septembre, 2015

Microsoft a officiellement annoncé avoir acquis, pour 250 millions de dollars, la société Adallom, spécialisée dans la sécurisation des services et applications Cloud. Outre la gamme Office 365, Adallom affirme pouvoir sécuriser des ressources Salesforce, Box, Dropbox, ServiceNow et Ariba.

Entreprise dont le siège est situé à Palo Alto et fondée par d’anciens officiers du renseignement Israéliens, Adallom avait déjà attiré les attention des investisseurs et réalisé un appel de capital de près de 49 millions de dollars.

David Schwindt ne poursuit à la trace ni les demi-sel ni les souteneurs, mais il part en guerre contre les voleurs de matériel informatique en « sniffant » les adresses MAC des interfaces Wifi appartenant à un matériel porté disparu… à condition que l’adresse en question ait été consignée avec soin, que la carte WiFi soit toujours activée et qu’elle passe à portée d’un des récepteurs chargés de ce genre de surveillance, nous apprend la Gazette de l’Iowa (information dénichée par le Reg ).

L’adresse MAC est en effet unique pour chaque ordinateur, téléviseur, réfrigérateur « ip connected », téléphone portable ou Objet de l’Internet commercialisé par chaque OEM. Elle peut être « spoofée », mais il est très peu probable que les fourgues et cambrioleurs s’adonnent à ce genre de sport.

C’est un généreux mardi des rustines que ce second mardi de septembre, avec 59 CVE colmatés, 5 bulletins marqués de rouge (6 selon le Sans Institute) dont deux bloquant de possibles exécutions à distance par le biais de programmes de la gamme Office. Pour l’heure, aucun des 12 bulletins cumulatifs n’est affublé du moindre « patch now ». Pourtant, dans le lot, un certain CVE-2015-2509 concernant Windows Media Center et bouché par la rustine MS15-100 fit la Une des journaux pour avoir été utilisé par l’équipe Hacking Team et s’être fait largement divulgué sur Pastebin notamment.

Deux énormes cumulatifs, MS15-094 relatifs à Internet Explorer, et MS15-097 (failles dans le composant Microsoft Graphics , exploit détecté pour CVE-2015-2546) pèsent le plus lourd dans cette fournée de la rentrée. La palme de la dangerosité revient cependant à MS15-099, avec 5 failles, un exploit activement utilisé « dans la nature », qui ne vise bien entendu que les éditions « station » et non « serveur » de Windows.

Cette journée du colmatage nous apporte également une nouvelle version de Shockwave immatriculée par Adobe 12.2.0.162.

Ça buzze de l’autre côté de l’ex-rideau de fer. Il y a quelques jours déjà, un article de l’agence Reuters accusait Kaspersky d’avoir trompé certains de ses concurrents en faisant en sorte que leurs outils détectent des virus là où il n’y en avait pas. Lorsqu’un antivirus provoque un « faux positif », cela se fait en général au détriment de quelques fichiers placés, au mieux, en quarantaine, au pire, détruits, selon les réglages du logiciel de protection périmétrique. Déjà, dans les années 80, des tentatives d’injection de signatures (sans la moindre charge destructrice) avaient fait l’objet de diffusions sauvages, sans que l’on n’ait jamais très bien pu situer la source. Mais de là à imaginer un acte de sabotage délibéré dans le but d’éliminer ou affaiblir la concurrence, il y a une certaine marge.

Piqué au vif, Kaspersky nie énergiquement au fil d’un long billet de blog, faisant remarquer que les seules sources dont Reuters peut se prévaloir sont, d’une part, un « informateur anonyme » qui n’apporte pas franchement de preuves directes, et une expérience effectivement conduite par les laboratoires de Kaspersky et portant sur l’influence mutuelle d’une détection de signature dans le cadre d’un moteur « multi-AV » tel que Virus-Total. Expérience qui n’a effectivement que valeur de test et non d’attaque en règle. D’ailleurs, la pratique est assez répandue, confirme Boris Sharov, patron de DrWeb, le principal concurrent de Kaspersky en Russie. Fabriquer du « faux positif », explique-t-il à Brian Krebs, a permis de comprendre comment certains concurrents enrichissent leurs bases de signatures en se reposant en partie sur la réaction des produits concurrents. A ce jeu de l’imitation, le moindre défaut d’un des joueurs entraîne tous ses partenaires à commettre la même erreur.

A l’exception des fameux fichiers « Eicar » spécifiquement destinés à vérifier le bon fonctionnement d’un logiciel de filtrage, il ne devrait exister aucun autre « faux positif intentionnel diffusé dans la nature ». Et c’est en se reposant sur cet axiome que quelques éditeurs préfèrent « suivre » le travail de leurs concurrents, économisant ainsi une certaine dose d’énergie dans la recherche et l’analyse de charges de destruction logicielles.

Cette histoire rappelle un peu l’affaire des commandes « AT » destinées à paramétrer les modems dans les années 80. Ce préfixe AT avait pour but de prévenir l’équipement de communication que tout ce qui allait suivre s’adressait à lui à des fins de réglage et ne devait pas être transmis. Certains fichiers de commandes AT facilitaient d’ailleurs plusieurs opérations de tests et de contrôle de bon fonctionnement. Or, l’inventeur de ce jeu de commandes, Denis Hayes, constatant que beaucoup de ses concurrents ne versaient pas les droits de propriété intellectuelle liés à son dépôt de brevets, a discrètement diffusé un jour un « fichier de test » destiné à bloquer le fonctionnement de l’équipement si celui-ci n’intégrait pas le jeu d’instruction original. Les clones en furent pour leurs frais.

Mais l’image de marque de Denis Hayes a irrémédiablement été ternie par ce qui a été considéré comme un véritable acte de cyber-vandalisme. Destruction relative, car un simple « reset » suffisait à rétablir le fonctionnement des modems « ATéifiés ». Pourrait-on imaginer qu’un éditeur, d’antivirus ou autre programme de sécurité, puisse commettre un impair comparable ? En Europe, c’est peu probable. Il n’en demeure pas moins que cette aventure replace sous les feux de la rampe l’absence de confiance mutuelle dont peuvent parfois faire preuve les éditeurs dans ce secteur, et le fait que les antivirus « intelligents » (heuristiques disent les savants) qui ne reposeraient plus du tout sur de simples fichiers de signatures appartiennent encore au domaine du rêve technologique.

Mais l’histoire ne s’arrête pas là. En début de semaine, Tavis Ormandy, chercheur réputé chez Google, affirmait avoir découvert une faille autorisant un accès distant/exécution à distance… dans le code des antivirus Kasperky. Affirmation clamée sur Twitter et adressée à Ryan Naraine (lequel travaille précisément pour le compte de Kaspersky). Certains commentateurs s’en offusquent, ainsi Graham Clueley, qui, durant les quelques 3 dernières décennies, a émargé chez les principaux éditeurs d’antivirus britanniques (Dr Solomon, Sophos). Reste qu’Ormandy a mis le doigt sur un défaut quasi mythique, le fameux « trou généralisé » qui pourrait transformer un antivirus en un formidable botnet. Et ça, ça peut faire fantasmer toute la planète SSI et décrocher la première page des journaux. Ne paniquons pas pour autant, car si Ormandy a clamé sa découverte publiquement, les détails techniques n’ont pas été dévoilés.

Kaspersky n’est probablement pas le pire des éditeurs en matière de code sécurisé. Ce que Tavis Ormandy a découvert pourrait bien inspirer d’autres chercheurs, sur d’autres moteurs d’AV. La perfection n’étant certainement pas du monde de l’écriture de code, l’on pourrait bien assister dans les mois qui suivent à un petit festival de trous critiques, tous liés à des outils de défense périmétrique.

Trois plaintes contre X viennent d’être déposées par un groupe de clients d’Ashley Madison dont les noms se sont retrouvés publiés sur Internet. Une plainte visant les intrus ? Que Nenni ! Nous apprend Databreachez.net. Sont menacés Amazon Web Services, l’autorité d’enregistrement et hébergeur GoDaddy et un opportuniste opérateur de services Web ayant ouvert les sites ashleymadisonpowersearch.com, adulterysearch.com, ashleymadisoninvestigations.com et greyhatpro.com. Autant de sites dont l’intérêt est précisément de faciliter la recherche d’un nom en particulier dans la multitude d’identités divulguées par les hackers puritains.

La chose n’est pas courante. Généralement, ceux qui poursuivent les messagers plutôt que les véritables auteurs d’un piratage sont spécialisés dans le commerce de gros systèmes de gestion de bases de données ou d’équipement de routage et de commutation. Faute de véritables coupables, il faut trouver une victime expiatoire située sur le même territoire que les avocats du plaignant, victime capable de verser quelques menues monnaies en guise de dommages et intérêts. Un psychopompe à phynance en quelques sortes.

Comme le fait remarquer notre confrère Databreaches, ce n’est pas le fait d’avoir contribué à la divulgation d’un nom et donc à porter atteinte à sa vie privée qui justifie cette action en justice, mais le fait qu’une telle chose pourrait survenir. L’hypothétique a donc valeur de risque, l’éventuellement possible se transforme en crime.

Toujours à propos du piratage Ashley Madison, quelques statistiques nous enseignent beaucoup sur le profil de la clientèle. L’abonné-type est en majorité masculin (on s’en doutait un peu), principalement citoyen des USA, loin devant le Canada pourtant mère-patrie de ce site de wannabe marivaudage. Tout de suite derrière les USA viennent le Brésil, l’Australie et l’Afrique du Sud (ah, l’impitoyable solitude de l’orpailleur, du chasseur d’opales et des mineurs de diamants).

Nombre d’usagers ce se service amoureux ont utilisé leur messagerie professionnelle, ce qui nous apprend que, par ordre de fréquentation, et dans le secteur des NTIC, viennent en tête les employés d’IBM, HP, Cisco, Apple, Intel, Microsoft, Samsung, SAP, Oracle et Qualcomm. Seuls un esprit chagrin pourrait émettre des propos désobligeants à propos du caractère castrateur du secteur des NTIC.

Peut-on inventer un successeur au mécanisme des certificats ? Depuis que les premiers malwares ont utilisé des certificats volés (Stuxnet fut probablement l’un des premiers, sinon le premier) rares sont les vecteurs d’attaques qui ne possèdent pas leur propre « patte blanche » estampillée officiellement par une autorité de certification authentique, constate le laboratoire de recherche de McAfee. On ne comptait que moins de 3 millions de binaires au premier trimestre 2013, et l’on atteint 19 millions de vecteurs d’infection au second trimestre de cette année, soit une multiplication par 6 de cette pratique en moins de 2 ans et demie. Quelle que soit la rapidité avec laquelle les éditeurs diffusent les répudiations, il en passe toujours un certain nombre entre les mailles des filets de défense périmétrique. A ce rythme, le mot certificat n’aura strictement plus aucune signification et le métier de C.A. devra opérer une sérieuse reconversion.

Traditionnellement, l’équipe sécurité de Dell (émanation du respectable Lurhq) nous abreuve d’analyses très techniques et très fouillées sur telle ou telle édition d’un bootkit Chinois ou d’un super-XSS vicieux. Pas ce mois-ci, ce qui ne signifie pas que l’article soit dénué d’intérêt.

Dave Jones est le très volubile et très enthousiaste animateur d’EEVBlog, un podcast vidéo diffusé sur Youtube que tout électronicien qui se respecte consulte à périodes régulières. Et parmi ses émissions les plus écoutées, celles dénonçant les escroqueries techniques : multimètres Chinois qui explosent bien en deçà des tensions maximales de sécurité, sondes d’oscilloscopes frelatées, faux composants démarqués… les « technologies » sont souvent une aubaine pour les faisants qui exploitent la peur, l’incertitude et le doute, notamment dans le domaine des « zondes qui tuent », des économies quotidiennes, du flicage supposé, de la santé en général.

Récemment, Jones est tombé à bras raccourcis (preuves techniques à l’appui) sur un appareil nommé « Batteriser » soi-disant capable d’accroître la longévité (donc a priori la capacité) d’une pile alcaline de plus de 800%. Ce défi aux lois de la physique (on est au-delà de la découverte du mouvement perpétuel) ne semble pas avoir « mis en alerte » plusieurs de nos confrères journalistes, y compris au sein de la rédaction de PC-World, lesquels ont fidèlement reproduit le communiqué de presse vantant les mérites d’un tel appareil. Sans effectuer la moindre mesure, sans surtout se poser de question ou faire le rapprochement entre cette annonce fracassante et la promesse d’une levée de fonds participative sur l’un des principaux sites de crowfunding … De toute évidence, l’auteur du « booster de piles miracles » avait préparé le terrain par un tir d’artillerie médiatique avant de lancer son assaut contre les économies de quelques milliers de pigeons. Avant de partir avec la caisse …

Dave Jones enfourche donc son Youtube de bataille et part en croisade contre ces exploiteurs de la crédulité humaine en passe de mener à bien l’une des plus grandes escroqueries du genre. La riposte ne se fait pas attendre. Puisque qu’il est quasiment impossible de faire taire l’imprécateur en lançant une attaque en déni de service contre Youtube, il est toujours envisageable de submerger les podcasts de l’auteur par des remarques négatives et autres « dislike », cette forme de dictature participative qui tient à la fois de la loi de Lynch et du DdoO (déni distribué d’opinion). Une telle augmentation des commentaires négatifs provoque un impact direct sur les revenus d’EEVBlog (revenus liés à la publicité notamment). Tu menaces mes rentrées d’argent, je m’attaque aux tiennes, on est dans le droit fil des pratiques mafieuses : intimidation et racket.

Les commentaires négatifs émanant principalement du Vietnam, Dell se demande alors s’il s’agit d’une attaque indirecte utilisant des proxy situés dans ce pays, ou si ce flot de commentaires n’est autre que le résultat d’une offre de service émanant d’un prestataire Vietnamien spécialisé dans ce type de contre-feu. Cela a-t-il la moindre importance ?

L’une des principales failles de sécurité qui affecte Internet est précisément sa capacité à imposer, parfois par la violence, souvent en exploitant l’ignorance, une forme de pensée unique, particulièrement lorsque des intérêts financiers sont en jeu. Car rien ne vient techniquement distinguer un véritable consensus démocratique (la vox populi) d’une calomnie ou d’une doxa techniquement orchestrée par un bot herder ou quelques robots. Et contre ce genre d’attaque, il n’existe aucun autre firewall que celui du bon sens et de l’éducation. Nul bout de ferraille vendu 2,5 dollars ne peut élever une tension résiduelle sans perte de conversion, nulle puissance ne peut s’accroître sans apport extérieur d’énergie, le principe Lavoisier est immuable. Hormis en marketing, seule science capable de transformer du vent en or.

« Il faut lire l’article de Peter Swire » martèle Bruce Schneier sur son blog. Professeur de droit à Georgia-Tech et conseiller du Président, Peter Swire a signé un article intitulé « The declining half-life of secrets and the future of Signals Intelligence ». Le secret, estime Swire, est une denrée de plus en plus périssable, rien n’est moins certain que sa date maximale de conservation. Autrefois, il suffisait d’un décret pour qu’une affaire soit occultée par une corporation d’archivistes consciencieux qui, génération après génération, se transmettaient un trésor de choses inavouables durant 50 ou 100 ans. « Ça, c’était avant Snowden », continue notre sociologue de l’obsolescence de l’information. Longtemps, la récolte de données issues des réseaux de communication (SigInt) était entravée par le morcellement des opérateurs, des frontières, des passerelles. Lorsque l’ex URSS espionnait les communications de l’occident, elle ne pouvait agir que dans le faible espace frontalier proche des ramifications de ses réseaux téléphoniques. C’était l’époque des monopoles opérateurs et des relations privilégiées entre ces opérateurs et les services de renseignement de leurs pays respectifs. La fuite de données glanées était peu probable, voire impossible.

Ce n’est plus du tout le cas de nos jours. La nature même des réseaux de transport véhicule cette information (ou son accès) en une multitude d’endroits différents. Le temps de conservation d’un secret se réduit proportionnellement au nombre de personnes pouvant y avoir accès… et ce nombre s’accroît de manière exponentielle. Le fait de révéler que le Chancelier de la République Fédérale d’Allemagne d’il y a 30 ans était sous écoute n’a pas du tout la même résonance médiatique que s’il s’agit de l’espionnage des échanges GSM d’Angela Merkel, Chancelière toujours en exercice. C’est ce que Swire appelle le « l’épreuve de la première page des quotidiens ». Dans le premier cas, l’affaire mérite un entrefilet en page 4, dans le second, elle occupe la manchette durant une semaine entière. Ce qui pouvait demeurer secret il y a deux générations ans est potentiellement susceptible d’être immédiatement mis sur la place publique de nos jours, quand bien même n’y aurait-il aucun Snowden à l’horizon. Les conséquences sur l’opinion publique sont alors d’une toute autre magnitude.

D’ailleurs, les Snowden ont toujours existé. Ils sont consubstantiels à tout système de surveillance/espionnage/manipulation, et se multiplient dès lors que les actes en question outrepassent trop largement les limites de la morale « communément répandue ». Swire cite notamment l’affaire Daniel Ellsberg, qui inonda le New York Times, en 1971, de plus de 7 000 pages de révélations sur la guerre du Viet-Nam. 7000 pages… à comparer aux 50 000 ou 200 000 documents qu’aurait subtilisé Snowden. Une paille, une infirme collection de contenus, probablement un « rien » comparé à ce que le lanceur d’alertes a « laissé » sur les ordinateurs de la NSA. Et pourtant, cette goutte d’eau prend des allures de geyser. Un déluge de scoops que ne peut plus retenir la « peur du procès » dont on menace les journalistes et éditeurs des quotidiens intéressés par une telle publication. La divulgation est inévitable, car ce que le New York Times ou Le Monde ne sortira pas, un Wikileaks le fera, avec autant d’efficacité. Même l’illusion de contrôle d’une fuite disparaît dans notre univers toujours connecté.

Le Web, ce formidable cadeau empoisonné que les USA firent au monde pour le mieux surveiller, possède en lui une certaine dose de poison totalement incontrôlable. Ce système de surveillance panoptique est devenu tellement polymorphe et omniprésent que parfois, l’observé prend la place de l’observateur et condamne ses actes.

La situation ne va certainement en s’améliorant continue le Conseiller de la Présidence. De plus en plus (Snowden en est un exemple frappant) les grandes infrastructures font appel à des sous-traitants, dont on ne peut exiger le même niveau d’engagement moral qu’un espion de métier ou qu’un militaire empreint de convictions. Surtout si ce sous-traitant est issu de la contre-culture Californienne, généralement hostile au centralisme et au dirigisme de Washington. Il s’est créé, depuis une quarantaine d’années, un réel clivage d’opinion dans la population. « Chez les fonctionnaires et agents d’Etat, l’on sentait une réelle animosité envers Snowden, et le qualificatif de traître à la patrie était bien plus souvent mentionné que celui de « lanceur d’alertes » » explique en substance Swire. « A contrario, les populations du « Digital Age » avancent même que les révélations de ces informations relève d’un « devoir de désobéissance civique ».

Intéressante forme de schizophrénie qui frappe cette société nord-américaine, incapable de compter sur l’idée même de conservation du secret parce que le système tout entier repose sur les compétences d’une armada de sous-traitants et non plus sur la foi inébranlable d’une poignée de convaincus.

Pourtant, Peter Swire ne pousse pas le raisonnement jusqu’au bout. Cette sous-traitance, cette mainmise des Haliburton et des Booz Allen Hamilton sur les rouages régaliens les plus sensibles est la conséquence directe d’une économie libérale à outrance, d’un système qui veut faire disparaître l’idée d’Etat, de Gouvernement (car qui dit Gouvernement prononce fiscalité, droit du travail, salaires minimums) et de frontières (car qui dit frontière entend droits de douanes, taxes d’importation et entraves au libre commerce). La déconstruction de l’Etat, son démantèlement avec d’un côté une privatisation des centres de profits et une nationalisation des pertes ne peut que conduire à une dissolution des valeurs patriotiques. Comment s’étonner alors que les rares qui résistent face à ce programme tentent de trouver refuge dans le principe du « citoyen-justicier », celui forgé dans l’airain du second Amendement et répété ad nauseam à chaque écolier d’Outre Atlantique. Paradoxe étonnant que ces Conservateurs qui bradent l’appareil d’Etat sous prétexte de libéralisme et de réalisme économique, et de ces Républicains qui jouent la carte de la Défense Nationale à tous prix.

Ce à quoi l’on pourrait ajouter que les outrances des services dits « spéciaux » ne peuvent éternellement laisser indifférent ceux qui en sont témoin, quel que soit le pays. Du moins plus au XXIème siècle, plus après la preuve que le « métier de seigneur » qu’ont pratiqué Hames, Phylby, Burgess ou Hanssen était sérieusement corrompu, plus après la publication de la « Banalité du Mal » d’Hannah Arendt qui démontrait comment un petit fonctionnaire qui répond strictement aux ordres peut se transformer en machine infernale. Certes, il y a une marge entre les actes d’Eichmann et les procédés de la NSA. Mais ce sont précisément ces incessantes violations des principes démocratiques que commettent ces services spéciaux qui peuvent conduire aux régimes totalitaristes et déclencher les réactions d’un Snowden. Il n’y a pas de trahison gratuite, c’est un des principes de bases de la sécurité des S.I.

Depuis quelques semaines déjà, la rédaction de Cnis-Mag s’amusait de la soudaine augmentation de demande de « contacts » LinkedIn émis par une armada de chasseurs de têtes « sécurité ». De Chasseuses, devrait-on préciser, qui semblent mettre en avant plus leur plastique généreuse que leur intérêt pour l’usage d’Ida Pro. L’absence de véritables motifs dictant cet impérieux besoin de rencontre professionnelle et la confusion manifeste que ces demoiselles faisaient entre le métier de journaliste et celui, considérablement plus sérieux, de responsable SSI.

Mais ce qui pouvait passer pour une erreur d’aiguillage ne serait en fait que la partie visible d’une vaste campagne de profilage, pense Sean de F-Secure, dont les soupçons sont confirmés par Yonathan Klijnsma de Fox IT. « Ces personnes une fois intégrées dans le cercle des relations, explique Klijnsma, disparaissent rapidement. Leur profil est effacé des bases du réseaux social, et il faut parfois fouiller assez profondément pour retrouver leur activité dans l’historique des activités LinkedIn ».

Klijnsma fait également remarquer que les profils glanés par ces recruteurs sont très sélectifs. Certains s’intéressent aux spécialistes de la sécurité sans-fil, d’autres aux chefs de cellule sécurité, d’autres encore aux gourous de la mobilité… un travail parcellaire qui n’est pas sans rappeler l’organisation quasi militaire de certains scam nigérians.

Une autre étude, publiée par Trend Micro cette fois, constate également que le profilage de spécialistes SSI fait rage au moyen orient. Un groupe baptisé Rocket Kitten utilise des méthodes un peu plus agressives que des tentatives de contact LinkedIn, allant jusqu’à déployer des attaques en spear phishing, injection de malwares et autres procédés du genre. Les « chatons –fusées » ne ciblent pas seulement les spécialistes sécurité, mais également les secteurs des sciences politiques, de la diplomatie, des affaires étrangères, de la défense, du journalisme, des droits de l’homme…

L’espionnage industriel n’est donc pas leur but ultime. Ces agresseurs, précise l’analyse de Trend Micro, mettent en œuvre des outils de hacking parfois courants, parfois plus évolués, probablement achetés ou dérobés à d’autres black-hats. La teneur, le style et l’orthographe chancelante de leurs messages de phishing sont tels qu’il est assez simple de les détecter, et même d’établir, par recoupement, l’enchaînement de leurs activités de datamining. Mais ces faiblesses sont compensées par la persistance de l’opération qui, à force de constance, finit parfois par arracher quelques données précieuses.

Il y a donc comme un parfum d’amateurisme ou d’absence de maîtrise dans l’usage des outils, assez contradictoire avec l’apparent travail de profilage minutieux que semble poursuivre le groupe des minous strato-propulsés. Peut-être, estime l’étude, un groupe de cyber-pirates traditionnels qui a abandonné la collecte artisanale de numéros de comptes bancaires pour se lancer dans celle plus lucrative et moins dangereuse d’espion amateur et petites mains spécialisées dans la rédaction de fiches d’identité ? L’employeur le plus plausible serait alors un « quai d’Orsay » du Moyen Orient ou un service de renseignements d’Asie Mineur en mal de supplétifs.

Cette théorie serait d’ailleurs confirmée par le fait que les Rocket Kitten auraient déjà disparu une première fois de la scène black-hat avant de réapparaître et de changer d’orientation. Cela sent un peu l’amnistie conditionnelle, une sorte de contrat « liberté contre travail de bénédictin ».

Il est également amusant de constater que les « recruteuses » susmentionnées (et c’est probablement également le cas des Rocket Kitten) étaient parvenues à entrer dans les petites papiers LinkedIn de pas mal de spécialistes Français de la sécurité des S.I., si l’on en juge par le nombre de « contacts communs ».

Bluecoat (qui a eu mauvaise presse il y a peu) multiplie aujourd’hui les articles sur les activités des black hats. Le dernier en date s’intitule « DO NOT ENTER Blue Coat Research Maps the Web’s Shadiest Neighborhoods ». Selon ce spécialiste de la lecture attentive de tout ce qui passe sur Internet, une très grande majorité des nouveaux noms de domaine serait en majorité des nids de spywares, des terriers à virus et à botnet, les antres du Phishing tous azimuts. L’on peut même considérer que certaines extensions, tel le “.zip” ou le “.review” ne soient constituées que de serveurs web faisandés. Le taux de compromission est assez impressionnant et affecte même parfois des gtld à l’intitulé insoupçonnable. Ainsi les domaines en « .science ». Bluecoat a même dressé un palmarès des extensions les plus dangereuses :

1 .zip 100.00%

2 .review 100.00%

3 .country 99.97%

4 .kim 99.74%

5 .cricket 99.57%

6 .science 99.35%

7 .work 98.20%

8 .party 98.07%

9 .gq (Guinée Equatoriale ) 97.68%

10 .link 96.98%

L’appât du gain et le mercantilisme dont font preuve les « registrars », associé à une absence totale de vérification des contenus ont peu à peu transformé Internet en une zone de non-droit.