Pourriel : Militants ou miliciens?
Une des nouvelles du Web cette semaine est certainement l’offensive anti-pourriel lancée par la société Lycos il y a quelques jours. Baptisée «Diffusez l'amour, arrêtez le spam» (Make Love Not Spam), la campagne est basée sur le téléchargement d’un écran de veille (screensaver) qui, lorsque l’ordinateur est inactif mais toujours branché au réseau, bombarde de requêtes des sites Web de polluposteurs connus. Les adresses de ces sites figurent sur des «listes noires» compilées par des sociétés spécialisées.
Ce très haut volume de requêtes (plus de 100 000 exemplaires de l’écran de veille auraient été téléchargés, chacun d’une capacité de saturation de 3,4 Mo par jour) a pour but d’augmenter la facture de bande passante des polluposteurs. Voir les détails chez Pourriel.ca et Branchez-vous.
Retombées immédiates : selon la société de surveillance des rendements en ligne Netcraft, deux sites de polluposteurs hébergés sur des serveurs chinois auraient croulé sous le volume de demandes d’accès, et plusieurs autres sites auraient été affectés. L’Empire du pourriel contre-attaque? Le site de Lycos permettant le téléchargement de l’écran de veille semble inaccessible depuis des heures. Les rumeurs courent à l’effet qu’il aurait été victime de h@cking, d’autres sources penchent pour l’hypothèse d’une riposte des polluposteurs qui auraient monté une attaque par saturation (DOS ou DDOS) contre le site de Lycos.
On verra certainement plus clair dans cette affaire d’ici quelques jours. Entre temps, examinons quelques questions inhérentes à cette affaire.
Le pourriel nous exaspère tous, coûte une fortune aux fournisseurs de services Internet (et donc à nous, les abonnés) et aux entreprises qui disposent d’infrastructures internes importantes. Il a fait l’objet de lois adoptées aux États-Unis et en Europe, mais la nature fluide et transfrontalière d’Internet permet la plupart du temps aux polluposteurs d’esquiver les poursuites.
La question qui se pose ici est de savoir si Lycos était en droit de proposer son écran de veille pour saturer les serveurs de polluposteurs connus.
Dans Les Échos du Net, on est critique : Lycos se prend pour le Don Quichotte Antispam : «Lorsque l’écran de veille se met en route, il envoie des attaques DDOS, méthode parfaitement illégale, aux serveurs de pourriels, de sorte que les sites sont ralentis, voire paralysés. [...] Le principe des requêtes lancés sur les sites de spam est de les surcharger afin de les ralentir. Si 10 millions d'ordinateurs sont actifs, cela pourrait générer près de 33 To de données transférée, cela aura non seulement un impact certain sur les serveurs visés, mais cela aurait aussi pour effet de ralentir le réseau internet...[...] nous avons décidé de ne pas fournir l'url du site de téléchargement, car nous désaprouvons ces méthodes qui, rappelons le, sont totalement illégales.»
ZATAZ, site consacré au h@cking et à la sécurité, commente sur la possibilité de contre-attaque et fait lui aussi un rappel à l’ordre : «Seulement avant de vouloir se la jouer Zorro, Lycos a juste oublié de protéger son site web qui a été fermé ce mercredi. Un pirate, ou un hacktiviste, à vous de choisir [...] À noter que cette barre anti spams est litigieuse côté législation. On vous déconseille son utilisation.»
Même son de cloche chez Présence PC qui, bien qu’il qualifie l’initiative de Lycos d’«originale», estime aussi qu’il «faut savoir que la démarche de Lycos, même si elle semble plutôt noble au premier abord est tout à fait illégale, en effet, elle consiste en une attaque de type DDos (Distributed Denial Of Service).»
Pour sa part, PC Inpact se montre plutôt d’accord avec la stratégie : «Lycos se lance dans la lutte contre le Spam, mais là où les autres cherchent à s'en protéger, Lycos a pris le parti de la maxime "La meilleure défense, c'est l'attaque".» Puis dans une dépêche subséquente, «Méthode directe, efficace et peu scrupuleuse, mais ô combien jouissive pour certains: sous le nombre de requêtes, les serveurs (spam) explosent et les sites passent hors ligne.»
La démarche de Lycos est également critiquée par Graham Cluley, conseiller principal au cabinet de sécurité informatique Sophos. Cité par la BBC, il a déclaré : «Si vous parvenez à inonder les polluposteurs, vous vous exposez à des contre-attaques. L’installation de cet écran de veille au bureau pourrait ralentir la connection Internet de toute l’entreprise. Et puis, qu’est-ce qui permet d’éviter qu’une erreur se produise et qu’un site qui n’a rien à voir avec le pourriel se retrouve sur la liste des sites ciblés?»
Beau débat de fin d’année en perspective.
Mise à jour, 3 décembre, 10h00.
Accès toujours intermittent au site de Make love not spam de Lycos, mais on nous demande de rester syntonisé, sans plus d’explication.
Ce très haut volume de requêtes (plus de 100 000 exemplaires de l’écran de veille auraient été téléchargés, chacun d’une capacité de saturation de 3,4 Mo par jour) a pour but d’augmenter la facture de bande passante des polluposteurs. Voir les détails chez Pourriel.ca et Branchez-vous.
Retombées immédiates : selon la société de surveillance des rendements en ligne Netcraft, deux sites de polluposteurs hébergés sur des serveurs chinois auraient croulé sous le volume de demandes d’accès, et plusieurs autres sites auraient été affectés. L’Empire du pourriel contre-attaque? Le site de Lycos permettant le téléchargement de l’écran de veille semble inaccessible depuis des heures. Les rumeurs courent à l’effet qu’il aurait été victime de h@cking, d’autres sources penchent pour l’hypothèse d’une riposte des polluposteurs qui auraient monté une attaque par saturation (DOS ou DDOS) contre le site de Lycos.
On verra certainement plus clair dans cette affaire d’ici quelques jours. Entre temps, examinons quelques questions inhérentes à cette affaire.
Le pourriel nous exaspère tous, coûte une fortune aux fournisseurs de services Internet (et donc à nous, les abonnés) et aux entreprises qui disposent d’infrastructures internes importantes. Il a fait l’objet de lois adoptées aux États-Unis et en Europe, mais la nature fluide et transfrontalière d’Internet permet la plupart du temps aux polluposteurs d’esquiver les poursuites.
La question qui se pose ici est de savoir si Lycos était en droit de proposer son écran de veille pour saturer les serveurs de polluposteurs connus.
Dans Les Échos du Net, on est critique : Lycos se prend pour le Don Quichotte Antispam : «Lorsque l’écran de veille se met en route, il envoie des attaques DDOS, méthode parfaitement illégale, aux serveurs de pourriels, de sorte que les sites sont ralentis, voire paralysés. [...] Le principe des requêtes lancés sur les sites de spam est de les surcharger afin de les ralentir. Si 10 millions d'ordinateurs sont actifs, cela pourrait générer près de 33 To de données transférée, cela aura non seulement un impact certain sur les serveurs visés, mais cela aurait aussi pour effet de ralentir le réseau internet...[...] nous avons décidé de ne pas fournir l'url du site de téléchargement, car nous désaprouvons ces méthodes qui, rappelons le, sont totalement illégales.»
ZATAZ, site consacré au h@cking et à la sécurité, commente sur la possibilité de contre-attaque et fait lui aussi un rappel à l’ordre : «Seulement avant de vouloir se la jouer Zorro, Lycos a juste oublié de protéger son site web qui a été fermé ce mercredi. Un pirate, ou un hacktiviste, à vous de choisir [...] À noter que cette barre anti spams est litigieuse côté législation. On vous déconseille son utilisation.»
Même son de cloche chez Présence PC qui, bien qu’il qualifie l’initiative de Lycos d’«originale», estime aussi qu’il «faut savoir que la démarche de Lycos, même si elle semble plutôt noble au premier abord est tout à fait illégale, en effet, elle consiste en une attaque de type DDos (Distributed Denial Of Service).»
Pour sa part, PC Inpact se montre plutôt d’accord avec la stratégie : «Lycos se lance dans la lutte contre le Spam, mais là où les autres cherchent à s'en protéger, Lycos a pris le parti de la maxime "La meilleure défense, c'est l'attaque".» Puis dans une dépêche subséquente, «Méthode directe, efficace et peu scrupuleuse, mais ô combien jouissive pour certains: sous le nombre de requêtes, les serveurs (spam) explosent et les sites passent hors ligne.»
La démarche de Lycos est également critiquée par Graham Cluley, conseiller principal au cabinet de sécurité informatique Sophos. Cité par la BBC, il a déclaré : «Si vous parvenez à inonder les polluposteurs, vous vous exposez à des contre-attaques. L’installation de cet écran de veille au bureau pourrait ralentir la connection Internet de toute l’entreprise. Et puis, qu’est-ce qui permet d’éviter qu’une erreur se produise et qu’un site qui n’a rien à voir avec le pourriel se retrouve sur la liste des sites ciblés?»
Beau débat de fin d’année en perspective.
Mise à jour, 3 décembre, 10h00.
Accès toujours intermittent au site de Make love not spam de Lycos, mais on nous demande de rester syntonisé, sans plus d’explication.
Publié par Jean-Pierre à 3:07 PM
<< Accueil