Les Etats-Unis montent sur le podium des « mauvais » hôtes

L'organisation non commerciale HostExploit a publié un rapport sur l'activité malveillante dans les réseaux AS à l'issue du mois de septembre 2013. Le podium dans ce nouveau Top 50 est occupé pour la première fois par des hôtes enregistrés dans un seul et même pays, à savoir les Etats-Unis. 

Les activistes surveillent l'activité suspectes sur les systèmes autonomes publics depuis 2009. Ils récoltent les données relatives aux sites infectés, aux centres de commande des réseaux de zombies, aux pièges de phishing, aux sources de courrier indésirable, etc. L'étude a vu la création d'une méthodologie d'indexation des "victoires" de fournisseurs de réseaux autonomes dans différentes catégories. Ce système permet de réaliser des comparaisons sur la base du niveau global de pollution par rapport à la taille de l'espace d'adresses sélectionné. HostExploit publie les résultats de ses analyses dans des rapports trimestriels qui reprennent un Top 50 actualisé des "mauvais" hôtes et réseaux. Les auteurs du projet aiment à rappeler à chaque fois que les propriétaires eux-mêmes des réseaux de système autonome ne sont pas impliqués dans les activités criminelles. Le Top 50 poursuit un seul objectif : attirer l'attention sur les problèmes dont certains fournisseurs ne pourraient pas avoir connaissance et les amener à rectifier la situation.

A l'heure actuelle, la base d'HostExploit compte plus de 44 500 systèmes autonomes publiques. Le trio de tête de la nouvelle version du Top 50 des hôtes dangereux est composé de trois fournisseurs américains : HostDime.com (AS3318), New Dream Networks (AS26347) et Landis Holdings (AS11042). Ils affichent tous les trois des résultats décevants dans les catégories "Badware" (logiciels espion, logiciels publicitaires, faux antivirus, PUP, etc.) et "Sites infectés". A l'instar de ce qui s'était produit en début d'année, les Etats-Unis occupent dans l'ensemble 13 positions dans le classement. L'ancien favori de cette triste liste, le fournisseur hollandais Ecatel (AS29073), a reculé jusque la 5e position. Deux positions du Top 10 reviennent aux fournisseurs allemands Intergenia (AS8972, 6e position) et 1&1 Internet (AS8560, 9e position) : leurs réseaux abritaient de nombreux marchés de codes d'exploitation (3e position dans cette catégorie).

La Russie a également préservé le volume de sa présence dans le Top 50 (8 places). Un fournisseur russe entre dans le Top 10. Il s'agit d'Agava (AS43146, 8e position) qui se distingue tout particulièrement dans les catégories "Badware", "Centres de commande de ZeuS" et "Sites infectés". Globalement, d'après les données d'HostExploit, le territoire russe héberge de nombreux centres de commande de divers réseaux de zombies, même si au cours de la période écoulée, les activistes n'ont enregistré que 124 incidents de ce genre à travers le monde. La société russe IQ Host (AS50465), qui mène ce classement depuis plus d'un an et SOTAL Interactive (AS61322) conservent les deux premières positions dans cette catégorie. SOTAL Interactive propose des services de transmission télévisée sur réseau IP et de livraison de contenu et ne compte dans son réseau que 256 adresses IP enregistrées en Ukraine et hébergées hors des frontières de la Fédération de Russie. ISPSystem (AS29183), un autre petit réseau de système autonome russe, occupe la 4e position en terme de centres de commande. Il est enregistré au Luxembourg et utilise un service d'hébergement Internet ukrainien.

Dans la catégorie "ZeuS", la Russie occupe une seule position dans le Top 10 (6e) Le responsable est une fois de plus Ideal Solution (AS58001), enregistré aux Seychelles. Ceci étant dit, cette société a considérablement amélioré ses résultats en reculant de la 2e à la 35e position dans le Top 50. HostExploit indique que le nombre global de centres de commande de ZeuS détectés n'a pratiquement pas changé : il semblerait que la popularité de ce cheval de Troie bancaire dans le milieu criminel n'a pas changé. 

La Fédération de Russie occupe trois positions dans le Top 10 en fonction des codes d'exploitation, dont les deux premières (Masterhost et Best-Hoster Group). Les sociétés russes ont abandonné leur position de leader dans la catégorie "Courrier indésirable". Même la société Megaphone qui occupait la 4e position de cette catégorie l'année dernière a quitté le classement. Au cours de la période couverte par le rapport, les activistes ont analysé plus de 100 000 sources de courrier indésirable et ont remarqué que la majorité d'entre elles se trouve dans des pays qui ne possèdent pas une législation stricte en la matière : le Pérou, l'Inde, le Mexique, la Bolivie, l'Iran et le Soudan. Ceci étant dit, le Top 10 de cette catégorie compte des pays comme l'Irlande (1, 3 et 9e positions), l'Allemagne (AS57976, 5e position) et les Etats-Unis (AS45727 enregistré en Indonésie). 

Le nouveau classement pour le phishing a été obtenu sur la base des résultats de l'analyse de 799 attaques uniques. Il est dominé par des pays proposant un hébergement fiable et un Internet rapide, principalement aux Etats-Unis. Les sociétés américaines, dont trois leaders du rapport global, ainsi que Google, occupent 7 positions dans le Top 10. La 2e position revient à un système autonome allemand, tandis que la 7e est occupée par un système autonome britannique.

Le classement des pays source d'activité malveillante est mené par les îles Vierge, en tête selon la concentration de sites infectés, de centres de commande et d'incidents dénommés "incidents actuels" par les activistes (attaques dont le vecteur change rapidement comme une attaque XSS ou l'augmentation du nombre de clics). La Pologne occupe la deuxième position (2e pour pour le phishing) tandis que la Russie passe de la première à la troisième position. Viennent ensuite la Hongrie (1re position pour le phishing), l'Allemagne, le Kyrgystan, la Turquie, les Seychelles (1re position pour les codes d'exploitation, 2e pour les sites infectés). Dans le classement par pays, les Etats-Unis passent de la cinquième à la dixième position, principalement grâce aux victoires d'AS21740 eNom et AS33626 Oversee, qui ont quitté le Top 50. L'Ukraine, qui occupait la 3e position en début d'année, referme ce classement peu enviable. 

Le nouveau rapport d'HostExploit est disponible gratuitement en anglais, en allemand et en espagnol.

Source http://hostexploit.com/blog/14-reports/3543-world-hosts-report-september-2013.html

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *