Deux ingénieurs Microsoft, Cormac Herley et Dinei Florêncio, viennent de publier une étude aussi rafraîchissante que subversive, A Profitless Endeavor: Phishing as Tragedy of the Commons . 12 pages truffées de mathématiques, d’enquêtes, d’analyses de métriques qui ne posent en fait qu’une question : et si le phishing ne rapportait pas autant que veulent bien le prétendre les « experts en phishing » et les hameçonneurs eux-mêmes. Et de répondre dans la foulée : « c’est là une probabilité relativement élevée. Le phishing pourrait bien ne rien rapporter du tout, ou du moins nettement moins qu’autrefois. ».
Se basant sur une évaluation mathématique dérivée des systèmes de production, ces deux chercheurs avancent les arguments suivants :
En premier lieu, les principales métriques du phishing que l’on peut lire dans la presse informent sur le volume, et non pas sur l’efficacité. L’on dénombre beaucoup d’emails d’hameçonnage, mais peut-on évaluer combien rapportent-ils réellement ? Peut-on être certain que les investissements déployés par les hameçonneurs soient financièrement rentables ? Et d’expliquer que cette activité est semblable à celle d’une mine d’or ou de charbon. Son rendement est rapide et franc en début d’exploitation puis, au fur et à mesure que le filon se tarit, les efforts des mineurs redoublent, mais la production baisse. « Nous en sommes probablement à ce stade » estiment les deux chercheurs. Les campagnes de courriel redoublent, leur volume atteint des sommets vertigineux… n’est-ce pas là le signe que les émetteurs n’arrivent plus à gagner correctement leur vie en ne prodiguant que peu d’efforts ?
Par ailleurs, en admettant même que la proportion de victimes ait pu demeurer constante, les mécanismes de sécurité des banques, par exemple, se sont perfectionnés, bloquant de plus en plus souvent les opérations frauduleuses. Ensuite, la possession d’un numéro de compte ne signifie pas obligatoirement un accès opérationnel à ce compte. Bien des crédences n’offrent qu’un accès consultatif, sans la moindre possibilité d’effectuer un virement. Et c’est sans parler des opérations de sensibilisation qui font qu’un usager, même après avoir commis l’erreur de fournir son mot de passe, reste tout de même capable de réagir après coup et de changer le sésame indûment communiqué.
Ensuite, font remarquer Herley et Florêncio, les récentes études conduites en ce domaine sont trompeuses. Les échantillonnages statistiques sont trop faibles pour se dégager du bruit. La dernière étude Javelin ? Elle ne concerne que 3 répondants… Et la « Gartner » ? Le phishing ne représente que 0,5% de son panel… un peu faible pour en tirer une « perte moyenne de 800 dollars par personne ». La FTC ? Elle mélange tous les types d’escroqueries. De toute manière, la part des escroqueries, tous types confondus, concernant un accès à un compte en banque reste en dessous du pourcent. Un simple changement de méthode de calcul donne d’ailleurs des crises d’asthme au montant des « pertes officielles ».
Mais alors, la « modélisation » de Jakobsson et Ratkiewicz , ceux qui ont lancé une réelle attaque de phishing, un mensonge ? Une fausse analyse tout au plus, rétorquent les deux Microsoftiens. Ces chercheurs n’ont pas conduit le processus jusqu’au bout, et se sont contentés de considérer l’attaque comme ayant réussi dès lors que les personnes inscrivaient leurs crédences sur le site « piège ». Ce n’est pourtant que la première phase de l’opération… on est encore loin de l’accès réel au compte en banque.
Mais si le phishing ne « marche » pas, pourquoi alors les phisheurs sachant phisher phishent ? Par habitude, pour certain. Par espoir, pour d’autres, une version moderne de la fièvre de l’or des pionniers du Klondike ou de Guyane. Les chercheurs d’or ne deviennent jamais riches, ce sont les vendeurs de pelles et les négociants de métaux précieux qui tirent leur épingle du jeu. C’est d’ailleurs pour cette raison que les marchés de la « revente d’identités et d’adresses » et celui de l’exploitation de ces mêmes identités et adresses sont si séparés. Les phishers qui profitent du phishing sont ceux qui, ayant déjà évalué la faiblesse du R.O.I, se convertissent dans la prestation de services vendue aux nouveaux venus… lequels ne sont pas encore au courant. Les escrocs escroquent en premier lieu d’autres escrocs.
Et si Herley et Florêncio avaient raison ? Et si ce formidable rideau de « preuves » dont nous abreuvent les associations anti-phishing et autres confréries de gourous n’était qu’un rideau de fumée profitant aux vendeurs de solutions de protection et autres DLP ? Et si ce terrible Snark n’était jamais qu’un Bojum ? L’idée est assez plaisante et les remarques assez pertinentes pour qu’une partie de la vérité se trouve quelque part dans cette douzaine de pages.