1
. Ici, on verra qu’il s’agit d’un coût réputationnel. Ainsi, dans le graphique suivant,
on observe la différence de participation entre les premiers et les derniers utilisateurs.
(Les premiers participants du forum (inscrits avant le 25 avril) et l’évolution de leur participation dans le temps)
(Les derniers participants au forum (inscrits après le 1er juillet) et leurs participants dans le temps)
On remarque que les utilisateurs inscrits le plus tôt sur le forum ont continué à poster le plus régulièrement sur la durée. Pour aller
plus loin, il est possible de comparer les dates de bannissement avec les dates d’inscriptions.
(Les premiers participants du forum (inscrits avant le 25 avril) et l’évolution de leur participation dans le temps)
Ce graphique présente les jours, soit, le 21 Mai, le 9 Juin et le 20 Juin, qui ont correspondu à une vague massive de bannissement sur
le forum. Si l’on compare avec le graphique ci-dessous, on constate que les pics de bannissement correspondent aux pics d’inscrip-
tions. De fait on peut faire l’hypothèse qu’il est difficile d’être un nouvel entrant sur ce forum ce qui ne favorise pas ni la stabilité ni
la densité du marché car l’accès au marché est restreint et ce, notamment par la nécessité d’établir une relation de confiance entre
acheteurs et vendeurs.
7. 12 13
Il nous a semblé intéressant de comprendre qui est vendeur et qui est acheteur sur le forum, notre démarche a consisté à constru-
ire des indicateurs permettant d’identifier les acheteurs et les vendeurs. En regroupant les utilisateurs du forum selon le type de
topic posté2
, nous avons dénombré 225 vendeurs identifiés sur les 3331 utilisateurs inscrits dont 1080 considérés comme actifs3
.
L’intérêt d’identifier acheteurs et vendeurs réside dans le fait de considérer les liens marchands qui s’exercent entre ces deux
groupes.
L’élément clé pour étudier ces liens est la confiance. Au premier abord, la confiance correspond à la capacité d’une personne à se
fier à quelqu’un d’autres. Sur un marché, la confiance se caractérise plutôt par le fait que les acheteurs ont l’espoir que les ven-
deurs se révèleront fiables. Le groupe des acheteurs est donc dans une position vulnérable face aux vendeurs puisqu’ils ne sont
pas certains de la fiabilité de ces derniers. Comme sur un site de vente en ligne tels Ebay ou Le Bon Coin, le lien de confiance est
peu évident à construire la confiance. Pour faciliter ce processus, les individus comme les administrateurs des sites mettent en
place des mécanismes de contrôle ce sont par exemple les «vendeurs certifiés».
ÊTRE ACHETEUR, ÊTRE VENDEUR SUR GHOSTNET : LA
NÉCESSITÉ DES LIENS DE CONFIANCE
2 En classant les topics dont l’intitulé contenaient les mots « Sell » ou affiliés
3 Les utilisateurs ayant posté au moins un message et/ou envoyé au moins un message privé
4 A gauche, on retrouve les mots cités avant le terme « trusted » tandis qu’à droite on retrouve les mots
(Les termes le plus souvent associés au mot « trusted »)
Ci-dessus, l’analyse textuelle des messages posté par les individus identifiés comme vendeur montre l’importance de la confi-
ance dans les relations marchandes4
. Ainsi, le terme « trusted » est un des adjectifs les plus cités (77 occurrences contre 306 pour
le mot le plus cité « colour »). Par ailleurs, on remarque que ce terme « trusted » est associé aux vendeurs avec des mots comme
« member », « seller » ou « guy » et à leurs qualités avec des termes comme « nice ». La notion de confiance est donc un facteur
clé de la pérennité du forum puisqu’un bon niveau de confiance entre vendeur et acheteur assure le bon fonctionnement du
marché.
LES CARACTÉRISTIQUES DES PRODUITS VENDUS SUR
GHOSTNET TEL QUE DÉFINIS PAR LES VENDEURS
La création du lien de confiance entre les vendeurs et les acheteurs est, pour partie, lié à la qualité du produit vendu5
. De fait, il est
essentiel d’aborder la particularité des produits vendus sur le forum : les codes de cartes bleus. En effet, celles-ci sont très compliqué
à vendre puisque leur « fraicheur » ou leur « qualité » ne peut être vérifié qu’après la vente. On appelle ce type de produits des biens
de confiance6
car ils requièrent un haut degré de confiance7
entre les acheteurs et vendeurs. En effet, la qualité de ces biens ne peut
être vérifié qu’après utilisation par les acheteurs. C’est l’idée que les vendeurs n’ont pas les mêmes informations que les acheteurs,
on appelle ça l’asymétrie d’information.
Notre méthodologie d’étude a consisté à examiner les posts d’annonce des vendeurs du forum afin de comprendre quels étaient
les caractéristiques des produits mis en avant par ces derniers pour rassurer les acheteurs. Sur le post ci-dessous, on observe que le
vendeur met en avant le fait qu’il est un « certified carder » pour garantir la qualité de de ses produits vendus.
(Exemple d’une annonce de vente posté par N2C)
Pour aller plus loin, il est intéressant de dresser le champ sémantique des caractéristiques associés aux comptes bancaires vendus
sur le forum. Ainsi, l’analyse textuelle de ces post révèle que les adjectifs liés à la qualité des produits vendus sont très souvent cités
dans les messages.
(Le champ sémantique de la qualité des comptes bancaires vendus)
Issu de ce tableau, on peut reprendre les deux termes les plus cités pour caractériser la qualité du produit vendus : « test » et «
fresh ». Le mot « test » permet aux vendeurs de montrer que les codes de carte de crédit, ci-dessous « cvv » ou « cc », ont été testé
et sont donc fonctionnels.
5 George Akerlof, « The Market for“Lemons”: Quality Uncertainty and the Market Mechanism », Quarterly Journal of Economics, vol. 84, no 3, 1970, p. 488-500
6 Bonroy Olivier, Constantatos Christos, « Biens de confiance et concurrence en prix. Quand aucun producteur ne souhaite l’introduction d’un label », Revue économique, 3/2004 (Vol. 55), p. 527-532.
7 George Akerlof, « The Market for“Lemons”: Quality Uncertainty and the Market Mechanism », Quarterly Journal of Economics, vol. 84, no 3, 1970, p. 488-500
Subject: Selling Abbey Buisness Logins
“I have abbey business logins for sale.
Have around 15 of them at the moment.
Don’t even think of pm ing me if you are just going to
waste my time !
Payment method accepted: Western Union
Pm me if interested
Certified Carder
add me on msn
”
« Test » 94 occurrences
« Fresh » 92 occurrences
« New » 82 occurrences
« Verified » 50 occurrences
8. Ghostnet s’est constitué comme un marché en réseau de vendeurs certifiés, au sein duquel il est très difficile de rentrer pour les nouveaux arriv-
ants
Ce marché s’organise autour d’un très petit groupe de vendeurs et d’une masse d’acheteurs. Et, les liens entre les deux groupes se basent sur la
confiance, valeur autant essentielle qu’éphémère
Ce lien de confiance est lié à la qualité des produits vendus. Qualité d’autant plus difficile à vérifier que les acheteurs ne peuvent se rendre
compte que les codes de carte fonctionnent qu’après utilisation.
14 15
(Les termes le plus souvent associés au mot « test »)
Le mot « fresh » est plus précis puisqu’il détaille la « fraîcheur » du produit. C’est un élément fondamental de ce type de vente pu-
isque plus les codes volés sont anciens, plus il y a de chance que le compte ait été fermé entre temps. Ces descriptions montrent
l’attention porté à la vérification du bon fonctionnement des codes vendus.
(Les termes le plus souvent associés au mot « fresh »)
Finalement, une analyse du forum du point de vue des relations marchandes entre les individus révèle trois caractéristiques de ce
marché illégal en ligne qui peuvent constituer des faiblesses :
Le forum, analysé sous l’angle d’un marché avec des acheteurs et des vendeurs nous a permis de voir que l’effondrement du
forum est avant tout lié à une crise de confiance qui se traduit notamment par plusieurs évènements : rumeur d’arrestation de
Kabby999 ou encore revente de données de compte Amazon compromises qui impactent directement les relations marchandes
entre les individus.
9. RECOMMANDATIONS
L’analyse de la chronologie du forum permet d’observer deux crises qui se traduisent par une baisse importante de
l’activité du forum (nombre de topic créés, posts et messages privés).
Ces crises sont toutes deux liées à des problématiques de sécurité. Le premier événement intervient le 8 juin 2009 à
la suite de la disparition d’un utilisateur actif du forum,“Kabyy999”. Modérateur jusqu’au 9 juin 2009, il figure parmi
les membres les plus actifs auteur de 633 posts sur la partie publique du forum.
16 17
Un topic consacré à sa disparition est créé le 8 juin, dans lequel un utilisateur actif (“Computerpro555”) évoque
un échange avec l’administrateur du forum (N2C), l’ayant informé de l’arrestation de Kabby999. Bien que commu-
niquée par un administrateur, cette information est remise en cause à travers un topic. La version donnée est large-
ment réfutée dans des posts et provoque une cristallisation des relations entre les membres. Certains prennent sa
défense, d’autres l’accusent d’être à l’origine d’une arnaque auprès d’autres utilisateurs (‘“Scammer”) pour expliquer
sa disparition.
Cette situation met en exergue une corrélation importante entre la confiance des membres et l’activité du site.
Si celle-ci menace l’anonymat des membres, la fréquentation du site diminue fortement, à travers son activité
d’échanges publics et sa messagerie privée. Enfin, il faut souligner la défiance que provoque cet évènement envers
les administrateurs. Ces évènements démontrent que l’instabilité repose sur l’équilibre relatif de confiance entre les
utilisateurs dans leurs interactions mais également dans l’honnêteté des membres entre eux, garantie par la modéra-
tion du forum.
Pour déstabiliser un forum, il est donc indispensable de créer une rupture de confiance au sein de la structure. Elle
peut être obtenue par :
• L’arrestation d’un acteur central du site pour déstabiliser l’ensemble de
la structure pour instaurer un climat d’insécurité pour ses membres
• Diminuer la confiance des membres entre eux par la créations de
comptes à l’instar du projet Sybil. En effet, l’asymétrie d’information peut
rendre inaccessible un site, comme l’a montré David Décary-Hétau
(Exemple d’une annonce de vente posté par N2C)
“Hey everyone. N2c or Nick, told
me yesterday Kabby was arrested
and I think Nick is lieing to keep
Kabby covered so kabby can scam.
Until I talk with Kabby and get this
cleared up, I am not going to be
dealing with anyone who knows
kabby or has dealt with him. This
includes darkphazed, trigga, and
n2c. I trust no one anymore on this
forum and if it dont get any better,
I have plans lets just say....”