Spécial sécurité : France, dans le Top 15 des hébergeurs noirs
Aujourd'hui, nos confrères de CNIS, un magazine spécialisé dans la sécurité des systèmes d'information, se penchent sur un récent classement des hébergeurs peu regardants et susceptibles d'accueillir à leur insu, sur leurs serveurs, des activités malveillantes. Et, dans ce classement établi par HostExploit, l'hébergeur français OVH apparaît à la treizième place. Nos confrères décortiquent ensuite les méthodes de la cyber-Cosa-Nostra russe.
Sommaire:
1 - France, dans le Top 15 des hébergeurs noirs
2 - Les héritiers de RBN et le TaaS : Truandage As A Service
1 - France, dans le Top 15 des hébergeurs noirs
Fin mars, Brian Krebs signait un article au vitriol dénonçant les hébergeurs pas trop regardants sur la légalité de leurs clients. Parmi les mauvais élèves, OVH, qui serait présent sur pratiquement tous les fronts de l’hébergement de malware. Métriques différentes, approche semblable chez HostExploit.com, qui en novembre dernier, donnait un tiercé pessimiste des hébergeurs les plus « gris » de la planète. Premier Velcom (Canada), second IPNap-ES (USA), troisième OVH (France). Chiffres, précisait le rédacteur de l’étude, à prendre avec prudence, l’outil d’analyse n’ayant pas, à l’époque, dépassé le stade de la pré-version.
Depuis, les métriques de HostExploit se sont affinées. Et si OVH n’est plus le troisième hébergeur le plus malsain du globe, il figure tout de même en 13ème place de ce palmarès peu glorieux. L’hébergeur le plus « noir » serait le Hollandais Ecatel, suivi par les Américains DemandMedia et BlueHost, puis par le Russe Webalta. En cinquième place, à nouveau un Hollandais, WorldStream. Cette classification est le fruit d’une pondération complexe donnant pour résultat un indice de « méchanceté », lequel prend en compte non seulement le pourcentage de sites hébergés malsains proportionnellement à la taille de l’hébergeur, mais également la nature des menaces détectées (troyens, C&C, émetteurs de spam etc). Le classement par pays donne donc les USA grand gagnant dans cette course au maléfice, le pays Batave arrivant en deuxième place, la fédération de Russie en troisième et l’Allemagne en quatrième.
2 - Les héritiers de RBN et le TaaS : Truandage As A Service
La Cyber-Cosa-Nostra Russe se porte comme un charme et a tiré des leçons du passé. Et le principal enseignement tient en peu de mots : abandon définitif des architectures offrant un « single point of failure » comme disent les spécialistes. Sur ce sujet, Pierre Caron du Cert Lexsi nous raconte comment fonctionne GrandHost, hébergeur officiel de la techno-mafia des pays de l’Est. Les datacenters et centres d’hébergement de Saint Petersburg du RBN ont disparu pour laisser place à des offres de hosting dédiées, virtuelles ou mutualisées, sur des sites répartis dans « plusieurs régions du globe » dans le cadre de machines louées à d’autres hébergeurs. Une sorte de sous-location à géométrie variable. Le Cloud-truand existe avant même que le Cloud industriel ait fait son apparition.
Outre cette réduction de la surface vulnérable, ces hébergeurs accroissent la palette de services offerts aux clients : enregistrement anonyme et opaque, vérification de la « qualité » et de l’absence de détection des vecteurs d’attaque (troyens, virus, ), surveillance des « listes noires » des divers grands surveillants du Net (SpamHaus, PhishTank, McAfee etc). Le tout assuré par une équipe de suivi technique digne d’un fournisseur « blanc Persil ».
Dancho Danchev rédige de son côté un article fort proche, qui traite également des nouvelles offres des « hosteurs » mafieux. Et plus particulièrement du recrutement des petites mains chargées de récolter l’argent des différentes escroqueries en ligne. En d’autres termes, un département « Mule As A Service », que l’hébergeur propose à chacun de ses clients, eux-mêmes (voir plus haut) spécialisés dans le phishing, le scam, le scareware, les botnets etc. Là encore, le travail des gardiens de mules s’étend sur plusieurs pays du globe. « la cyberdélinquance, insiste Danchev, doit être considérée non plus avec une optique nationale, mais sous un angle international, puisque chaque nation possède son propre lot de délinquants du « on line » ». Et c’est bien le cas des « mules », qui sont proposées par ces spécialistes du Travail Mafieu Temporaire. « Ce qui est le plus impressionnant dans ce cas, continue l’auteur, c’est l’efficacité de la répartition géographique de ce quasi « syndicat de recrutement des mules » » : 11 en Hollande, 11 en Chine, 29 aux USA, 8 en Belgique, 1 en Allemagne. Une cartographie soigneusement dressée à l’aide des DNS employés.
Les services d’enrôlement des mules sont devenus très actifs et prospères depuis les 8 derniers mois. La crise aidant et les écarts de profits entre les « gros salaires » directoriaux et le commun des mortels devenant de plus en plus importants, la tentation d’un « second emploi très rémunérateur de correspondant commercial » est bien tentante. D’autant plus que ces offres sont généralement présentées comme des postes d’intermédiaires de transactions fleurant bon la légalité et la respectabilité.