Chez Orange, Alain Doustalet dirige une équipe chargée de lutter contre les délits commis par les clients, généralement involontairement, ainsi que de la lutte contre le spam. Il a accepté de répondre à nos questions sur la menace cybercriminelle et la façon dont Orange lutte contre le spam.
Quelle est l’évolution récente de la menace cybercriminelle?
Alain Doustalet: « Les attaques sont très différentes de celles que l’on pouvait trouver au début des années 2000. Avant, on était souvent sur de la transmission de virus. Les gens étaient mal protégés. Ils téléchargeaient des pages avec des compromissions et se retrouvaient ensuite utilisés comme des PC zombies, c’est-à-dire utilisés pour lancer des attaques de spam. Aujourd’hui les attaques sont un peu plus techniques, un peu plus poussées. On trouve par exemple les usurpations d’identités et les vol d’identifiants des clients pour faire du spam à travers leurs identifiants. Cela permet de faire du spam en passant par des serveurs légitimes, ce qui permet d’être plus facilement délivré chez les correspondants que vous voulez toucher. On trouve également les tentatives de récupérations de données bancaires, qui étaient moins présentes au début des années 2000 ou les ransomware qui vous bloquent vos appareils. La typologie a évolué ».
Comment se structure aujourd’hui cette menace cybercriminelle?
Alain Doustalet: C’est beaucoup plus décentralisé et plus morcelé parce que c’est mondial. Ca peut être n’importe où. Quelqu’un peut travailler pour quelqu’un en France en étant au Brésil et avoir récupéré des informations de quelqu’un qui vient des Etats-Unis. On a une professionnalisation très forte des attaquants. Aujourd’hui, on parle d’ « entreprises cybercriminelles ». On atteind une dimension industrielle avec des moyens très importants, avec des gens qui font de la recherche chez eux aussi comme chez nous.
On est aussi sur une sectorisation. Chaque personne a sa mission. Des gens sont là pour voler des comptes, d’autres sont là pour les utiliser, d’autres pour faire du spam, d’autres des attaques DDOS (attaque par déni de service, NDLR), d’autres pour infecter les clients. Il y a des call-center pour essayer de passer les captcha. On peut carrément louer un call-center. Ce sont des gens qui organisent quelque chose et qui vont louer les services de spécialistes dans le domaine où des gens se sont faits une réputation. Ils vont acheter des listes (de victimes) parce qu’ils savent que cette liste est bonne à 90% et que l’on va pouvoir tout de suite l’utiliser. Ce sont vraiment des compartiments. Toutes ces données s’échangent et se vendent sur le darknet avec le bitcoin et toutes les crypto-monnaies apparues pour faciliter les échanges, avec le darknet et le deepnet qui permettent de se dissimuler et qui ont facilité la transmission, la revente et l’utilisation des données des clients. Il y a ce piratage mafieux pour faire du bénéfice mais on a aussi des attaques étatiques qui sont également très très organisées.
Il faut comprendre que le rapport financier est très important. Beaucoup de gens ne le voient pas. Une étude parue il y a 5 ou 6 ans disaient que le spam rapportait plus que le trafic de drogue. Ca rapporte beaucoup d’argent avec des risques qui sont nettement moindre que sur un trafic de drogue ou la criminalité pure. C’est plus difficile d’attraper les pirates même si ça arrive. Mais ce sont des coopérations internationales très longues ».
Quelles sont les procédures qui vous permettent de vous prémunir contre le spam?
Alain Doustalet: « Sur la partie spam cyerbcriminelle, on a plusieurs outils. Il y notre infrastructure de messagerie dont la partie intelligente, qui s’appelle le MTA, permet de faire des réglages pour essayer d’identifier les mails cybercriminels avant de les accepter. Quand vous voulez envoyer un mail à quelqu’un, votre serveur va aller frapper à la porte du serveur sur lequel vous voulez l’envoyer. On appelle cela un « hello » dans la messagerie. Et on va se présenter. Je viens de telle adresse IP, je viens de tel serveur et j’aimerais bien t’envoyer un mail. C’est le premier niveau de filtre. Pour protéger à ce niveau-là, on a des listes d’adresses IP et d’adresses de serveurs qui sont bannies. Ce sont des adresse de serveurs qui ont été identifiées, un peu partout dans le monde parce que ce sont des adresses communes à tout le monde. S’il y a eu une attaque quelque part dans le monde, on va mettre les adresses IP qui ont participé à cette attaque dans cette liste noire pour protéger les autres au cas où elles reviennent. Quand une adresse IP fait du spam quelque part, elle est bloquée. Donc si l’on reçoit un mail d’une de ces listes noires, soit on ne lui répond pas du tout, soit on lui dit qu’on ne veut pas prendre son mails parce qu’elle est connue comme spameure. On va le rejeter en lui mettant un code erreur qui permettra, si la personne est de bonne foi, car il peut y avoir des erreurs, d’avoir l’information qu’on a été rejeté. Avec cette information, on pourra revenir vers le serveur qui a refusé pour obtenir des informations et comprendre pourquoi on a été refusé.
En temps normal, 95% des mails qui se présentent à nos serveurs sont rejetés.
Ensuite, une fois qu’on a accepté de recevoir ce message, on demande un peu plus d’information. On envoie alors ce que l’on appelle les en-têtes du mail. C’est la partie technique du mail, que vous ne voyez pas dans votre mail. Les en-têtes du mail, ce sont des parties que vous ne voyez pas mais qui contiennent toutes les parties techniques du mail. On lui demande d’envoyer uniquement cette en-tête du mail. On a des filtres qui font passer au crible la façon dont on aura répondu, sur la propreté des en-têtes, des données techniques très précises qui vont nous dire que le mail est légitime mais que sa façon de procéder est semblable à celle des pirates. Donc par défaut, on va lui répondre qu’on a un problème avec lui et on va refuser le mail, également avec un code erreur qui va permettre, si c’est une personne de bonne foi, de revenir vers nous pour lui donner des explications.
En temps normal, 95% des mails qui se présentent à nos serveurs de cette façon sont rejetés. Et quand on est en période de crise comme en fin d’année 2020 et début d’année 2021, on peut monter à 98% de rejet. Et il y a très très peu de faux positifs.
Au bout du compte, on délivre réellement dans la boite de réception de nos clients, à peu près 3% des mails qu’on a essayé de nous envoyer.
Sur les 5% qu’on accepte, reste le filtre anti-spam qui va continuer ses investigations sur le mail. Il va prendre une partie de ces messages et au lieu de les déposer en boite de réception, va les déposer dans la boite à spam ou à courrier indésirable. Ca représente 2 à 3% de ces 5%. Au bout du compte, on délivre réellement dans la boite de réception de nos clients, à peu près 3% des mails qu’on a essayé de nous envoyer. C’est une particularité qu’on a de par la législation française, la boite mail du client, c’est un coffre fort. C’est régi par le code des télécommunications. Une fois qu’on a déposé un mail dans la boite du client, on a plus le droit d’y toucher, on a pas le droit de le regarder. C’est pour cela que l’on fait cette différenciation entre mails non acceptés et mails délivrés mais dans la boite à spam. Et si on a délivré quelque chose que l’on se rend compte une demi-heure après que c’est une campagne de fishing, on ne peut pas aller le chercher, on ne peut pas aller le marquer, on ne peut plus rien faire ».
Qui sont ces entreprises qui mettent à disposition des listes d’adresses IP frauduleuses?
Alain Doustalet: « Les listes d’adresses IP sont faites par des sociétés spécialisées dans la création de ces listes et la lutte contre le spam. Elle vendent ces listes de protection. C’est un vrai marché. En fonction de leur efficacité, en fonction des tests que l’on fait, on va acheter cette liste plutôt que qu’une autre parce qu’elle correspond plus à notre marché français. Elle va bloquer plus de comportements atypiques en direction de nos clients.
La plus connue, c’est Spamhaus. C’est la plus ancienne. Il y a également SURBL. Y’en 20 ou 30 mais seulement une dizaine sont connues un peu partout et utilisées. On peut faire des tests sur leurs listes. On connait généralement la réputation des listes. On arrive à savoir que telle liste marche mieux sur tel ou tel marché.
Je vous ai parlé des listes noires pour le mail mai y’a aussi des listes noires pour empêcher la navigations sur certaines adresses IP, les intrusions sur les sites, pour protéger les DNS, pour protéger les requêtes sur les DNS contre les attaquants qui vont essayer de saturer les sites… Ces gestionnaires de listes noires sont spécialisés ».
Comment ces entreprises remplissent-elles leurs listes noires d’adresses IP?
Alain Doustalet: Ils utilisent des utilisateurs de confiance. Ils récupèrent les signalement et les rejets un peu partout parce qu’ils ont des gens un peu partout qui sont des clients qui signalent. Il y a des listes de signalement qui sont communes à tout le monde. Des gens détectent des attaques de spams et mettre leurs listes à disposition. Ca leur permet de récupérer des informations là-dessus.
Ces listes noires sont mises à jour toutes les 5 à 10 minutes. Quand vous acheter une liste noire vous n’achetez pas un one shot, vous achetez une liste qui se met à jour en permanence. Les attaques évoluent en permanence et c’est le gestionnaire de la liste noire qui se charge de la mettre à jour. Ils ont des marqueurs un peu partout dans le monde pour repérer ces attaques.
Ce qui es important pour nous c’est l’efficacité de ces listes. Il faut que la liste soit le plus efficace pour nous sans faire trop de faux positifs. Sinon, cela nous engendre un coup de traitement qui est un traitement humain. Cela va nécessiter du temps et de l’argent, et aussi pénaliser nos clients.
Les adresses IP réunies dans ces listes se comptent en millions. Ce sont des réseaux complets que l’on bloque. On a les adresses individuelles, puis on parle de « slash24 », c’est-à-dire 255 adresses IP, puis des « slash23 » et ainsi de suite…
Comment les règles de fonctionnement des messageries s’imposent-elles à tous les serveurs dans le monde?
Alain Doustalet: Il y a beaucoup de serveurs dans le monde. N’importe qui peut installer un serveur chez lui puis envoyer directement des mails sur internet. Mais ce n’est pas l’anarchie non plus parce que ces serveurs sont régis parce que l’on appelle des RFC (Request for comment, NDLR), qui sont des recommandations techniques. Ce sont des recommandations mais si vous ne les respectez pas, vous avez beaucoup de chances de vous faire bloquer dans plein d’endroits différents. Ce sont des recommandations fortes. Ce sont les gens qui ont créé la messagerie qui ont créé les RFC . Ils ont décrit le fonctionnement attendu d’un serveur de messagerie. On veut qu’un serveur de messagerie, quand il envoie un mail, se comporte de telle ou telle façon. Y’a beaucoup de RFC qui explique comment on doit créer son serveur de messagerie. On ne peut pas créer une loi de l’internet mais on peut créer des recommandations fortes et si vous ne les respectez pas vous avez beaucoup de chance de vous faire bloquer.
Ces RFCs sont évolutives. Les moyens de sécurité sont en évolution permanente pour s’adapter aux attaquants. Il y a aujourd’hui des organismes qui sont porteurs de beaucoup de RFC et de « best practice ». Le plus important et le plus connu au monde, c’est le MAAWG pour « Messaging, Malware, Mobile Anti-Abuse Working Group ». C’est une association qui se réunit trois fois par an. Pour en faire partie il faut déposer sa candidature. On est accepté ou refusé. Quand vous êtes refusé, on ne vous dit pas pourquoi. Quand vous êtes membre du MAAWG, vous n’êtes pas membre à vie. Si vous ne respectez pas les règles du MAWWG contre le spam, vous pouvez être exclu.
Quand quelque chose de nouveau arrive, il y a des comités techniques ou juridiques qui siègent où tout le monde peut discuter. Puis on va sortir des livre blancs qui énoncent la façon dont on considère que l’on doit utiliser tel ou tel produit. Ca met un an ou deux à sortir. C’est long. Mais quand ces recommandations sortent, tout le monde va se caler dessus. Ce sont des moments d’échange importants. Ce sont des conférences où n’importe qui peut aller présenter des choses. Ca nous est arrivé plusieurs fois de présenter les solutions que nous avons mises en place. Et puis il y a toute la partie échanges informels qui est très importante parce qu’elle nous permet de mettre un visage sur quelqu’un. C’es très important par exemple de savoir qui est la personne que l’on peut contacter chez Google. C’est dans ces milieux-là que l’on a ses prises de contact et que l’on travaille ensemble. C’est aussi là que l’on découvre les attaques de demain parce que souvent ce qui se passe aux Etats-Unis va passer en Asie et ensuite venir chez nous. Il y a le MAAWG pour la messagerie, le London Action Plan pour le fishing, Sighal-Spam en France.
On discute également avec tous les gros routeurs américains parce qu’il est indispensable que les routeurs de l’marketing soient le plus propre possible pour ne pas qu’il y ait cette zone grise et qu’il y ait une différence entre l’email marketing et l’email cyebrcriminel. Il ne faut pas que l’mailing marketing commence à utiliser des méthodes proches du cyerbcriminels sinon la frontière sera trop proche et il y aura des dégâts pour tout le monde.
Comment dialoguez-vous avec les serveurs domiciliés à l’étranger?
Alain Doustalet: Dans la gestion de la menace on est très très souvent en contact avec des serveurs ou des hébergeurs qui sont hors territoire parce que les pirates s’organisent aussi de cette façon là. Quand ils utilisent des serveurs français, ils vont aller attaquer les italiens ou les Américains. Ils ne vont pas attaquer des Français parce que ce serait plus facile pour nous de discuter et de réagir très très vite. Ils essaient toujours de jouer sur la mondialisation pour faire leurs attaques. Donc on est toujours obligés de discuter. On est en contact tous les jours avec des hébergeurs américains. On leur signale par exemple un site qui se fait passer pour Orange. On leur demande de l’enlever. Ou bien on envoie un mail à nos correspondants en leur signalant une attaque de spam en provenance de leurs serveurs. On leur envoie systématiquement les adresses IP en causes et les horaires.
Nous de notre coté, on reçoit également beaucoup d’information parce que lorsque l’on rencontre les gens, la première chose qu’on leur dit, c’est surtout de nous signaler dès que nos clients leur envoient du spam parce que ça va nous permettre de faire cesser cet envoi de spam et aller voir nos clients pour leur signaler une faille de sécurité. On a un format spécifique, standardisé, pour ces signalements, avec l’adresse IP et l’horodatée précis permettant de retrouver notre client.
Qu’est-ce que c’est que les bottent et comment luttez-vous contre les botnets?
Alain Doustalet: Il y a deux types de botnet. On a d’abord les réseaux de PC zombies. C’est un attaquant qui a infecté un nombre de PC partout dans le monde. Il en a le contrôle. Il a le « command and control » du virus qu’il a mis dedans. Il a a sa disposition un réseau de botnet et il va louer les services de ce réseau de botnet pour faire une attaque de spam, une attaque DDOS ou tout ce que l’on peut faire d’illégal sur internet. C’est un regroupement de machines corrompues dans la main d’un pirate.
10 à 12% du parc mondial d’ordinateur est infecté.
On trouve aussi des réseaux de Botnet sous la forme de messageries dont les identifiants ont été volés et qui ont utilisés pour faire des campagnes de spams. Ils vont prendre 150 adresses, en général d’un même fournisseur et ils vont envoyer très peu, 25 à 30 mails dans la journée par client et pour tout le réseau, parfois changer de sujet, pour passer les filtres anti-spam des serveurs.
Quand on identifie un de nos clients qui fait partie d’un réseau de botnet, on va le lui signaler pour qu’il change son mot de passe ou lui indiquer la procédure lui permettant de sortir de cette situation le plus vite possible. On a pas de chiffre officiels sur les bonnets mais on voir sur certains bonnets qui ont été démantelés, comme récemment dans une grosse action au Canada, qu’il s’agit de plusieurs millions de clients infectés par ce virus-là.Ce sont des volumes très très importants. Le chiffre qui circule le plus souvent, c’est que 10 à 12% du parc mondial d’ordinateur est infecté.
Retrouvez toutes les informations disponibles sur l’industrie de l’arnaque sur internet.
