Une sauvegarde Internet critique manque de temps

Garder Internet en sécurité peut parfois ressembler à un jeu de Whac-A-Mole, réagir aux attaques lorsqu’elles surviennent, puis passer à la suivante. En réalité, cependant, il s’agit d’un processus continu qui consiste non seulement à identifier les menaces, mais à prendre et à garder le contrôle de l’infrastructure derrière elles. Pendant des années, un petit organisme sans but lucratif appelé Shadowserver a tranquillement effectué une partie étonnamment grande de ce travail. Mais maintenant, l’organisation fait face à une extinction permanente en quelques semaines.

Il y a une scène charnière dans chasseurs de fantômes dans lequel l’inspecteur de l’Agence de protection de l’environnement Walter Peck entre dans le siège du groupe, armé d’un ordre de cesser et de s’abstenir. “Arrête ça”, dit Peck au travailleur des services publics qui l’accompagnait. “Arrête tout ça.” Ils ont coupé l’alimentation de la grille de protection des Ghostbusters, et tous les fantômes sont libérés. Considérez Shadowserver comme la grille de protection d’Internet.

“Quelque chose de similaire se produira sur une base numérique si Shadowserver fermait ses portes”, explique Roland Dobbins, ingénieur principal de Netscout Arbour. “Le travail qu’ils font en collaboration avec les opérateurs de réseaux, les chercheurs en sécurité, les forces de l’ordre et les fournisseurs de technologies est aujourd’hui un pilier du travail de sécurité Internet.”

Depuis plus de 15 ans, Shadowserver est financé par Cisco en tant qu’organisation indépendante. Mais grâce à la restructuration budgétaire, le groupe doit désormais sortir seul. Plutôt que de chercher un nouveau bienfaiteur, le fondateur Richard Perlotto dit que l’objectif est que Shadowserver devienne une alliance entièrement financée par la communauté qui ne dépende d’aucun contributeur pour survivre. Le groupe doit lever 400 000 $ au cours des prochaines semaines pour survivre à la transition, puis aura encore besoin de 1,7 million de dollars de plus pour atteindre 2020 – une campagne de financement déjà herculéenne coïncidant avec une pandémie mondiale. Ils ont créer une page pour les dons de grandes entreprises et les petites contributions individuelles.

Il est difficile d’exagérer l’importance du travail de l’organisation. Shadowserver analyse quotidiennement plus de 4 milliards d’adresses IP, soit presque tout l’Internet public, et établit des rapports d’activité basés sur les résultats de plus de 4600 opérateurs de réseau, ainsi que des équipes nationales de réponse aux incidents de sécurité informatique de 107 pays. Shadowserver héberge également un référentiel de 1,2 milliard d’échantillons de logiciels malveillants, similaire au VirusTotal de Google, qui est librement accessible. Au total, l’organisation héberge plus de 11,6 pétaoctets de données sur les menaces et les logiciels malveillants. Mais tout cela est juste pour les débutants.

Le véritable potentiel d’évasion fantôme vient du fait que Shadowserver ne se contente pas de surveiller les incidents, il travaille également activement pour les contenir. L’organisation dispose d’une vaste infrastructure de “pots de miel” et de “puits”. Le premier attire les attaquants et enregistre des détails à leur sujet, tandis que le second détourne le trafic malveillant dans une sorte de trou noir numérique et loin de sa cible.

Shadowserver dit qu’il engloutit jusqu’à cinq millions d’adresses IP par jour, neutralisant les incendies malveillants de données qui autrement cracheraient des botnets et des logiciels malveillants perturbateurs. Plus de quatre ans après que les chercheurs ont exposé le malware iOS et macOS connu sous le nom de XcodeGhost, par exemple, Shadowserver a toujours plus d’un demi-million d’appareils connectés à son gouffre pour tenter de communiquer avec l’infrastructure de commande et de contrôle du malware. L’organisation gère également ce qu’elle appelle un «registraire de dernier recours», qui prend le contrôle des noms de domaine malveillants pour perturber l’infrastructure criminelle et les logiciels malveillants ne peuvent donc pas téléphoner à la maison pour suivre les commandes d’un pirate.

En plus de tout cela, Shadowserver collabore très activement avec des groupes d’application de la loi partout dans le monde pour utiliser sa propre infrastructure et son expertise dans des opérations coordonnées massives. Ces dernières années, par exemple, Shadowserver a participé au démontage de l’Avalanche en 2016 et au démontage de Goznym en 2019. L’organisation affirme que son objectif est toujours d’aider les forces de l’ordre à procéder à des arrestations et à réparer les dommages causés aux victimes.