vendredi, janvier 09, 2009

MAM contre le spam ; Microsoft Research pour le phishing

Pour lutter contre la cybercriminalité, le Ministère de l'intérieur a annoncé un plan global d'action qui vise d'une part à améliorer les moyens de coopération internationale et d'autre part à renforcer les effectifs techniques et humains :
  • doublement des effectifs de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication — superbe acronyme : OCLTIC ; on espère un « T » aphone qui permettrait d'assurer une forme de continuité entre l'injonction traditionnelle « au poste ! au poste ! » et sa nouvelle version cybermoderne « oclic ! oclic », tout à fait de circonstance ;
  • amélioration de la formation avec un nouveau cursus universitaire adapté et un diplôme de « cyberflic » ; (JingJing et ChaCha ne sont pas loin !) ;
  • enfin, sous les habits doucereux d'un site paternaliste de conseils et de préventions, un portail public de dénonciation dit prosaïquement « portail de signalement » à l'URL www.internet-signalement.gouv.fr, une version en ligne de la bocca di leone des doges vénitiens de jadis ;
  • enfin, un service téléphonique au n° d'appel 0 811 02 02 17 (prix d'un appel local) a été mis en place. Il est destiné à renseigner les particuliers qui pourraient être confrontés à des escroqueries ou tentatives d'escroquerie en ligne. (L'ayant composé à l'instant, je suis informé « qu'on ne pourrra donner suite à mon appel ».)

Plusieurs catégories de « signalements » sont prévues :

Pédophilie ou corruption de mineur sur Internet

Incitation à la haine raciale ou provocation à la discrimination de personnes en raison de leurs origines, de leur sexe, de leur orientation sexuelle ou de leur handicap

Menaces ou incitation à la violence

Trafic illicite

Mise en danger des personnes

Incitation à commettre des infractions

Spam

Injure ou diffamation

Escroquerie

et, probablement, toute combinaison des précédentes.

Rappelons également que, nonobstant les vives protestations déclenchées par le décret de juin 2008 paru le 1er juillet instituant le sinistre fichier EDVIGE — et qui fut retiré le 20 novembre 2008 au profit d'une version 2.0, l'imprononçable, donc moins attaquable, EDVIRSP, bien qu'à peine édulcoré — la loi Hadopi prévoit bien la « mise sous surveillance » des ordinateurs suspects. Il s'agirait, selon la ministre de l'Intérieur, « d'autoriser sous contrôle du juge la captation à distance de données numériques se trouvant dans un ordinateur ou transitant par lui ». Un décret étendra la conservation des données pendant un an à l'ensemble des acteurs Internet, aussi bien les fournisseurs d'accès, les bornes d'accès Wi-Fi, que les éditeurs de messagerie électronique. Les « signalements » seront quant à eux conservés dix ans.

À l'heure où l'année 2008 s'est illustrée par la découverte de failles dans les protocoles ouverts du Net que l'on croyait simples et fiables — exploit DNS menaçant le routage Internet, faille de BGP et TCP eux-mêmes — et par l'amplification des « cyberguerres » — on est passé des déclarations d'après-coup lénifiantes, « on peut parler d'affaire sérieuse », lors de l'improbable cyberattaque de hackers chinois contre notre infrastructure nationale à de véritables opérations de guerre électronique en plein conflit entre Géorgie et Russie en août dernier — il fallait en effet que s'exprime, dans l'élan patriotique primordial de l'An Neuf, le rang de la France et sa vocation à refonder la protection informatique mondiale des internautes.

Curieusement, Microsoft Research, qu'on ne saurait soupçonner de conflit d'intérêt à l'heure où l'on découvre une nouvelle vulnérabilité d'IE 7, publie une étude de Cromac Herley et Dinei Florêncio tendant à montrer que le phishing n'existe pas ! Dans A Profitless Endeavor: Phishing as Tragedy of the Commons, les auteurs démontrent, modèle de mathématiques économiques à l'appui, que les phishers sont victimes de la tragédie des communs. (Qui faut-il plaindre, les phishers ou les phishés (fichés !) ?) « L'argent facile » que l'on associe à l'hameçonnage informatique ne le serait pas du tout contrairement à ce que le matraquage de la presse, des blogs et des départements marketing des éditeurs de logiciels voudrait faire croire. Reprenant les modèles économiques établis, systématiquement appelés de nos jours à étayer la démagogie du développement durable, nos économistes de Microsoft Research montrent que plus les phishers déploient d'efforts pour escroquer leurs victimes imprudentes, moins importante est leur collecte et plus lourds encore sont leurs investissements pour poursuivre leurs activités illicites. Bref, leurs rendements sont décroissants. Et donc, comme à qui perd gagne, plus on constate l'accroissement du phishing, moins celui-ci coûte-t-il à la communauté en général. De même plus le phishing est rendu facile par l'évolution et la diffusion de technologies, moins les revenus qu'en tireraient les cyber-malfrats seraient élevés. À poursuivre le raisonnement de Herley et Florêncio à son terme le plus extrême, le meilleur moyen de lutter contre le phishing est de le favoriser, en abaissant le plus possible son coût d'entrée : multiplions les failles et diffusons les technologies d'hameçonnage !

Du petit lait pour la Plateforme d'Harmonisation, d'Analyse, de Recoupement et d'Orientation des Signalements (PHAROS).

ShareThis