Enquête: 70 centimes les 1000 captchas

Le 14 mai 2010

Sites et blogs sont victimes des spammeurs. Les profils Facebook se monnaient comme des petits pains: 2 à 4 euros de l'heure pour le profil d'une jeune fille. Enquête inédite dans le monde étrange du "freelancing borderline".

Cherchez « captcha entry » sur Google et vous comprendrez. Du Bangladesh, d’Inde ou du Pakistan affluent les annonces proposant de rejoindre des « équipes de spécialistes en saisie de données » (sic).

Comprendre une armada de jeunes asiatiques payés au lance-pierre pour déchiffrer à la chaîne des milliers de captchas, ces images affichant chiffres et lettres, mises en place pour empêcher la profusion des spams.

Pour contourner les protections mises en place par les plateformes de blogging et d’e-mail, les spammeurs n’hésitent pas à recourir à de la main d’Å“uvre laborieuse d’Asie du Sud. Et cette pratique se répand.

Pas étonnant, étant donné que la plupart des salaires proposés (généralement aux alentours de 3$ de l’heure) sont bien plus élevés que les salaires moyens (au Pakistan, le revenu moyen journalier par habitant est de 3$ par jour, deux fois moins au Bangladesh).

Quelques dollars de l’heure : un prix ridicule pour une entreprise anglaise ou américaine, pas si mal pour de jeunes asiatiques diplômés et équipés. Ce qui n’empêche pas certains chiffres d’effrayer : entre 70 centimes et 1 dollar les 1000 captchas déchiffrées.

Mais au-delà de ce type de travail, c’est tout un écosystème de « freelancing borderline » qui se développe sur Internet. Vous voulez une liste de quelques milliers d’adresses mail fonctionnelles ? 10 000 faux fans sur votre page Facebook d’ici demain ? Ou pire ? Ne cherchez plus, il y a forcément un freelancer pour ça.

Et les barrières entre légalité et illégalité semblent bien fragiles.

5000 photos d’ados en 24h? No problem.

Alors, ce serait si facile d’embaucher quelqu’un pour faire son sale boulot? Ne reculant devant aucun danger pour ses lecteurs, l’équipe d’OWNI, inspirée par les plus grands reportages des Infiltrés, est allé vérifier.

Nous avons cherché des freelancers capables de nous extraire les infos personnelles de 5000 comptes Facebook en France. Nos conditions: que des filles entre 13 et 16 ans, avec photos (regardez l’annonce sur le site odesk.com).

Plus sale, tu meurs.

Sans surprise, plusieurs Philippins, Bangladeshis, Indiens et Pakistanais nous ont proposé leurs services, à un tarif oscillant entre 2 et 4 euros de l’heure. Si les modérateurs des sites en question ont publiés l’annonce sans broncher, un freelancer s’interroge quand même sur la légalité de la chose. Avant de proposer de l’accomplir en 24 heures.

Plus étonnant, Tayyab N., jeune pakistanais titulaire d’un master d’histoire islamique de l’Université de Peshawar, nous a envoyé un échantillon d’un travail réalisé l’année dernière. Sur une feuille Excel, les noms, dates de naissance, sexes et numéros de téléphone d’utilisateurs de Facebook. A la grosse louche, la précédente commande concernait environ 1000 profils (l’échantillon en contient 130 jusqu’à la lettre AN). Après quelques vérifications, les données fournies par Tayyab semblent correctes à 80% (mais le fichier date de 2009) et concernent en majorité des étudiants et étudiantes australiennes. Dans quel but? Mystère.

Un autre freelancer, sur le site Freelancer.com, nous a envoyé ses références en Facebook Bulk Marketing (marketing de masse). A le croire, les 10 000 fans de plusieurs sites commerciaux et institutionnels n’ont rien d’authentiques. (Et si l’on en croit les nombreuses annonces proposant ou réclamant plusieurs milliers de fans pour une page Facebook en quelques heures, on est tout disposé à le croire).

D’après les quelques éléments dont on dispose, ces professionnels de Facebook animent quelques dizaines de profils disposant chacun de 1000 à 4000 amis, élaborés en fonction du marché visé. Tous ces profils sont évidemment des nanas en maillot de bain, mais leurs informations personnelles sont suffisamment travaillées pour ne pas paraître soupçonneux pendant la seconde qu’on prend à accepter ou refuser un ami.

Le fait qu’une telle annonce ait pu être validée sur une plateforme pose la question de leur contrôle. Nous avons donc contacté Xenios Thrasyvoulou, le CEO de PeoplePerHour.com, un des principaux acteurs du marché. Il semble d’abord un petit peu déconcerté par nos questions et ne semble pas très au courant de ce genre d’annonces. “Nous vérifions tout le site” nous affirme-t-il cependant. Quand nous lui posons la question de l’éventuelle présence d’offres à la limite de la légalité, il nous explique “ne pas les autoriser”.

Nous insistons et le mettons devant le fait accompli : “il y a toujours ce genre de choses, comme partout et comme toujours” s’entend-on répondre.

Le contrôle des offres postées sur le site se fait a priori, et semble fonctionner : notre annonce – acceptée sans plus de précaution par oDesk – n’a ainsi toujours pas été validée par PeoplePerHour. Si le CEO nous explique qu’ils font “plus que [leurs] concurrents pour la qualité des jobs”, il ne semble ni très intéressé, ni très concerné par la question – même lorsque nous mentionnons un possible lien avec le spamming.

Peut-être parce que cela ne représente, dans le meilleur des cas, qu’une petite partie infinitésimale des offres postées sur le site : 5% seulement de ces dernières sont dites “administratives”. Et si la plateforme semble mieux contrôlée et administrée que certaines de ses rivales, cela n’empêche pas PeoplePerHour de compter de nombreuses offres à l’intitulé douteux.

Pour nous expliquer ce phénomène, nous avons contacté un expert Français du “Black Hat SEO“. Il nous a confirmé que le décodage de captcha “à la chaîne” par des humains était utilisé pour améliorer artificiellement le référencement de certains sites ou services (grâce à des spams, en créant de faux blogs ou en multipliant les inscriptions à des annuaires en ligne). Ainsi, la plupart des outils et services utilisés à cette fin ont recours systématiquement (via des API) à cette saisie humaine. Inutile de préciser que la légalité de ce genre de pratique est douteuse.

Mais au delà des captchas, il est donc hyper facile de faire faire à un freelance en Asie à peu près n’importe quel boulot à la limite de la légalité. Le site hire-a-killer.com semble beaucoup plus réaliste, d’un coup.

Mais que fait la police?

Affolés par la facilité avec laquelle on pouvait externaliser ses coups bas, nous avons contacté les cyberflics, qui officient sous le doux nom de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCTLCIC), pour leur demander si c’était bien légal, tout ça.

Manifestement pris au dépourvus, ils trouvent que “c’est une bonne question”. “Faudrait regarder dans le code pénal”, poursuivent-ils, avant de nous renvoyer vers le service com’ de la PJ. Contactés mercredi, ils n’ont pas encore répondu.

Si cet article vous a donné des idées, sachez quand même que le commanditaire d’un délit encourt les mêmes peines que celui qui l’exécute… (merci Laura de m’avoir trouvé l’art. 121-6 du code pénal)

_

Article co-écrit avec Martin U. /-)

Retrouvez les autres articles de ce premier volet de notre série sur le Contre-espionnage informatique : Des milliers d’emails piratables sur les sites .gouv.fr et Blinde ton mot de passe.

Retrouvez également les deuxième et troisième volets de cette série sur le  Contre-espionnage informatique.

Laisser un commentaire

Derniers articles publiés