McAfee vient de publier la sixième édition de son Journal de sécurité, qui comprend un long article que j’ai écrit sur les avantages et les inconvénients de la suppression des fournisseurs de services Internet et des botnets qui facilitent les activités cybercriminelles. L’analyse se concentre sur plusieurs exemples historiques de ce que j’appelle des « évitements » et des « étourdissements », ou la suppression de réseaux voyous soit en les ostracisant, soit en bloquant leur infrastructure dans une attaque surprise coordonnée, respectivement.
Le thème de cette édition de la revue est de trouver des moyens de mettre la sécurité à l’épreuve, et elle comprend des articles de chercheurs renommés en sécurité. Joe Stewart et Félix « FX » Lindner.
Voici l’introduction de ma contribution :
Les technologies de sécurité sur lesquelles la plupart d’entre nous comptons au quotidien – des logiciels antivirus aux pare-feu et aux dispositifs de détection d’intrusion – sont réactives. Autrement dit, ils ne sont généralement efficaces qu’après qu’une nouvelle menace a été identifiée et classifiée. Le problème est que, pendant ce temps, un nombre indéterminé d’individus et de sociétés deviennent victimes de ces harceleurs non identifiés.
Jusqu’à tout récemment, cette approche « emballez-les et marquez-les » pour faire face aux activités malveillantes en ligne était devenue si ancrée dans la communauté de la sécurité que la plupart des leaders d’opinion en matière de sécurité se contentaient simplement de répertorier les pires contrevenants d’Internet et de respecter le plus réseaux hostiles. L’augmentation exponentielle du volume et de la sophistication des nouvelles menaces lancées au cours des dernières années – associée à une attitude omniprésente selon laquelle la lutte contre les activités criminelles en ligne est la principale tâche des forces de l’ordre – a contribué à renforcer cette mentalité de bunker.
Puis, à l’automne 2007, quelque chose de remarquable s’est produit qui a semblé sortir l’industrie de la sécurité de sa torpeur : une série d’articles d’investigation dans la presse grand public et technologique sur les concentrations d’activités de cybercriminalité dans un conglomérat d’hébergement Web à Saint-Pétersbourg connu sous le nom de le Russian Business Network (RBN) a poussé les FAI desservant le tristement célèbre fournisseur à débrancher la prise. Le RBN, qui avait été un vortex d’activités malveillantes pendant des années, a été contraint de fermer boutique et, par la suite, a dispersé ses opérations.
C’était le premier des nombreux exemples qui démontreraient la valeur stratégique (et, sans doute, cathartique) de l’identification et de l’isolement des sources importantes et cohérentes d’activités hostiles, voire criminelles, en ligne. Je me concentrerai sur deux méthodes populaires pour mener le combat contre l’ennemi et proposerai quelques réflexions sur la viabilité à long terme de ces approches.
Des exemplaires de la revue sont disponibles auprès de ce lien.