Logo ETI Quitter la lecture facile

Décryptage

Attention aux hébergeurs frauduleux

Posté le par La rédaction dans Informatique et Numérique

L’hébergement de contenus frauduleux est l’un des éléments clef dans la mise en place d’escroqueries de grande ampleur sur Internet. Comment agissent-ils ? Combien sont-ils et comment s'en prémunir ? Focus sur ces réseaux parfois évanescents.

Les cybercriminels se sont fortement professionnalisés ces dernières années, et ce à tous niveaux : envoi de spam par botnet, infection de sites légitimes afin de propager des malware, contournement des solutions anti-virales, mise en place de faux sites et de plate-formes de services frauduleux, etc.Ces fraudeurs agissent majoritairement en groupes très structurés. L’hébergement de contenus frauduleux est l’un des éléments clef pour eux dans la mise en place d’escroqueries diverses sur Internet.Dans ce cadre, l’existence d’hébergeurs frauduleux dits « pare-balles », ou « bullet-proof », prend tout son sens. Ces hébergeurs très particuliers, souvent localisés physiquement dans des pays à législation laxiste, garantissent à leurs clients une disponibilité à toute épreuve ou presque. Ils garantissent surtout de « ne pas agir en cas de plainte ». Dans la pratique, leur service « abuse » ne répondra jamais aux sollicitations leur signalant du contenu frauduleux, et ne répondront pas non plus aux services de police s’adressant à eux. Ces hébergeurs profitent en effet des failles législatives et judiciaires, voir de la corruption de leur pays. Ainsi, lorsqu’un service de police étranger leur signale du contenu illicite hébergé chez eux, s’ils daignent répondre ce sera pour affirmer qu’ils n’agiront que sur action de la police locale, qui elle-même n’interviendra pas.

Différents types de contenus
Différents types de contenus Web sont utilisés par les fraudeurs et se doivent d’être accessibles de façon continue : sites de phishing collectant les identifiants et mots de passe des victimes, faux sites d’entreprises collectant des numéros de carte bancaires, sites de recrutement de « mules ». Au-delà du Web, les fraudeurs doivent également disposer de serveurs à haute disponibilité, notamment pour gérer leurs botnets (command&control).Néanmoins, les fraudeurs ne font pas appel aux hébergeurs bullet-proof systématiquement. Le niveau de risque présenté dans le tableau ci-dessous est relatif à l’hébergeur lui-même, et à la probabilité de voir des contre-mesures déployées par des tiers (internautes, forces de l’ordre, CERTs …).

Prestations
Les prestations fournies par les hébergeurs bullet-proof sont variables :
  • Hébergement mutualisé ou dédié ;
  • Configuration matérielle à la demande ;
  • Backup automatique des données ;
  • Serveur préinstallé ;
  • Fourniture active de moyens techniques : spam, faux sites web, etc.
Il est donc à noter qu’en plus de l’hébergement, certains n’hésitent pas à « aider » leurs clients en leur fournissant les meilleures pratiques du milieu.

Publicité
Ces hébergeurs disposent rarement de sites Web pour proposer leurs services. Ils sont par contre omniprésents sur la plupart des forums « underground » des communautés de cybercriminels, notamment dans les pays de l’Est, et y font la promotion de leurs services.Le plus grand hébergeur bullet-proof historique, le Russian Business Network (RBN), passait ainsi l’annonce suivante sur divers forums de cybercriminels :

Fermetures d’hébergeurs bullet-proof
Contrairement aux idées reçues, les hébergeurs pare-balles ne sont pas légion sur Internet. Ils se font de plus en plus discrets, et ne vantent plus leurs qualités comme ils pouvaient le faire jusqu’en 2007. Plusieurs affaires ont en effet changé la donne. RBN, victime de son succès, a déclenché une série de publications et d’articles de chercheurs, puis de journaux plus généralistes. Sous les feux de la rampe médiatique, ils ont préféré s’évaporer dans la nature, du jour au lendemain (lire l’article de Computerworld).Un autre cas, celui de l’hébergeur frauduleux McColo (lire l’article du CERT. Lexsi), est tout aussi passionnant : cet hébergeur a été fermé en réaction à de fortes pressions exercées par la communauté des chercheurs en cybercriminalité sur les fournisseurs d’accès menant à cet hébergeur (routes BGP), l’isolant totalement d’Internet. La conséquence la plus visible de cette action fût de voir le volume mondial de spam chuter de près de deux tiers (lire l’article du Washington Post).

Solutions de protection contre les contenus frauduleux
Plusieurs organisations tentent de cibler les plages d’adresses IP appartenant à ces hébergeurs. Les listes obtenues permettent de « blacklister » ces hébergeurs et de filtrer leur contenu, que ce soit pour la navigation, ou pour la messagerie. SpamHaus est la plus connue de ces organisations.C’est pour cette raison que les escrocs passent dorénavant, pour plus de 80 %, par des réseaux de botnets pour envoyer leurs spams, ou par des techniques de fast-flux pour leurs hébergements. La clef de la réussite dans la lutte contre ces hébergeurs passera surtout par une amélioration des législations en vigueur, dans chaque pays, et par une meilleure coopération à l’international.Par Cédric Pernet – CERT LEXSI 
Pour aller plus loin

Posté le par La rédaction


Réagissez à cet article

Commentaire sans connexion

Pour déposer un commentaire en mode invité (sans créer de compte ou sans vous connecter), c’est ici.

Captcha

Connectez-vous

Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.

INSCRIVEZ-VOUS
AUX NEWSLETTERS GRATUITES !