Difficile enquête que celle conduite par nos consoeurs Denise Pappalardo et Ellen Messmer de Network World. Les deux journalistes sont parties sur les traces des victimes d'extorsions de fonds par chantage -sites de jeux en ligne, banques, entreprises commerciales utilisant des web marchands, brockers, intermédiaires financiers divers-. Et toutes ces victimes, ainsi que les forces de police les assistant, s'accordent à dire que ce genre de cybercrime a tendance à se banaliser, à devenir de plus en plus « commun ». Des actes, aussi, conduits par des groupes de mieux en mieux organisés, qui visent systématiquement une frange précise de victimes. Et des victimes qui se taisent, peu enclines à avouer être la proie de maîtres chanteurs, surtout si l'honorabilité de l'entreprise est en jeu. Le scénario est chaque fois le même : le site « en ligne » subit durant une dizaine de minutes une attaque en déni de service mettant à mal ses échanges avec ses clients internautes, puis vient la demande de « prime de protection ».

« Un nombre indéterminé de victimes préfère se soumettre aux exigences des escrocs plutôt que de se confier à la police et de risquer une publicité plus que néfaste à l'image de marque » écrivent nos consoeurs. Comment lutter contre cette omerta ? « S'il est illégal de demander de l'argent avec ce genre de procédé, précise un avocat américain, rien n'interdit la victime de payer... ce genre de démarche est légalement apparentée au versement d'une rançon ». Même Schneier confirme « Certains de nos clients sont la cible de ces malfrats... plus souvent que nous le souhaitons, nos clients préfèrent payer que de faire front ». Pourquoi ? Parce que, concluent nos consoeurs, la rançon n'est rien en regard du coût d'exploitation d'un système de protection contre les attaques en déni de service distribué. De tels outils coûtent en moyenne 12 000 $ par mois... et les racketteurs demandent 10 000, 100 000 voir plusieurs millions de dollars, la demande pouvant parfois ne pas dépasser 6 000 dollars. Souvent donc bien en deçà des coûts de protection, simple et sinistre calcul de ROI.

Outre les infrastructures ou services d'équilibrage de charge, la parade au déni de service peut se traduire par la signature de contrats SLA spécifiques avec les hébergeurs Web et les fournisseurs de service. Une démarche qu'ont entamé les banques notamment. « Il serait temps que l'on passe à une phase plus formelle de la contre-attaque » dit en substance un intervenant du monde de la finance, lequel souhaite que le problème soit traité à un niveau international compte tenu de l'extraterritorialité de la plupart des pirates. Indépendamment de l'article de Messmer et Pappalardo, un fonctionnaire international confiait à la rédaction de CSO : « Les banques ont décidé d'internaliser ces frais liés aux opérations de chantage et autres attaques (effets collatéraux du phishing notamment). Pour l'instant, ces sommes sont supportables. Mais on aura peut-être la chance de voir se développer un véritable cadre de lutte internationale lorsque tous les grands établissements financiers commenceront à trouver l'addition un peu trop salée. Une barrière qui devrait se situer aux alentours de 5% du volume des mouvements, peut-être moins ». Les Bugsy Malone de l'IP commenceraient-ils à irriter les grands argentiers du monde moderne ?

. Web-profils.com, la place de marché du conseil et de l'ingénierie