Deux articles aussi virulents que précis, un rapport alarmiste : le phishing et les spywares ne sont plus considérés comme quantité négligeable par les éditorialistes américains. A commencer par Ben Edelman qui dénonce notamment les pratiques d'un grand « pêécheur » devant l'Ethernet : 180 Solution. Incitations « phynancières » auprès des Webmestres de tous horizons, pseudo procédures « opt-in » d'installation, injections « sauvages » d'exécutables... une petite démo vidéo accompagne le papier afin d'expliquer aux moins avertis ce qu'est un spyware, ses dangers, les pratiques de ses disséminateurs. Le titre de l'article est violent à souhait : « Qui profite des trous de sécurité ».

Papier ravageur également, signé Kelly Martin dans les colonnes du « Focus » et intitulé « Profitwares ». Car il s'agit bien de « profits » qui se chiffrent en millions de dollars, et dont le « fondement » même repose sur une faille logicielle. Laquelle faille est souvent enfant de l'un des 4 cavaliers de l'apocalypse Internet que sont les ActiveX, Javascript, Java et Internet Explorer. Le crime profite à certains, les « publicitaires » qui sont à l'origine de ces petits bijoux du développement malsain, mais n'engraisse pas assez ceux dont le rôle est de nous protéger. Et Kelly Martin d'écrire en substance « Jusqu'à nos jours, les grandes compagnies éditant des anti-virus ont quasiment ignoré le problème des spywares parce qu'il ne constituait pas un centre de profit ». Et quel usager « de l'industrie » envisageait de payer encore plus pour obtenir un programme chargé de ce genre de désinfection ? Et de préciser que ce qui, pour l'instant, est commercialisé par ces professionnels de la protection, s'avère très rudimentaire -les meilleurs outils sont généralement des graticiels-. S'ajoute à ceci la lente noyade desdits chasseurs de virus dans leur propre logorrhée. Virus traditionnels, troyens, polymorphes, vers... au milieu de toutes ces engeances le spyware appartient-il à la famille des virus ? Question totalement byzantine pour l'utilisateur qui constate que son modem appelle pour la 5ème fois consécutive un numéro de téléphone situé en Mongolie inférieure (via téléphonie satellite).

Outre cette hypocrisie corporatiste s'ajoute un problème socio-économique, lié au fait que le « méchant » de l'histoire est une entreprise, un businessman, une structure commerciale pas très catholique peut-être, mais sûrement pas un pirate aussi boutonneux que cathodique. Autant il était possible de stigmatiser le script kiddy, autant il est plus délicat de conspuer le chevalier d'industrie... la confraternité des hommes d'affaires ? Ou peut-on imaginer des collusions encore plus profondes ? Car une telle inertie des éditeurs face à cette montée des spywares, ce n'est plus de la négligence, c'est presque de la complicité.

Bon, l'histoire bafouille, les éditorialistes aussi. Car, parmi les conclusions de l'article, l'on trouve la sempiternelle recommandation « but users would do well to permanently switch to an alternative browser like Firefox to avoid these kinds of problems » Le responsable de Mozilla Europe doit jubiler... en voilà un qui n'aura certainement pas besoin de recourir à l'usage des spywares pour sur-vendre son navigateur. Reste que ce leitmotiv des « bien pensants » du Web est non seulement lassant, mais également dangereux. A force d'encenser ce merveilleux Firefox (à qui il ne manque que la parole ASP), l'on risque de trop diaboliser Internet Explorer. Et c'est en se victimisant que Microsoft a su se tirer des pas les plus périlleux. Souvenons-nous de cette « hérésie Windows » qui ne devait pas survivre à l'ère d'OS/2 Warp...

Reconnaissons avec reconnaissance que, sans les failles de sécurité d'Internet Explorer, les folliculaires de la presse « sécu » que nous sommes auraient parfois du mal à boucler leur semaine. Une page blanche ? et hop, un petit air qui nous trotte dans la tête : « I read the news today oh boy, Four thousand holes in Redmond, Washington »

Tout aussi industriel, bien plus mafieux, le phishing fait l'objet d'un rapport impressionnant de la part de l'Anti-Phishing Working Group (APWG). Cet organisme publie son rapport pour le mois d'octobre, et les chiffres sont préoccupants : 1142 sites d'émission, en progression de 25 % par mois. La masse de « courriers frauduleux » comptait, toujours fin octobre, un peu moins de 6 600 lettres considérées comme « nouvelles »... une production également en forte hausse, triple de celle estimée en août dernier. Le nombre de marques de fabrique « détournées » servant à masquer les escroqueries gravite autour d'une quarantaine de nom -banques, éditeurs de logiciels dont Microsoft...-. La durée de vie moyenne d'un site de phishing ne dépasse guère plus de 6 jours, l'agilité des fraudeurs fait le reste. Par marque piratée, par échelonnement temporel, en volume, par secteur industriel, par pays émetteur (tiercé gagnant : USA, Chine, Australie), les chiffres de l'APWG brossent le paysage hyperactif de l'escroquerie en ligne par courrier interposé. Cette criminalité demeure, doit-on le rappeler, quasiment impunie, la seule sanction encourue étant le plus souvent la fermeture du site servant à émettre ces fausses lettres et collationner les crédences des usagers trop crédules.

Vos commentaires

. Web-profils.com, la place de marché du conseil et de l'ingénierie