La SSI en Suisse, pas si calme que ça

Et oui, ce n’est pas parce que l’on entend pas souvent parler de mon pays de résidence que les attaques informatiques n’existent pas ici. Non, nous sommes confrontés comme les autres aux mêmes soucis, et on gère !

Pour preuve, deux faits intéressants ont été publiés récemment.

  • D’une part, et cela m’intéresse au plus haut point vu ma fonction, l’administration fédérale a subi quelques déboires informatiques fin 2007. Il n’y a donc pas que la France, l’Allemagne ou d’autres pays qui ont eux leurs systèmes informatiques gouvernementaux pénétrés par des entités étrangères.
  • D’autre part, un informaticien Suisse s’est littéralement vu attaquer par un ou des groupes mafieux de l’Est. Ces derniers ont spammé de faux avis de suicide le concernant, ce qui a provoqué des centaines d’appels à la police, et quelques soucis pour lui. Le site fédéral dédié à la sécurité Melani (un équivalent du Cert-A) explique qu’il ne faut pas s’occuper de ce message. Ce qu’il faut ajouter, et qui n’est que rarement mentionné par les médias, c’est que ce monsieur est assez actif dans le domaine de la lutte contre le spam, il tient d’ailleurs un blog (en allemand), et cela ne plaisait pas du tout à ces malfrats – à priori en rapport avec le tristement célèbre Russian Business Network – qui ont décidé de se venger de cette manière.

Cela étant, nous sommes également submergés de spams et autres saletés en tous genres. D’après la société MessageLabs, la Suisse est la victime numéro une des attaques de ce genre. Pour rappel, la Suisse est un pays plurilingue, et les antispams ont souvent du mal à affiner leurs filtres lorsque les messages arrivent à la fois en allemand, français, anglais et italien… D’ailleurs, en juin dernier, la police fédérale a annoncé que le nombre de cas de criminalité informatique en Suisse avait subi une augmentation de 60% par rapport à l’année précédente. En juillet, la Suisse était le pays le plus spammé en termes de pourcentage d’emails infectés : 82,4% des emails circulant en Suisse contiennent du spam, à comparer avec la valeur mondiale de 75,1%, ce qui est déjà beaucoup. Et un email sur 60 environ contient un malware…

3 Comments »

Bruno Kerouanton on août 26th 2008 in IT Security

3 Responses to “La SSI en Suisse, pas si calme que ça”

  1. Jean-Philippe responded on 27 août 2008 at 20:13 #

    « et les antispams ont souvent du mal à affiner leurs filtres lorsque les messages arrivent à la fois en allemand, français, anglais et italien… »

    Wow, ca existe encore alors des antispams qui fonctionne sur keyword ?

    Pas étonnant que les niveaux de spam restent élevés…

    (désolé pour le commentaire un peu ironique mais j’ai pas pu m’en empêcher)

    Pour revenir a l’étude de messagelabs c’est un peu bizarre d’imaginer la suisse (population inférieur a celle d’Ile de France), comme étant une cible de choix de spam.
    (84.5% c’est plus bas que tout ce que j’ai pu voir.) ceci dit en ratio population … mouais … pourquoi pas.
    A moins que, ce genre de cris d’alarme sonne bien quand un pays est doté de lois spécifique aux spams (voté en 2007 non ?), et j’y vois un petit coup de lobbyisme de la part d’un vendeur…(oullalla vous avez vu le spam c’est grave madame Michu non ? vite achetons un antispam …)

  2. Bruno Kerouanton responded on 27 août 2008 at 23:22 #

    C’est vrai que les chiffres paraissent élevés. Tout ce que je peux dire sur le sujet, c’est que je connais bien la volumétrie des spams et autres pourriels que nous filtrons chaque minute… et du coup cela ne m’étonne pas tant que cela.

    Pour l’histoire des antispams qui marchent avec des mots clefs, sincèrement je n’en sais rien (c’est un domaine qu’il faudrait que je creuse un peu plus, mais à ma connaissance les méthodes de classification bayesiennes tokenisent les symboles ET les mots). Je viens de parcourir les docs de SpamAssassin / sa-learn et quelques articles de Paul Graham et de Gary Robinson sur le sujet : il y a toujours prise en considération des mots, même si ceux-ci sont ensuite tokenisés et pondérés statistiquement.

    Si vous en savez plus, je suis preneur, ne serait-ce que pour pouvoir affiner mes propres listes bayésiennes qui semblent de moins en moins efficaces avec le temps. Soit les spammers innovent, soit la fiabilité de mon antispam s’érode… ou peut-être les deux à la fois ;(

  3. Bruno Kerouanton responded on 27 août 2008 at 23:32 #

    A ce sujet, encore… SpamAssassin a depuis longtemps changé sa gestion des tokens dans la base bayesienne. Autrefois c’était du texte :

    sa-learn –dump data | sort > bayes_dump.txt
    0.001 0 48 1108391722 H*M:hpb
    0.001 0 48 1108391722 H*M:hpbrm
    0.001 0 55 1108391737 H*r:sk:PUBLIC.
    0.001 0 56 1108391737 H*F:U*mthomason
    0.001 0 57 1108391737 H*F:D*halfpricebooks.com
    0.001 0 57 1108391737 H*r:66.250.20
    0.013 0 4 1108391715 awfully
    0.013 0 4 1108391715 dudes
    0.013 0 4 1108391715 hostile
    0.013 0 4 1108391722 Someplace
    0.013 0 4 1108391737 drinker
    0.993 7 0 1107371048 attn
    0.993 7 0 1107442179 H*p:D*dartmail.net
    0.993 7 0 1107442194 Levitra
    0.993 7 0 1107527893 leveraging
    1.000 166 0 1108588775 ball
    1.000 166 0 1108588775 casualties
    1.000 166 0 1108588775 decisive
    1.000 166 0 1108588775 impossible
    1.000 166 0 1108588775 injuries
    1.000 166 0 1108588775 lies

    Maintenant, ça ressemble à ceci :

    0.987 1 0 1219594526 d880f26272
    0.406 3803 9694 1219849928 d9caf99eb6
    0.987 1 0 1218025863 db8613e474
    0.987 1 0 1219721840 dd22accd4a
    0.987 1 0 1217164614 dd8fbfda0b
    0.999 3589 6 1219849928 de2aa32ff4
    0.987 1 0 1217234314 ded0cfe76a

    on voit bien que la forme des tokens (le dernier champ) a changé, ce n’est plus du texte mais (si j’ai bien suivi) le début d’un hash sha-1 du token en question… donc difficile de savoir quel mot a servi à générer le token. Si quelqu’un a une idée de script ou d’outil, je suis intéressé !

Trackback URI | Comments RSS

Laisser un commentaire