Hypponen milite pour un TLD « .Bank ». Pourquoi ?
La question est dans l'air depuis quelques semaines déjà. Pour quelle raison, s'étonne le gourou de l'équipe F-Secure, les organismes financiers ne bénéficient-il pas d'un « top level domain » qui leur soit propre ? En nommant une autorité chargée de vérifier la légitimité de la demande de dépôt de nom de domaine (un travail tout trouvé pour les administrateurs de Swift), l'on éliminerait du coup tous les « typosquatting » et autre faux-amis que déposent à longueur de temps les professionnels du phishing et du détournement d'argent en ligne. Sans doute, les pirates trouveront bien un jour une faille de navigateur capable de masquer ou d'usurper cette extension d'adresse. Mais ce genre de spoofing ne dure généralement que le temps d'une mise à jour. Un « .Bank » pourrait donc effectivement améliorer la situation... du coté des banquiers et l'on retrouverait tous un sommeil réparateur. Car il faut bien admettre que nous-autres, clients des banques, sommes toutes les nuits taraudés par cette abominable question : comment ma très chère Société Populaire échappera-t-elle à ces hordes abominables d'escrocs du Net ? Et le client ? Baste, ce n'est que quantité négligeable, de la viande à malheur que tout çà. La question, entendons la bien, est de savoir comment protéger le « capital confiance » des banques, et non pas de préserver les deniers des épargnants. Car si l'on souhaitait véritablement protéger les victimes premières, l'on chercherait avant tout à attaquer le mal à la racine, en criminalisant les « phishers » par des lois cadre internationales, en engageant une responsabilité pénale des registrars et des hébergeurs « coupables » de n'avoir pas su filtrer un domaine douteux, et surtout en poursuivant avec assiduité une banque qui mettrait trop de temps à réagir, à prévenir ses clients « en ligne » et engager des mesures destinées à tuer le serveur pirate. Une fois l'image de marque des banques protégées par un TLD aisément identifiable et isolé par une collégiale de cooptation corporatiste, les black hats du phishing se rabattront sur d'autres sites de transaction. eBay, ou, plus près de chez nous, la SNCF ont déjà fait les frais d'un tels assauts. Puis ce sera au tour des grandes centrales de e-commerce, voir des organismes gouvernementaux -les serveurs de l'IRS, les impôts américains, ont été victimes de phishers, malgré leurs TLD en « .gov »-. Contre une telle extension du terrain d'opérations, on ne peut opposer la prolifération de top level domains « .rail », « .air », « .shop » et ainsi de suite, autant d'extensions refoulées par le gtld sous prétexte de confusion. On ne peut surtout laisser à l'appréciation d'un quarteron de comités professionnels plus verticaux les uns que les autres, le droit d'apprécier qui peut prétendre à l'obtention d'un « .gambling » ou à la construction d'un site « . chachlik-mercerisé ». Ne nous y trompons pas : derrière la « bonne intention » d'un « .Bank » préservé, c'est tout l'édifice des mécanismes d'enregistrement qui est remis en cause. Et avec lui son indépendance, son impartialité -relative certes-, sa simplicité... Si l'on se réfère aux quelques exemples que publie Hollander & Co, un cabinet spécialisé dans la lutte contre le « brandjacking » (détournement de marque), les banques sont loin d'être les seules victimes de ce type d'escroquerie. Les organismes de jeu -ah, le plaisir de « refaire » un bookmaker- et les sites de VPC sont ciblées avec précision. Hollander s'est d'ailleurs fait une spécialité dans la chasse et la dénonciation des squatters, leurs services étant facturés entre 600 et 800 $ par an. Mais pour ce prix, l'on ne possède qu'un rapport technique détaillé, pas d'une descente de police avec, par ordre d'entée en scène, le shérif, son Colt 45, les avocats, je juge et les informaticiens experts de l'analyse « forensic ».
