Adam Shostack (actuellement chez Microsoft dans le rôle de gestionnaire de programme de sécurité et avec qui j’ai travaillé sur un audit de sécurité de la plateforme de prestation de services chez Radialpoint) et Andrew Stewart ont récemment publié The New School of Information Security.
Les auteurs veulent changer notre façon de penser à la sécurité de l’information . Essentiellement, ils veulent que la prise de décisions en matière de sécurité soit fondée sur des preuves et des données réelles, et que l’analyse de ces données soit effectuée à l’aide d’approches provenant d’un ensemble plus large de disciplines.
Je recommande le livre aux praticiens de l’industrie et aux clients, et je voulais partager certains commentaires sur la sécurité des courriels et les pourriels. Les paragraphes suivants empruntent beaucoup au livre.
Il y a vraiment deux types de spammeurs, les ennuyeux et les fraudeurs purs et simples. Les plus ennuyeux sont des entreprises avec lesquelles vous avez fait affaire et qui continuent maintenant de communiquer avec vous alors que vous ne le désirez plus (beaucoup, trop d’entreprises entrent dans cette catégorie et ce type de communication est proche des définitions de pourriel et parfois subjectif). Ils peuvent également avoir prêté votre adresse courriel à une filiale ou à un partenaire qui peut agir de la même manière. Les fraudeurs purs et simples vendent des pilules sexuelles, des services de rencontres, des escroqueries boursières ou des corrections de crédit et utilisent souvent des ordinateurs compromis pour envoyer ces messages.
Les ennuyeux peuvent essayer de se cacher derrière le consentement, en prétendant que vous saviez qu’ils vous enverraient des choses et partageraient votre adresse, alors qu’en réalité vous n’y prêtiez pas vraiment attention. Les fraudeurs peuvent utiliser d’autres pourriels pour vous diriger vers des logiciels malveillants (ou des sites contenant des logiciels malveillants) qui infectent votre ordinateur et les rejoignent à leur armée de robots spammeurs. Ou bien, ils se livrent à une fraude de niveau inférieur, en vous envoyant des produits défectueux, en débitant votre carte de crédit et en n’envoyant jamais rien, ou en vendant votre carte de crédit à une tierce partie infâme.
Les fraudeurs utiliseront également des attaques d’hameçonnage , dans lesquelles des entreprises légitimes sont usurpées d’identité. Des études montrent que la plupart des gens ont beaucoup de difficulté à distinguer un courriel d’hameçonnage légitime d’un courriel d’hameçonnage frauduleux (en fait, la plupart des gens ont de la difficulté à reconnaître certains types de pourriels ennuyeux, lorsqu’il s’agit d’un message adressé à quelqu’un d’autre). Les auteurs suggèrent que la simple pratique commerciale consistant à ne pas inclure de liens dans ces courriels et à inviter les clients à accéder au site Web à partir d’un signet atténuerait ce problème. Pour plus de sécurité, cette adresse Web légitime pourrait être livrée au client par courrier traditionnel.
Maintenant, conformément au modèle de pensée différent sur la sécurité de l’information dans la nouvelle école, pourrons-nous un jour arrêter les pourriels? Cette question peut avoir deux significations : i) serons-nous un jour en mesure d’empêcher les spammeurs d’essayer de spammer, ou ii) serons-nous un jour en mesure d’empêcher tous les spams d’atteindre les utilisateurs finaux? Le livre et ce billet abordent la première question, qui est plus socio-humoriste que technique.
Ici, les auteurs apprennent de l’économie. L’écosystème et l’économie des pourriels comprennent des personnes ayant des produits à vendre, des intermédiaires qui commercialisent les produits et des fournisseurs d’infrastructure qui envoient les messages. Les spammeurs (les fraudeurs purs et simples) investissent du temps et des efforts pour faire passer les mesures de sécurité, en variant les messages eux-mêmes et en variant (et en distribuant massivement) l’origine des messages. Si vous vivez à l’extérieur de l’Amérique du Nord dans un endroit où le coût de la vie est très bas, il y a un énorme avantage en termes de coûts. Les quelques fractions de cent que vous pourriez gagner pour des messages réussis se traduiront par quelques milliers de dollars, qui vont beaucoup plus loin au Mozambique qu’aux États-Unis.
Ces endroits à faible coût de la vie auront probablement également des lois très laxistes sur la sécurité ou les pourriels, s’ils en ont. Dans les endroits où le pourriel peut être illégal, la fraude par pourriel ne sera pas élevée par rapport aux crimes plus traditionnels (et légèrement plus violents). Les risques et les moyens de dissuasion pour les polluposteurs sont donc très faibles, même avec les récentes arrestations très médiatisées de certains mégapolluposteurs.
Les externalités (c’est-à-dire ce que les économistes appellent les débordements d’une transaction économique) entrent également en jeu. Qui paie pour l’envoi des pourriels? Le spammeur? Pas vraiment, il vit dans un pays à loyer modique et utilise des robots pour envoyer les pourriels. Le propriétaire du PC infecté qui est maintenant un bot? Pas vraiment, tant que le spammeur ne devient pas cupide et ne sous-distribue pas la commande spam, le propriétaire du PC ne verra pas de changement dans les performances du système ou l’utilisation de la bande passante. Il n’y a pas beaucoup d’incitation pour les propriétaires de PC à avoir un logiciel de prévention des zombies sur leurs systèmes.
Donc, selon les auteurs, mettez toutes ces choses ensemble « faible risque, faible pénalité, bon retour sur investissement, externalités » et il est peu probable que nous puissions un jour empêcher les spammeurs de spammer. C’est bien sûr, à moins que la réponse à la deuxième question ne soit « Oui ».
Dans un prochain billet, j’aborderai cette deuxième question : pourrons-nous un jour empêcher tous les pourriels d’atteindre les utilisateurs finaux?
