:: Actualité ::
[Les News] [Recherche avancée] [SecALERT]
Antivirus à la Pyrrhus (refrain)
Et pendant ce temps, l’inlassable chasseur parti sur les traces du réseau RBN, Dancho Danchev, entame le quatrième volet de son recensement des softs de sécurité bidon.
Car outre une subtilité et une complexité croissante de la partie programme, les voleurs d’identité et autres injecteurs de Chevaux de Troie construisent chaque jour une architecture réseau polymorphe, dynamique et redondante qui feraient, en temps de paix, le bonheur d’un RSSI en quête d’une infrastructure Wan sécurisée.
Entamons le dernier chapitre avec deux billets signés Brian Krebs, du Washington Post. Krebs s’intéresse, pour sa part, à toute la partie backoffice des crimewares, au business organisationnel de ces multinationales de l’escroquerie par Internet. Avec un premier volet plus spécifiquement consacré aux salles de marché qui louent du service Botnet et du kilo de postes zombifiés facturés au temps d’utilisation et à la quantité offensive ( Web Fraud 2.0: Distributing Your Malware ), et une seconde partie qui s’attache plus particulièrement à la cuisine anti-Catpcha.
Car, avant que de parler de postes infectés, avant d’envisager disséminer des exploits Java ou ActiveX, il faut bien amorcer la pompe à l’aide d’un courriel de phishing.
Or, depuis quelques années, le business de l’antiphishing/antispam se porte comme un charme, et les domaines douteux sont blacklistés par les éditeurs avec la rapidité de l’éclair. Ne restent donc que les fournisseurs de services impossible à bannir, les Gmail, Hotmail, Hushmail et proches parents de noble extraction. Des forteresses dont l’accès est généralement défendu par un test de Turing –une reconnaissance de caractères déformés plus connue sous le nom de Captcha. Certes, reconnaît Brian Krebs, l’on voit de plus en plus de sites « gris » commercialiser des automates OCR que certaines déformations n’effrayent plus. Mais la méthode la plus efficace demeure la détection humaine.
Les grands réseaux de polluposteurs et de phishers –spécialistes de l’hameçonnage- emploient des armées de télétravailleurs chargés de décoder du captcha à longueur de journée. « 20 secondes de temps de latence par code identifié, une capacité de 500 000 à un million de captchas par jour, tout captcha décodé en plus d’une minute est remboursé, tout captcha erroné est remboursé… » c’est un véritable discours marketing, une industrie qui repose sur un esclavagisme insupportable. Car les « opérateurs de saisie » ne valent pas cher, dans le monde de la guerre virtuelle. 1 $ le mille, 100 dollars les 100 000 verrous levés. A ce rythme-là, pour nourrir une famille, même dans un pays du tiers monde, on y laisse ses yeux et son intégrité mentale. Le fait est connu depuis longtemps. Déjà, en mars dernier, le site Ha.Cker dénonçait cette exploitation humaine. Le Clusif Français, au cours notamment de son bilan 2007, attirait l’attention de ses membres sur cette nouvelle forme d’asservissement qui s’étend même aux univers virtuels des jeux de rôle en réseau. Mais un gamin de 11 à 16 ans qui tapote 16 heures durant sur un clavier, auréolé de gloire High Tech, fait moins souvent les gros titres des journaux que ces « baby Nike » ou les petites filles exploitées par les fabricants de tapis d’orient « faits main ». C’est pourtant la même misère, la même cruauté cynique.
* Note de la Correctrice : après maints arguments raisonnés, seule une menace de démission immédiate est parvenue à persuader l’auteur de ne pas ajouter, après le mot « courroux », soit un « coucou » Desprosgien, soit une fine allusion à la fusée Ariane. Moi vivante, jamais de telles facilités ne passeront le stade de la relecture …
|
