Je viens de lire un article d’Ars Technica indiquant que sept chercheurs américains avaient utilisé le botnet de spams généré par le ver Storm pour envoyer 469 millions de spams vantant entre autre des produits pharmaceutiques en vente sur de faux sites qu’ils avaient créés, afin d’étudier la rentabilité de ce type d’activité.
Je ne nie pas l’intérêt de leur article que vous pouvez lire ICI, mais je suis interloqué par la manière de procéder.
En tant que particulier, je souffre relativement peu du spam grâce à l’utilisation d’outils intelligents (Thunderbird et gmail) et les adresses emails jetables telles que yopmail.
Il en va totalement autrement en tant que responsable informatique, avec plus de 20.000 emails à traiter par jour et toutes les astuces que cela demande (greylisting, spamassassin, listes noires…)
Mon sang s’est donc mis à bouillir quand j’ai appris que nos sept chercheurs américains jouaient avec les outils du diable.
Extrait de l’article:
We conducted our study under the ethical criteria of ensuring neutral actions so that users should never be worse off due to our activities, while strictly reducing harm for those situations in which user property was at risk.
Traduction basée sur Google:
Nous avons mené notre étude dans le cadre de critères éthiques garantissant des actions neutres de façon à ce que les utilisateurs ne soient jamais dans des situations pires à cause de nos activités, tout en réduisant strictement les dommages pour les situations dans lesquelles la propriété de l’utilisateur était en danger.
Cela me fait quand même mal quelque part de savoir que mes serveurs d’emails ont peut-être reçu quelques milliers de spams éthiquement corrects pour le bien de la recherche…
Via futura-sciences.
Bon, c’est peu etre pas super ethique, mais les resultats sont interessants
After 26 days, and almost 350 million e-mail messages, only 28
sales resulted — a conversion rate of well under 0.00001%. Of
these, all but one were for male-enhancement products and the av-
erage purchase price was close to $100. Taken together, these con-
versions would have resulted in revenues of $2,731.88 — a bit over
$100 a day for the measurement period or $140 per day for peri-
ods when the campaign was active. However, our study interposed
on only a small fraction of the overall Storm network — we esti-
mate roughly 1.5 percent based on the fraction of worker bots we
proxy. Thus, the total daily revenue attributable to Storm’s phar-
macy campaign is likely closer to $7000 (or $9500 during periods
of campaign activity). By the same logic, we estimate that Storm
self-propagation campaigns can produce between 3500 and 8500
new bots per day.
Le problème, c’est que pour comprendre ce que font les méchants, comment ils le font et combien, c’est efficace, il faut parfois se mettre dans leur peau. Cette imprégnation peut-être faite à différents niveaux, mais il faut être réaliste : comme le dit Bruno, on ne vit pas dans un monde de Bisounours, et on ne peut pas se comporter comme un Bisounours.
Voir ce billet chez Schneier que je trouve personnellement édifiant sur la police indienne qui pensait que le clonage de SIM de GSM était impossible :
« The experts said no one has actually done any research on SIM card cloning because the activity is illegal in the country. »
Maintenant, est-ce que leurs 500M de spam ont vraiment changé quelque chose à la vie de Mme Michu ? Je veux dire, est-ce que ça en valait la chandelle, considérant d’un côté l’impact de leur action et de l’autre l’apport ? Que de questions ma foi…
Cette illustration de l’article est tout simplement géniale, je pense que je vais en installer plusieurs dans les bureaux.
Il faut quand même voir (en lisant leur rapport c’est bien expliqué) que les spams en question seraient quand même partis, avec ou sans eux. Ils n’ont pas injecté de nouveaux spams dans Storm, ils ont modifié une campagne de spams qui passait par leurs relais pour faire pointer les liens web dans les mails vers leurs serveurs (inoffensifs).
Pour prendre une analogie, ils ont juste ajouté des « traceurs » sur les spams qui passaient par chez eux…
@Julien: Les résultats de l’étude sont intéressants, c’est la méthode qui me surprend.
@Sid: Ne pas se comporter en bisounours n’implique pas d’utiliser les mêmes méthodes que les voyous.
@Koocotte: toujours la même source d’images dont je ne me lasse pas: http://www.darkroastedblend.com
@Nicolas Aupetit: Je suis d’accord. N’empêche, si des chercheurs peuvent s’appuyer sur ce botnet, n’est-il pas possible de chercher à l’éradiquer? Mais sans doute est-ce une vision naïve de ces problèmes.
Zythom: Eradiquer ce botnet est plus difficile que de l’infiltrer — pour l’infiltrer, il leur a suffi d’infecter sciemment des machines accessibles depuis internet afin qu’elles soient choisies comme proxies (transmission d’ordres, et non seulement en tant que workers, expéditeurs de mails), et à partir de là, modifier les ordres reçus avant de les transmettre aux workers.
Mais leurs quelques machines étaient une goutte d’eau parmi tous les proxies; et pour neutraliser ce botnet il faudrait que tous ses proxies soient trafiqués – autant les désinfecter…