Spécial sécurité : 100 000 000 000 de spam mensuel, les mathématiques d’une guerre

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, pointent du doigt une étude d’universitaire sur le spam et ses rouages. Mais en prenant cette fois-ci l’angle des administrateurs de botnets. Une première. Autre rapport (de 450 pages) sur les relations entre le piratage de media et les conditions socio-économiques d’un pays. Parce qu’il est émergent, un pays doit-il être considéré comme « un foyer de piratage », s’interrogent alors cette étude. Enfin, ils reviennent sur les 30 ans du ZX81.

Sommaire
1 - 100 000 000 000 de spam mensuel, les mathématiques d’une guerre
2 - Les pays pauvres piratent… et c’est normal
3 - ZX81 : 30 ans d’école de hack.. déjà

1 - 100 000 000 000 de spam mensuel, les mathématiques d’une guerre
Cent treize milliards de pourriel par mois, 100 000 « bots » dans le monde pilotés par moins de 30 C&C (centre d’administration des tribus de machines zombifiées), telles sont les statistiques difficilement imaginables d’une seule famille de botnet spécialisée dans l’envoi de spam. C’est une machine de production intensive, avec ses gangs spécialisés, ses sous-réseaux hiérarchisés, ses bases de données contenant des milliards d’adresses mail actives, ses mécanismes de contournement de protection, notamment les fameux outils destinés à casser les Captcha, explique un impressionnant rapport universitaire de 8 pages, fruit de la collaboration de l’UCSD et de l’Université Allemande de Bochum. C’est la première fois qu’une telle étude est réalisée en considérant le problème non pas sous l’angle de la menace, mais sous celui de l’administrateur de botnet. Le spam vu par les truands en quelques sortes. A ne pas lire le soir avant de s’endormir si l’on est administrateur de messagerie. Les quatre universitaires ont, des mois durant, analysés les 2,3 To de données et 24 bases de données contenues sur 16 serveurs ayant servi au botnet Pushdo/Cutwail. Etude qui a notamment abouti à la fermeture d’une bonne partie dudit réseau de bot et amputé des deux tiers le nombre de C&C opérationnels. Las, certains hébergeurs sont trop impliqués dans le business rentable de l’industrie du spam pour que la totalité du botnet ait pu être réduite au silence.

Parfois, les actions de quelques professionnels de la sécurité et associations antispam (notamment SpamHaus) s’avèrent payantes. Le plus récent exemple (et probablement le plus significatif depuis l’affaire McCollo), c’est la fermeture du botnet Rustock : 250 000 bots, entre 800 000 à un million d’ordinateurs infectés, 26 C&C devenus muets depuis le 15 mars dernier. L’an passé, c’était l’enterrement de première classe de Mega-D, alias Ozdoc, aussi important que Cutwail ou Rustock. Un récent billet de SecureWorks (désormais Dell-SecureWorks) plaçait Rustock en tête, devant Pushdo/CutWail (voir ci-dessus), considérablement affaibli depuis l’été dernier (la comptabilisation des 100 000 bots remonte à « avant » l’action des chercheurs de l’UCSD et de Bochum). Mais il reste encore Lethic, Grum, Festi, Maazben, Bobax, Xarvester, Waledac (botnet de 5ème zone qui essuya le feu de Microsoft), Bagle l’ancêtre…

Les métriques de ces deux analyses, aussi denses que précises, répondent en partie à une question « dans le vent » : il ne faut pas chercher très loin quel type de recrutement opèrera une cyber-armée qui souhaiterait en découdre avec les installations informatiques d’un pays ennemi. Les botnets mafieux sont « récupérables » et très probablement retournables, avec ou sans l’avis de leur bot herders. Cela expliquerait-il en partie la relative mollesse avec laquelle les gouvernements tant américains que russes (les deux superpuissances) chasseraient les réseaux de spam à l’heure actuelle ? Certes, certains réseaux tombent lorsqu’ils commencent à devenir trop gênants, mais les troupes fraîches ne manquent pas, et les coups d’arrêt donnés à certains ne durent que l’espace d’un soupir. Soit parce que le botnet est « récupéré » par remplacement de ses C&C grâce à des mécanismes de sécurité intégrés aux vecteurs d’infection eux-mêmes, soit parce que la place laissée libre par la disparition d’un acteur majeur est immédiatement occupée par une dizaine de plus petits prétendants, lesquels, après une période de concurrence fratricide, se transformeront en un unique et tentaculaire « nouveau » botnet majeur.

2 - Les pays pauvres piratent… et c’est normal
Le Social Science Research Council vient de publier un rapport de près de 450 pages intitulé « piratage des médias dans les pays émergents ». Une copie de l’étude peut être consultée en ligne sur Scribd. Ce rapport est placé sous licence « Consumer Dilemna » (8 euros pour les lecteurs des « pays riches », 2000 $ pour les éditeurs). 450 pages de rappels historiques et de constatations simples : si les « efforts » consentis par les Majors sur les médias semblent de prime abord très élevés, leur coût d’usage est identique, voir supérieur lorsque ramené au pouvoir d’achat moyen en Afrique du Sud, Brésil, Russie, Mexique, Bolivie ou Inde. Ce n’est pas le manque de « moralité » qui fait d’un pays un foyer de piratage, mais la conjugaison de plusieurs facteurs, notamment la faiblesse des revenus, les prix élevés des biens de consommation de l’industrie du divertissement et le faible coût des technologies facilitant l’écoute (ou la visualisation) et la diffusion des contenus numériques.

A cette fracture économique et numérique s’ajoutent les mesures parfois discriminatoires des grands réseaux de diffusion de contenu. Les Netflix, les Hulu, les Apple, les Microsoft visent un marché mondial… mais à prix unique. Un prix aligné sur le pouvoir d’achat des pays riches, que ne peuvent supporter les consommateurs des pays moins fortunés. S’ajoute à cette discrimination par l’argent une autre forme de ségrégation, imposée, quant à elle, par les diffuseurs eux-mêmes, qui bloquent la vente de leurs contenus dans certains pays, blocages parfois liés à des ententes entre éditeurs, parfois justifiées par des considérations protectionnistes (découpage des réseaux de jeux en ligne en Amérique du sud, discrimination de certains diffuseurs de streaming en Europe). De là à dire que ce sont les éditeurs qui sont principalement responsables du piratage, il n’y a qu’un pas que les aut eurs du rapport n’hésitent pas à franchir. Situation d’autant plus ubuesque que ces mêmes éditeurs entament, dans tous les pays, des campagnes de lobbying incitant les gouvernements à mettre en place des moyens de rétorsion et des arsenaux législatifs pour lutter contre le piratage. Le piratage, prévient le préambule de l’étude, ne semble être la conséquence que d’une inadéquation entre l’offre et la demande

L’étude s’achève avec un chapitre captivant, consacré au piratage des livres au travers des âges, notamment durant la période mouvementé du XVIIème et du XVIIIème siècle en Europe. Cette perspective historique, les conséquences des monopoles octroyés par le régime élisabéthain aux éditeurs de bibles ou d’abécédaires a été le premier vecteur de piratage par des imprimeurs francs-tireurs estime l’auteur. L’on peut y voir une allusion directe au monopole de fait des quatre Majors du monde de la musique et de la mainmise annoncée d’un Amazon de plus en plus omnipotent.

3 - ZX81 : 30 ans d’école de hack.. déjà
Le Reg « hardware » nous offre 5 pages de pure nostalgie à l’occasion du trentième anniversaire du ZX81 (ou plus exactement de la sortie de son grand frère, le ZX80, livré en « kit » et en livrée blanche). 5 pages émaillées de publicités de l’époque, de remise en perspective par rapport aux produits concurrents d’alors.

Pour la rédaction de CNIS, le ZX81, c’est çà… et un peu plus.
- La file d’attente devant les portes de la seule boutique parisienne pour repartir avec le « kit » le plus convoité de l’époque
- La bataille acharnée pour récupérer les deux ouvrages indispensables d’alors : la ROM désassemblée du ZX par Ian Logan : Tome 1, de 0000H à 0F54H, Tome 2 de OF55H à IDFFH
- Les publicités du Financial Times clamant « pourquoi dépenser plus de 60 dollars pour vous apercevoir que l’informatique vous dégoûte ? »
- Les dépressions nerveuses provoquées par les plantages successifs lorsque les faux-contacts de « l’extension 16K » provoquaient un BSOD (black screen of death… le ZX était monochrome)
- Le bruit caractéristique des programmes enregistrés sur cassette… qui se transformait en chant mélodieux après utilisation du « fast load monitor »
- Les premiers hack matériels consistant à améliorer le signal de sortie vidéo, la mise en forme des signaux à l’enregistrement ou les extensions d’entrée-sortie à grands renforts d’UART AY3-1015
- L’absence totale de virus et de faille logicielle « in the wild »… car à quoi aurait servi un « programme d’infection de programme » sur une machine dont l’uptime dépassait difficilement 4 heures et dont les données en mémoire disparaissaient définitivement à la moindre coupure de courant ? D’ailleurs, il aurait fallu 10 minutes et 15 tentatives successives pour pouvoir le charger.
- Le livre 100 programmes Basic pour ZX
- Les « zaides au ZX », rubrique d’afficionados, blottie entre les « Tics du T.I. », « Vic en Vrac » et les « Charmes du Sharp », à l’époque où l’Ordinateur Individuel était encore un journal technique.
- Le clavier à membrane qui, avec l’âge, nécessitait une pression de plus en plus insistante, donnant aux primo-informatisés de l’époque une poigne digne de celle d’Arnold Schwarzenegger
- GOSUB-RETURN et RND USR sans GOTO ou DATA/RESTORE…
- L’exploration de la mémoire par Peek et Poke… ou comment provoquer des Buffer Overflow sans savoir que cela existe
- L’imprimante thermique sur papier argenté qui laissait présager le « business » des consommables : les constructeurs d’imprimantes « jet d’encre » doivent lui dire merci.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)

Close