J’ai parlé dans un tout récent billet de la valeur ajoutée qu’apportent aujourd’hui les services de réputation proposés par les éditeurs de solutions antispam. De même, j’avais évoqué ici la nouvelle direction et gamme de services hébergés que Kaspersky Labs a lancé récemment.
Aujourd’hui, lors d’un séminaire de présentation des services hébergés de Kaspesrky, un participant a soulevé l’absence de cette fameuse partie “réputation” dans le moteur de dépollution de Hosted Security… C’est un fait. L’approche de dépollution est différente : les datacenters de dépollution de Kaspesrky sont interconnectés et la détection des “vagues” de pourriel ainsi que les critères de blocage sont instantanément répliquées entre datacenters… Ce n’est pas de la réputation mais de la réplication de critères en temps réel à l’échelle mondiale. Il n’y a que le résulat final et les retours clients qui vont pouvoir dire si c’est mieux ou moins bien.
La question que je me suis posé est la suivante : dépollution basée sur la réputation c’est bien mais est-ce suffisant? Evidemment, ces solutions embarquent les détections également basées sur les RBL, DNSBL, etc… Comment les solutions basées sur les données de réputation gèrent-elles les attaques zero day en spam?
Aujourd’hui, rien de plus simple pour un résidant d’un pays dont la législation ne s’occupe pas trop de la protection de données, en l’occurence l’exploitation des adresses email pour envoi de courriel non-sollicité, que d’investir une poignée de dollars dans un nouveau nom de domaine afin de l’utiliser pour l’envoi de spam à large échelle. Et ce, jusqu’à ce que le domaine en question finisse dans les Listes noires publiques mondiales et que les mails en émanant soient bloqués par la plupart des passerelles antispam. Une fois la mission accomplie, le domaine est abandonné tout simplement.
Le fait est qu’entre l’investissement de quelques dollars que coute un domaine et le revenu généré par un “emailing” de masse, l’intéressé se trouve dans les chiffres noirs, même, largement bénéficiaire… Et comme l’acquisition d’un domaine n’est limitée que par le temps de réplication des serveurs DNS, on peut s’imaginer que la personne (ou société!) en question va pouvoir répéter l’opération à l’infini.
Dans ce cas de figure, je suppose que beaucoup d’éditeurs ont à faire face à un réel problème… de réactivité…
Est-ce que la centralisation de la dépollution à l’echelle planétaire est la seule réponse plausible (en terme de réactivité au moins) à cette question? Qu’en pensez vous? Tout commentaire est le bienvenu…
