Il y a beaucoup de contenu incroyable en ligne, mais il y a aussi beaucoup de choses horribles.
Les médias grand public vous disent souvent que le vraiment des trucs affreux se cachent, à portée de clic. Bien que trouver ce type de contenu ne soit pas si facile, c'est l'est là-bas. Loin des yeux... mais pas complètement loin de l'esprit.
Un contenu néfaste comme celui-ci utilise un type de serveur sécurisé "spécial", appelé hébergement pare-balles . Mais pourquoi le gouvernement ne supprime-t-il pas simplement ces serveurs ? Et comment les hébergeurs s'en sortent-ils en hébergeant un contenu aussi horrible ?
Avant de comprendre ce qu'est l'hébergement à toute épreuve, envisagez un hébergement régulier.
Un service d'hébergement Web régulier (comme InMotion Hosting) contrôle une énorme quantité de serveurs. Les utilisateurs, comme vous et moi, paient pour héberger notre contenu sur leurs serveurs. De même, les entreprises, les organisations caritatives, les banques, les plateformes de médias sociaux et tout le reste hébergent leur contenu sur des serveurs.
La grande majorité des services d'hébergement ont des règles très strictes concernant le contenu téléchargé sur leurs serveurs.
Les services d'hébergement à l'épreuve des balles sont plus libéraux avec le contenu qu'ils autorisent sur leurs serveurs. De plus, les services d'hébergement à toute épreuve se trouvent généralement dans les pays où les approches en matière d'application de la loi, de lois sur les données et l'informatique, de corruption et d'extradition sont plus souples, ce qui facilite leur fonctionnement sans interruption.
Ces hébergeurs ont des relations "ne demandez pas, ne dites pas" avec leur clientèle, estimant qu'ils ne font que fournir un service. Ce qui se passe sur leurs serveurs est l'affaire du client --- et la sienne seule.
Des services d'hébergement à l'épreuve des balles se trouvent partout dans le monde. Il n'y a pas de registre unique répertoriant chaque pays d'hébergement à l'épreuve des balles.
Le consensus commun est cependant que la majorité des services résident en Chine, en Russie, dans les anciens États soviétiques (comme la Biélorussie, l'Ukraine et la Moldavie) et dans une poignée d'autres pays européens, asiatiques, sud-américains et nord-africains. (donc, presque partout).
De plus, de nombreux services d'hébergement à toute épreuve s'enregistrent dans des pays aux lois fiscales tout aussi souples, comme les Seychelles et les îles Caïmans.
Cela ne veut pas dire que les États-Unis et l'Europe n'hébergent pas de services d'hébergement à toute épreuve. Avant sa destruction opportune, McColo était l'un des plus grands services d'hébergement à l'épreuve des balles de la planète et basé à San Jose, en Californie (nous examinerons McColo un peu plus en détail dans un instant).
San Jose était également l'hôte du 3FN tout aussi insidieux, hébergeant un "brassage de sorcières" de pornographie juvénile, de logiciels malveillants et de serveurs de courrier indésirable. D'autre part, WikiLeaks déplace régulièrement ses serveurs entre un certain nombre de services sécurisés situés en Europe et en Russie (ceci en raison à la fois de la sécurité et de la protection DDoS).
Ce n'est pourtant pas si simple. Ce sont des services de cybercriminalité hautement organisés. Ainsi, certains endroits sont plus adaptés pour héberger certains contenus.
Supposons que vous contactiez un service d'hébergement à l'épreuve des balles pour lui demander d'héberger votre logiciel malveillant nouvellement écrit. Vous dites que vous souhaitez héberger votre logiciel malveillant aux Pays-Bas (en raison de la connectivité élevée et des services de localisation). Le fournisseur de services peut vous répondre que vous seriez mieux en Ukraine (en raison des lois locales et de la difficulté d'arrêter physiquement les serveurs).
De toute évidence, les fournisseurs de services d'hébergement à toute épreuve ont tout intérêt à sécuriser de nouvelles activités et s'efforceront d'assurer la connectivité la plus sécurisée, la plus rapide et la meilleure pour leurs clients.
L'objectif principal d'un service d'hébergement à toute épreuve est de rester en ligne et de rester sécurisé. Garder les informations d'identification et les données de leur clientèle intactes si les forces de l'ordre viennent à l'appel. Dhia Mahjoub, ingénieur principal chez OpenDNS Research, explique plus en détail les processus lors de sa présentation à USENIX Enigma 2017 :
"Les problèmes inter-juridictionnels sont un grand défi. Les hébergeurs ont très peu d'incitations à changer quoi que ce soit. S'ils retirent du contenu, cela affecte leur entreprise", a déclaré Mahjoub. "Ce qu'il y a de vicieux chez ces types, c'est qu'ils se répandent sur le Web et restent en dessous de certains seuils pour que nous ne les remarquions pas. Avoir des amis chez un certain FAI ou chez une société d'hébergement est très utile."
Les suppressions d'hébergement à l'épreuve des balles ne sont pas ça courant, mais cela arrive. McColo est l'un des démantèlements de service les plus connus de ces derniers temps (bien qu'il y a près de 10 ans maintenant). McColo Corp. était un point focal pour les escrocs, les fournisseurs de logiciels malveillants, les cardeurs, les serveurs de commande et de contrôle des botnets, et bien pire.
"À une époque où les forces de l'ordre du monde entier commençaient à peine à prendre conscience des menaces financières et organisationnelles de la cybercriminalité organisée, McColo Corp. avait acquis la réputation d'être un point zéro :un endroit où les cybercriminels pouvaient s'installer de manière fiable et sans souci. que leurs investissements et stratagèmes en ligne seraient découverts ou compromis par des enquêteurs étrangers chargés de l'application des lois."
Dans son livre, Spam Nation, Brian Krebs détaille la mort horrible de Nikolai McColo lors d'une course de rue dans le centre de Moscou. McColo, alors âgé de 23 ans, avait construit son service d'hébergement à toute épreuve dès l'âge de 19 ans.
Mais malgré le décès du chef et homonyme de McColo, ce n'est qu'un an plus tard, en 2008, que l'exposé du Washington Post de Krebs (vaut vraiment la peine d'être lu, soit dit en passant) sur le niveau étonnant d'activité malveillante chez McColo a finalement forcé la main d'Internet au sens large. , en débranchant toutes les connexions aux gammes McColo IP.
Du jour au lendemain, le trafic mondial de spam a connu une réduction de 50 à 75 %. Des millions d'ordinateurs zombies ont été instantanément coupés de leurs serveurs de contrôle. Les botnets Mega-D, Pushdo, Rustock, Warezov et Srizbi ont été durement touchés (Srizbi était capable d'envoyer environ 60 milliards de spams par jour, soit plus de la moitié du total mondial de 100 milliards).
Et les fournisseurs de spam, ainsi que d'autres individus et organisations néfastes, ont perdu d'énormes portions de leur infrastructure. Certains spammeurs prolifiques ont en fait perdu l'intégralité de leurs listes de spam, les hébergeant sur les serveurs de McColo.
Formuler le retrait d'un service d'hébergement à toute épreuve n'est pas facile. McColo n'a rencontré sa disparition qu'après une longue enquête menée par Brian Krebs en collaboration avec d'autres chercheurs en sécurité et des forces de l'ordre. Si c'était facile, le gouvernement ferait simplement apparaître un avis de retrait dans le télécopieur et l'enverrait au pays hôte.
Il faut un effort concerté entre de nombreuses parties pour s'en tenir. Et même alors, si le pays hôte ferme les yeux, c'est pour rien. La conférence USENIX de Dhia Mahjoub détaille également la complexité de tenter de fermer des services d'hébergement à toute épreuve sur un sol étranger.
Parfois, les forces de l'ordre ne peuvent même pas fermer les services d'hébergement locaux à toute épreuve en raison de structures d'enregistrement compliquées et de services de mise en miroir dans d'autres pays.
La nature protectionniste des services d'hébergement à toute épreuve prolonge également généralement le processus. Les services ont des stratégies d'atténuation. Les propriétaires de services savent combien de temps ils peuvent attendre avant d'acquiescer aux demandes de retrait officielles.
Et même dans ce cas, ils peuvent donner aux clients quelques jours pour transférer leurs opérations vers un autre fournisseur de services à toute épreuve.
Il serait naïf de notre part de considérer uniquement les services d'hébergement à toute épreuve comme la seule source du ventre sombre d'Internet.
Selon les tendances trimestrielles des menaces de Webroot pour septembre 2017 [PDF], « en moyenne, 1,385 million de sites de phishing uniques sont créés chaque mois, avec un nombre record de 2,3 millions en mai 2017 ».
Tous ces sites n'utilisent pas des services d'hébergement à toute épreuve. Les principaux services d'hébergement réguliers tels que GoDaddy, 1and1 Web Hosting, HostGator et Digital Ocean hébergent régulièrement des sites de phishing avant qu'ils ne se déconnectent. Étant donné que GoDaddy possède des dizaines de millions de domaines enregistrés, il est tout à fait possible que certains passent à travers le net.
Cependant, il y a quelques signes légèrement inquiétants. Le blog InfoSec Guy illustre plusieurs sites de phishing malveillants laissés en ligne même après avoir alerté GoDaddy. De même, il existe des tutoriels disponibles en ligne détaillant comment configurer des e-mails de phishing automatisés à l'aide d'un VPS Digital Ocean (entre autres).
Les services d'hébergement à l'épreuve des balles tirent leur nom de l'idée d'être indestructibles. Seul un effort concerté pourra véritablement supprimer un service. Et comme nous l'avons vu, il est relativement simple de changer d'hébergeur lorsque les autorités appellent.
Malheureusement, l'arrêt des services d'hébergement à toute épreuve ne signifie généralement pas la fin des opérateurs ou des clients, à moins que les serveurs ne soient physiquement saisis ou compromis.
On pensait que le tristement célèbre réseau d'affaires russe (RBN) avait cessé ses activités depuis longtemps, mais il exploite les mêmes escroqueries, botnets et autres contenus malveillants le long des frontières de l'est de l'Ukraine et de la Moldavie.
Il existe également un hébergement légitime. Certains clients disposant de données extrêmement sensibles utilisent des services d'hébergement à toute épreuve pour s'assurer que les agences gouvernementales et les adversaires commerciaux ne peuvent pas les compromettre.
Cependant, bien que leurs données soient protégées, elles pourraient aussi facilement disparaître; ils pourraient faire l'objet d'une enquête simplement pour avoir utilisé un service d'hébergement à l'épreuve des balles rempli d'autres données malveillantes.
L'utilisation d'un service d'hébergement à toute épreuve n'est pas illégale en soi. Mais si vous cherchez simplement à créer un nouveau blog ou à héberger votre vitrine en ligne, nous vous suggérons d'utiliser un hébergement standard. Nous avons des listes complètes de services d'hébergement gratuits et simples, de services d'hébergement bon marché, ainsi que les raisons pour lesquelles votre premier site Web ne devrait pas utiliser d'hébergement gratuit.
