Sur le web, protection, répression ou prévention ?

Ma dernière expérience face à un malware déployé sur un site d’un des membres de Cassiopea m’évoque la réflexion que je vous expose aujourd’hui. Contextualisation.

Il y a quelques jours, le service sécurité du fournisseur IAAS de Cassiopea, Gandi, nous signale qu’un malware [1] est installé sur notre serveur. Pour identifier notre serveur ils ne nous fournissent que l’adresse IP, que l’ANSSI (agence nationale, française, de la sécurité des systèmes d’information) leur a, en fait, communiquée. C’est l’IP de notre répartiteur de charge.

Evidemment, derrière cette IP se trouvent près de 200 sites web différents. Lequel de ces fruits contient le ver ? Le ver s’appellerait itsoknoproblembro et serait identifiable par une liste d’une quinzaine de fichiers dont les noms sont assez typiques. Avec un de mes collègues nous fouillons donc l’arborescence des fichiers ainsi que les logs apache et ftp à notre disposition. Mais nous avons beau chercher, il n’est à trouver nulle part.

Quelques jours plus tard, un utilisateur de nos services nous signale qu’un des sites de nos membres est bloqué par le CERT du parlement européen. Raison évoquée ? Le site contient un malware. Ici aucune précision du nom, pas plus d’infos, et donc toujours impossible pour nous de localiser ce ver sur notre serveur.

Nous fouillons également les différentes bases de données publiques contenant la liste des IP et domaines vérolés, mais n’y trouvons ni l’IP de notre répartiteur de charge, ni le domaine bloqué. Nos outils de monitoring (trafic sur le serveur, utilisation des ressources) ne nous montrent pas non plus un usage frauduleux évident.

Alors qu’en est-il ? Le ver est-il dans le fruit ? Pas de preuve formelle jusque là... Les CERT et autres ANSSI feraient bien de nous donner un peu plus d’informations, sans quoi ils ne peuvent qu’aider à élever des murs de forteresses digitales un peu plus haut, contre des envahisseurs qui trouveront toujours une faille ou une catapulte plus puissante pour passer au dessus.

Le travail des agences nationales de la sécurité et autres CERT, les outils anti-virus et autres pare-feu sont, bien sûr, très utiles (tant qu’ils sont fiables), mais ils ne s’attaquent qu’à une moitié du problème. Pour faire une analogie entre la criminalité de 0 et de 1 et celle de chair et d’os, je dirais qu’il nous manque ici les éducateurs, les assistants sociaux, les thérapeutes spécialisés en la matière et pouvant travailler sur le terrain. Une bonne dose de prévention de la criminalité informatique serait vraiment utile. La plupart des outils et organismes existant travaillent quasi exclusivement sur la protection et la répression, mais pas du tout sur la prévention.

Le domaine de la prévention serait pourtant bien large, il y a de nombreuses initiatives qui pourraient être entreprises. Pour commencer, il serait par exemple très utile d’essayer de comprendre pour quelles raisons ces criminels (et le terme est peut-être déjà trop fort) agissent. On pourrait alors peut-être essayer de proposer des alternatives à leurs choix professionnels [2]. De petits et timides projets en la matière existent, tel que ce travail de l’UNICRI relayé dans une présentation TED, mais ils sont bien peu nombreux.

Preuve en est que la criminalité informatique est souvent erronément attribuée aux hackers, alors que l’origine de ce terme est très positive [3]. Les hackers ont une éthique face au travail (et à la vie de manière générale) qui est assez différente de la majorité de la population [4]. Mais les hackers ne sont pas des criminels, ce sont simplement des bricoleurs très créatifs, un peu rêveurs et utopistes, de l’informatique.

Si on connaissait mieux les causes et les racines de la criminalité informatique, on pourrait peut-être constater que, sur le net, tout comme dans la vie réelle, la délinquance et la criminalité ont souvent pour cause les inégalités, les exclusions et les futurs sans espoir. C’est là, je pense, que se situe la plus grosse racine du problème.