La décision de l’ICANN d’autoriser les entreprises privées à créer et gérer leur propre nom de domaine pourrait changer à terme le paysage du cyber-crime. Selon les plans de l’organisme, n’importe quelle organisation pourra devenir un registrar de premier niveau (c’est à dire global, à l’image des .com, .net et .org). Cela est censé permettre à de grandes entreprises de gérer leur marque en contrôlant une extension à leur nom, telle par exemple « .apple » ou « .microsoft« .

Mais bien entendu, il est fort à craindre que les cyber-criminels ne jettent aussi leur dévolu sur cette opportunité afin de mieux contrôler leurs infrastructures malveillantes.

Selon l’ICANN l’achat de son nom de domaine ne sera pas « une opération à six dollars » : il en coûtera 185 000 dollars pour le seul dépôt du candidature et les frais annuels seront de 25 000 dollars.

Si de telles sommes peuvent sembler prohibitives, elles ne le sont pas pour l’industrie du cyber-crime. L’on connaît déjà les hébergeurs « bullet proof » (censés protéger les sites malveillants qu’ils hébergent des foudres de la Loi), et l’on verra probablement apparaître sur le marché noir des extensions de premier niveau elles aussi bullet proof. Après tout, les coûts en questions peuvent certainement être recoupés en offrant des services payants aux escrocs, notamment afin de les aider à garder le contrôle des URL de Command & Control de leurs botnets.

Bien entendu, il sera toujours possible de blacklister les domaines malveillants au cas par cas. Google aurait ainsi déjà banni de son index un domaine de second niveau (.co.cc) suspecté de faire cause commune avec les cyber-malfrats. Il pourra donc parfaitement faire de même avec les extensions de premier niveau à problème. Cependant la solution a ses limites, comme le fait remarquer sur le blog de Trend Micro Martin Roesler, Directeur de la recherche sur les menaces chez l’éditeur.

Il insiste notamment sur le fait que les pages d’accueil malveillantes sont généralement hébergées sur les extensions de premier niveau actuelles, et que celles plus exotiques ne sont finalement utilisées que pour héberger les outils d’exploitation. Les bannir de l’index de Google ne servira donc pas à grand chose.

Il reste la solution de la mise en liste noire par les éditeurs de solutions de filtrage d’URL. Cependant bannir l’ensemble d’une extension ouvre la porte à de nombreux procès intentés par d’éventuels clients légitimes de cette dernière. Et gageons que les cyber-criminels prendront soin d’héberger aussi quelques activités légitimes afin de ne pas prêter le flanc à une telle sanction. Les éditeurs en reviendront alors à ne blacklister que des serveurs individuels… sur un domaine de premier niveau capable de servir une quantité astronomique de sites malveillants. En définitive ces ces extensions à problème pourront donc tout au plus porter un poids négatif dans le cadre d’une évaluation par réputation.

De par leur coût, il n’est pas certain en revanche que ces nouvelles extensions personnalisées donnent lieu à une déferlante de typo-squatting (mais de juteux procès entre grandes entreprises, certainement !). En revanche elle fourniront aux cyber-mafias un outil supplémentaire dans leur arsenal, et peut-être même, selon Trend Micro, un autre moyen de blanchir leur argent.

Pensez-vous que cela changera quelque chose au travail des éditeurs de solutions de sécurité ? Ou que cela ne changera pas grand chose à la situation actuelle (des dizaines de domaines de second niveau déjà largement exploités par les escrocs)  ?