Il y a quelques jours, Microsoft a lancé une offensive d’ampleur contre le dynamic DNS du fournisseur No-IP. Bilan : vingt-deux de ses domaines ont été saisis. Les gars de Redmond ont affirmé qu’ils avaient de bonnes raisons de le faire. D’abord, No-IP héberge une multitude de différents malwares, ainsi que de nombreux hackers. Ensuite, il est constamment la cible de cyberattaques, et refuse malgré cela de s’allier à d’autres quand il s’agit d’éradiquer tous ces méchants.
Comme dans la plupart des conflits, chaque camp se renvoie la balle et excelle dans la tactique du » ce n’est pas de ma faute » et de » c’est lui qui a commencé ! ».
C’est surtout le cas pour No-IP, qui affirme suivre une ligne de conduite irréprochable et toujours être disposé à coopérer quand il s’agit de lutter contre les cybercriminels. Quant aux clients, ils sont très contrariés par le raid, qu’ils considèrent comme injustifié, surtout contre une compagnie comme No-IP, qui exerce dans la légalité. Ils trouvent aussi insensé que le fournisseur soit face à la justice alors qu’on trouve des malware pratiquement partout.
Est-ce légal de fermer une entreprise parce qu’on y a trouvé un #virus… ? On en trouve pourtant partout, non ?
Entre temps, les objectifs fixés pour le raid ont largement été atteints : plus de 4 millions de sites ont été désactivés (certains nuisibles, d’autres non) ce qui a affecté 1.8 millions d’internautes. Microsoft essaie de séparer le bon grain de l’ivraie et s’applique à réactiver les sites inoffensifs. Malgré cela, de nombreux utilisateurs continuent à se plaindre de la perturbation qui concerne encore plusieurs sites.
Chercher à savoir qui est le vrai coupable serait une mission ingrate et désespérée. Je vais laisser les journalistes faire leur travail, et vais plutôt vous donner matière à réfléchir. En se basant uniquement sur des faits et des données chiffrées, on pourra peut-être tirer nos propres conclusions quant à la légalité et l’éthique des actions menées par Microsoft.
1) La saisie de 22 domaines de No-IP a affecté l’activité d’environ 25% des attaques répertoriées chez nous à KL. Et cela représente des centaines d’opérations d’espionnage et de cyberattaques qui ont eu lieu au cours des trois dernières années. Environ un quart d’entre eux possède un centre de contrôle et de commande chez cet hébergeur. Par exemple, des groupes de hackers comme les Syrian Electronic Army et les Gaza Team n’utilisent que No-IP alors que Turla utilise 90% de ses hébergeurs.
2) Il est vrai que, des principaux fournisseurs, No-IP dynamic DNS était le moins disposé à coopérer. Par exemple, ils ont ignoré tous nos mails au sujet des botnets.
3) Nos recherches indiquent que les pirates passent souvent par No-IP pour le pirater les centres de contrôle et de commande. Une simple recherche via le scanner de Virustotal suffit à le confirmer : 4.5 millions échantillons de malware inédits viennent de No-IP.
4) Pourtant les derniers données enregistrées par notre sécurité de cloud (KSN) révèlent que les choses ne sont pas si simples. Voici un récapitulatif des différentes cyberattaques enregistrées sur les principaux fournisseurs de dynamic DNS :
Services |
% d’hébergeurs malveillants |
Nombre de detections (en une semaine) |
000webhost.com |
89.47% |
18,163 |
changeip.com |
39.47% |
89,742 |
dnsdynamic.org |
37.04% |
756 |
sitelutions.com |
36.84% |
199 |
no-ip.com |
27.50% |
29,382 |
dtdns.com |
17.65% |
14 |
dyn.com |
11.51% |
2321 |
smartdots.com |
0.00% |
0 |
oray.com |
0.00% |
0 |
dnserver.com |
0.00% |
0 |
Comme vous pouvez le constater, No-IP n’est pas en tête de liste, ce n’est donc pas lui qui comptabilise le plus grand nombre d’attaques, même si les pourcentages enregistrés restent élevés.
Autre point de comparaison : le % d’hébergeurs dont les noms de domaines terminent par .com représente 0.03%, ceux terminant par.ru 0.39% alors que ceux de No-IP représentent 27.5% !
Et voici d’autres données pour nuancer les choses : en une semaine, on a comptabilisé environ 30 000 domaines de malware sur No-IP, alors que cette même semaine on a enregistré 429 000 détections chez l’un des domaines les plus malicieux parmi les .com, ce qui représente 14 fois plus que chez No-IP. Ensuite, le 10ème domaine le plus infecté des .ru a généré 146 000 détections, c’est-à-dire presque autant que les dix premiers fournisseurs de DNS dynamics réunis.
Pour résumer:
D’un côté, le blocage de sites populaires consultés par des centaines, si ce n’est des milliers d’internautes, ce n’est pas bien. D’un autre côté, fermer des endroits propices au développement de malwares c’est juste, et noble.
Attaquer les domaines de No-IP. Est-ce bien ou mal ? Ambiguïté avec un grand A.
Puis les mathématiciens ont fait l’avocat du diable en avançant que :
Quantitativement, la fermeture de tous les domaines de No-IP n’est pas plus efficace pour lutter contre la distribution de malware que la fermeture d’un des plus puissants domaines de malware dans une zone populaire comme i.e., .com, .net ou même .ru. Pour faire simple, même si vous étiez sur le point de fermer tous les fournisseurs de dynamic DNS, Internet ne serait pas encore assez propre pour qu’on puisse faire la différence.
Donc la voilà l’ambiguïté avec un grand A.
Cela permet à chacun de se sentir juste et honnête, par rapport à des choses qui sont loin d’être neutres dans cette affaire. Et quand il s’agit de différencier le bien du mal, ce qui est juste de ce qui ne l’est pas, même Nietzsche s’y perd.
Pourtant, certaines pensées resurgissent …
C’est évident que tant que la quantité de pirates ou le degré de criminalité dépassera un certain seuil, les ‘autorités’ commenceront subitement à fermer des services, et à ignorer les lois concernant les libertés sur Internet et la liberté d’entreprendre. Les choses sont comme ça, une règle de vie dans nos sociétés : Si ça colle, il faudra tôt ou tard le nettoyer.
La liste des sites bloqués est déjà relativement longue : Napster, KaZaA, eMule, Pirate Bay et bien d’autres. Depuis No-IP a été ajouté à la liste.
À qui le tour?
// Bitcoin? Cela a déjà commencé.