La lutte contre les ISP complaisants s'intensifie

Le 10 novembre dernier, le fournisseur de services "McColo" (www.mccolo.com) a disparu d'Internet parce que ses raccordements à Internet ont été coupés par ses propres fournisseurs d'accès (upstream providers).  McColo est une société américaine qui propose de l'hébergement de services web. McColo est aussi connu pour être un hébergeur très complaisant qui est utilisé par des spammeurs et les concepteurs de virus pour leurs activités malfaisantes. Il est ainsi courant que :

• Les machines qui contrôlent les botnets de spam ou de DDOS (les serveurs de C&C – Command and Control) soient hébergées chez McColo.
• Les codes malveillants que les virus installent sur les postes une fois qu'ils ont infecté une machine soient téléchargés chez McColo.

Suite à la coupure de McColo, plusieurs sources (dont IronPort, SpamCop et Marshal) ont noté une chute de 35% à 50% du Spam circulant sur Internet. La fermeture de McColo semble avoir été déclenchée par le fait qu'un journaliste (Mark Kreb, qui anime le blog "SecurityFix" au Washington Post) a contacté les fournisseurs d'accès de McColo. Un rapport détaillé à propos de l'activité malveillante de McColo avait aussi été publié récemment par www.hostexploit.com.

La fermeture de McColo a été précédée de plusieurs événements similaires :

• Fin septembre, la société américaine Atrivo (fournisseur de services également connu sous le nom de "Intercage") a eu son raccordement Internet coupé, ses pairs ayant refusé d'acheminer son trafic réseau. Là aussi une chute significative du volume de spam a été constatée. Et là encore, un rapport détaillé à propos des activités malveillantes de Atrivo avait été publié par www.hostexploit.com
• Il y a un an (en novembre 2007) l'infrastructure de RBN (Russian Business Network) à St Petersbourg avait elle aussi été arrêtée, peu de temps après la publication d'un rapport décrivant ses activités malveillantes.

Sur un autre point, l'ICANN a annoncé qu'elle allait mettre fin à l'accréditation de EstDomains.com (société Estonienne d'enregistrement de noms DNS) parce que le dirigeant de EstDomains a été condamné pour fraude à la carte bancaire par la justice en Estonie (ce qui est contraire à l’une des clauses de ICANN). EstDomains est également connu pour enregistrer de nombreux noms de domaines liés au spam, au commerce pharmaceutique sur Internet et aux logiciels malveillants.

Comme nous le voyons au travers de ce cas, la lutte contre les fournisseurs de services peu scrupuleux semble s'intensifier. Bien sûr les escrocs qui avaient recours aux services de RBN, Atrivo, McColo ou EstDomain trouveront probablement de nouvelles structures d'accueil pour poursuivre leurs activités. La baisse des spams qui a été observée suite aux fermetures n'est donc que très temporaire. Il est tout de même encourageant de voir que les fournisseurs de services sur Internet ne peuvent pas agir en toute impunité en accueillant sans scrupule ce type d'activités malveillantes.

Pour plus d'information :

• A propos de l'arrêt de McColo :
  http://voices.washingtonpost.com/securityfix/2008/11/major_source_of_online_scams_a.html
  
  
• A propos de l'arrêt de Atrivo/Intercage :
  http://asert.arbornetworks.com/2008/10/timeline-atrivointercage-depeering-dissolution/
  http://asert.arbornetworks.com/2008/08/atrivointercage-called-out-as-us-rbn/
  
  
• A propos de l'arrêt de l'infrastructure RBN à St Petersbourg (novembre 2007) :
  http://voices.washingtonpost.com/securityfix/2007/11/russian_business_network_down.html
  
  
• A propos de la suspension de EstDomain.com :
  http://asert.arbornetworks.com/2008/10/estdomains-inc-whacked-by-icann/