Un Aquarium contre le phishing
« Recrutons pêcheurs, toutes tailles, toutes organisations ». Phishtank est un tout nouveau mouvement lancé par l'OpenDNS et visant à collecter les pages de phishing réellement actives au jour le jour. On est loin, très loin, du travail purement statistique de l'Anti Phishing Working Group. Le mode opératoire est assez simple, fort proche du « projet Honeypot » antispam : une communauté de volontaires expédie aux responsables du projet le contenu du courriel soupçonné de phishing. Courriel qui, après analyse, sera classé, archivé dans une bibliothèque consultable en ligne -librement et gratuitement-, ou simplement détruit s'il s'agit d'un email n'entrant pas dans cette catégorie.
La récolte de la marée s'effectue de quatre manières différentes : soit directement par le biais de l'interface HTML de Phishtank, soit via courrier électronique à une adresse générique (phish@phishtank.com) ou personnalisée (ces soumissions nécessitent un enregistrement préalable) ou bien à l'aide d'une API plus particulièrement destinée aux opérateurs, FAI, entreprises et autres brasseurs de gros volumes d'emails. C'est précisément cette API, ou plus exactement son évolution, qui est utilisée par le projet Honeynet antispam.
Contrairement au projet antispam, cette expérience ne peut prétendre juguler à court terme les vagues de courriers générés par les cyber-escrocs. C'est, toutefois, un premier pas vers la constitution d'un outil de travail facilitant le bannissement de domaine ou le blocage de pages de certains sites formellement reconnus coupables... en collaboration, il faut l'espérer, avec les instances judiciaires de chaque pays.
Un espoir qu'il faut toutefois tempérer par une bonne dose de prudence : les mesures excessives risquent de conduire à des erreurs pouvant pénaliser d'innocents Webmestres. Prenons l'exemple des excès de zèle, de certains professionnels de l'antispam commercialisant des services « White List/ Black List ». Tous ne sont pas coupables, mais il n'est pas rare que quelques membres de cette profession se permettent de rayer un domaine de la carte sur la simple preuve d'un alias smtp manifestement bidonné (spoofé). Le site originel -et innocent- est alors pris en otage, et tout échange d'informations avec cette entreprise cyber-bâillonnée et ses clients est soumise au bon vouloir d'un éditeur à la fois juge et partie.
Cette « justice de cowboy » est âprement défendue par des Rambos du courriel, qui refusent de changer d'attitude et invoquent l'inévitabilité de ces « légers dommages collatéraux ». Pourrait-on imaginer un préposé des P&T * déchirer les enveloppes qu'il soupçonne de contenir une réclame ? Pourrait-on accepter qu'un opérateur de téléphonie supprime une ligne d'abonné sous prétexte qu'un tiers aurait reçu des appels indésirables ? Certes non. Une telle initiative est soumise à une décision de justice, elle-même dépendante d'une enquête minutieuse. On s'étonne encore que ce ne soit pas le cas pour les échanges Internet, on s'inquiète du fait que de tels débordements puissent un jour invoquer un hypothétique phishing pour rayer un serveur Web de la carte. Les professionnels de la sécurité doivent respecter leurs fonctions premières : surveiller, détecter, protéger, et non contre-attaquer, sévir, censurer. En des temps où les Ministres se battent becs et ongles pour préserver les intérêts privés d'un quarteron de marchands de chansonnettes, il serait peut-être souhaitable que ces mêmes Ministres s'intéressent à la régulation de ces « polices municipales » du Net qui patrouillent, sans diplôme autre que leur auto-proclamation, sur le second outil de communication le plus utilisé dans le monde.
* NDLC Note de la correctrice : Lequel préposé ne peut que se prénommer Victor
