Au fil des ans, je suis devenu fasciné par les divers efforts déployés par les fournisseurs de services Internet pour réprimer la menace des botnets, de grands groupes de PC piratés que les criminels informatiques contrôlent à distance à diverses fins, du spam à l’hébergement de logiciels malveillants et à l’attaque d’autres personnes en ligne. . En effet, le problème des botnets est devenu une telle menace mondiale que des pays entiers développent désormais des programmes anti-botnets en collaboration avec les FAI nationaux.
L’un des exemples les plus uniques et les plus anciens est celui du Japon « Cyber Clean Center», (ci-après dénommé CCC) un effort peu connu de la Centre japonais de coordination de l’équipe d’intervention d’urgence informatique (JP-CERT) et un ensemble de 76 FAI japonais couvrant 90 % des internautes du pays.
Les FAI participants qui ont des clients avec des PC en botte peuvent envoyer à ces utilisateurs un e-mail – et dans certains cas une lettre par courrier postal – leur demandant de visiter le site Web du CCC, de télécharger et d’exécuter un outil de nettoyage développé par le JP-CERT en coordination avec Trend Microla principale société d’antivirus et de sécurité informatique au Japon.
Relativement peu des milliers de FAI basés aux États-Unis ont de tels programmes en place, ou s’ils en ont, peu ont été disposés à en discuter publiquement. Certaines exceptions notables sont Barreur, Comcast (qui déploie un système de notification d’infection par bot d’essai), et Qwest (si j’ai raté d’autres biggies, les lecteurs me remettent s’il vous plaît).
Il est regrettable que de tels programmes ne soient pas plus largement imités, car la majorité du problème mondial des bots commence et se termine ici aux États-Unis. Selon un rapport récent (.pdf) par McAfeeles États-Unis abritent le deuxième plus grand parc de PC bottés – le deuxième seulement derrière la Chine – et sont le plus grand exportateur mondial de courrier indésirable.
De toute évidence, comme pour la plupart des systèmes de notification des clients, le principal défi consiste à envoyer un message à l’utilisateur d’une manière qui ne soit pas facilement usurpée par les criminels pour convaincre les gens de télécharger des « outils de désinfection » qui infectent réellement leurs systèmes. Mais en tout cas, je pensais que les Japonais L’exemple était intéressant en tant qu’approche régionale, et donc au cours des derniers mois, nous avons engagé les gens du CCC dans une séance de questions-réponses par e-mail.
Voici quelques-unes des questions que j’ai posées et des réponses que j’ai reçues au sujet du programme CCC.
MMA : Combien de clients environ le CCC a-t-il atteint au fil des ans ?
CCC : Entre novembre 2009 et sa création en décembre 2006, le CCC japonais a aidé plus d’un million de clients à supprimer les infections de robots de leurs PC.
MMA : Est-ce un processus manuel ou automatisé ?
CCC : La détection des bots, la collecte, l’analyse et l’alerte des utilisateurs concernés sont en grande partie automatisées.
MMA : La participation des FAI entraîne-t-elle un coût direct ? Est-ce obligatoire d’une quelconque manière ?
CCC : L’implication est facultative pour les FAI, mais ils bénéficient d’un système qu’ils peuvent fournir gratuitement à leurs clients pour faire face aux infections de bots.
MMA : Quelle est la politique des FAI participants quant à la manière dont ils traitent les clients dont les systèmes sont bottés ? Combien de temps doivent-ils être sur la liste des PC problématiques pour recevoir un avis ?
CCC : C’est généralement au FAI de décider comment traiter les utilisateurs infectés. Les FAI reçoivent des notifications d’infection du projet CCC, mais le FAI suivra ses propres procédures pour contacter l’utilisateur. Ainsi, les moyens exacts qu’ils utilisent pour traiter les clients infectés et le moment choisi sont la décision du FAI.
MMA : Cet avis est-il envoyé par e-mail ou par courrier postal ? Tous les deux?
CCC : Dans l’ensemble, les avis sont envoyés par courrier électronique, mais certains FAI tentent d’améliorer le taux de réponse en utilisant à la fois le courrier électronique et le courrier postal. Voici un exemple d’un type de page que les utilisateurs notifiés pourraient être invités à visiter.
MMA: Pensez-vous qu’il y a des aspects particuliers de la culture japonaise qui pourraient contribuer à la réussite de ce programme, comme les mœurs sociétales qui peuvent ne pas être présentes dans d’autres cultures ?
CCC : C’est une question intéressante. Il est difficile de savoir avec certitude s’il existe ou non des traits culturels particuliers responsables du succès du projet CCC, bien que nous nous attendions à ce que nous rencontrions une certaine opposition des utilisateurs au début. Par exemple, les utilisateurs demandant « Pourquoi essaient-ils d’espionner mon ordinateur ? », ou que les avis d’infection seraient interprétés comme une tentative d’interférer trop. Même si nous avions identifié cela comme un risque, les réponses que nous avons reçues exprimaient des remerciements, avec très peu de commentaires négatifs. Peut-être que ce genre d’acceptation lorsqu’un étranger signale quelque chose est en partie un trait de personnalités japonaises typiques.
Une autre différence pourrait être qu’à l’étranger, les activités anti-bot impliquent que les forces de l’ordre tentent d’attraper des criminels ou se concentrent peut-être sur le fait de rendre la vie difficile aux personnes infectées. Cependant, le CCC ne bénéficie pas d’une coopération policière significative. Nous contactons simplement les personnes infectées et nous sensibilisons au problème. Peut-être que ce genre d’approche est aussi particulièrement japonais.
MMA : Je constate que le taux de téléchargement des outils de désinfection par les utilisateurs alertés est de 30 % (cumulé). Cela signifie donc que pour 10 personnes informées d’un bot sur leur système, 3 personnes répondront et téléchargeront les outils de suppression disponibles ? Ou se pourrait-il que les outils de suppression ne soient tout simplement pas disponibles pour le bot qui se trouve sur leur système ?
CCC : Parmi les utilisateurs qui reçoivent les rapports d’infection, environ 40 % accèdent au site Web de CCC et environ 30 % téléchargent l’outil de suppression de CCC Cleaner. En d’autres termes, pour 10 personnes, 4 lisent le courrier et visitent le site Web. En lisant le guide sur le site Web de CCC Cleaner, les utilisateurs peuvent se familiariser avec le processus de téléchargement. Ainsi, en réponse à votre première question, quatre personnes sur dix visiteront le site, et trois personnes sur dix téléchargeront CCC Cleaner. De plus, les notifications sont destinées aux utilisateurs déjà connus pour être infectés par un bot qui peut être désinfecté. Par conséquent, il n’y a aucune chance que l’outil de suppression soit complètement inutile pour un utilisateur particulier recevant un e-mail.
MMA : Le nombre d’alertes envoyées suit-il de très près le nombre d’infections de bot détectées ? Ou y a-t-il d’autres facteurs qui se déclenchent lorsqu’un client dont la machine montre des signes d’embouteillage est averti ?
CCC : Lorsqu’un utilisateur infecté est détecté, nous envoyons une notification. Si le projet CCC détecte une autre infection de bot après la première notification, une autre sera envoyée.