Dans les coulisses des fausses boutiques en ligne

Rien n’est plus simple que d’enregistrer un nom de domaine .ch. Et les cybercriminels en profitent. Un coup d’œil dans les coulisses montre comment SWITCH et les autorités protègent les internautes contre les dangers.

Texte: Jakob Dhondt, publié le 21.10.2020

La politique ouverte en matière d’enregistrement rend les noms de domaine en .ch et .li facilement accessibles au grand public. C’est la volonté du législateur, mais il en résulte aussi que les criminels peuvent enregistrer sans aucune difficulté des noms de domaine en vue d’exploiter des sites Web frauduleux.

Le phénomène des fausses boutiques en ligne est connu depuis des années et est continuellement combattu par diverses autorités en collaboration avec SWITCH. SWITCH a attiré l’attention sur ce problème dès 2017. Depuis lors, beaucoup de choses ont changé, tant au niveau des mécanismes de détection et de lutte (en allemand) que des cybercriminels qui développent des méthodes de plus en plus sophistiquées pour éviter que leurs fausses boutiques en ligne ne soient détectées. Si la détection des domaines suspects incombe au registry, la poursuite pénale et la prévention par blocage ou demande d’identification relèvent des autorités reconnues par l’OFCOM. Les autorités ont pour base juridique l’Ordonnance sur les domaines Internet (ODI), et plus particulièrement les articles 15 et 16.

Les fausses boutiques en ligne ont une chose en commun: les cybercriminels indiquent de faux renseignements à propos du détenteur lors de l’enregistrement des noms de domaine. Nous analyserons plus précisément ci-dessous, à l’aide d’un ensemble de données sélectionnées, le fonctionnement des méthodes actuelles de recherche de ces faux renseignements sur les détenteurs et les améliorations qui pourront être apportées à l’avenir.

Développement du processus

Lorsque nous avons commencé à nous pencher plus en détail sur le sujet chez SWITCH, le processus de détection des faux renseignements sur les détenteurs reposait sur une interrogation manuelle de la base de données. Nous recherchions des schémas d’enregistrement auparavant jugés suspects par un analyste. Il pouvait s’agir, par exemple, de la combinaison d’un nom de détenteur louche et d’une caractéristique d’enregistrement spécifique. Le résultat de la recherche consistait en une liste comportant souvent des milliers de noms de domaine suspects. Cette liste était ensuite examinée de plus près par une autorité reconnue. Enfin, SWITCH supprimait les noms de domaine abusifs confirmés par l’autorité.

Ce n’est que dans certains cas que SWITCH est autorisée à bloquer ou à supprimer elle-même des noms de domaine, sans instruction d’une autorité. Ces cas sont limités aux malwares et au phishing.

Système de notation basé sur des règles

Cependant, au fil du temps, le nombre de noms de domaine détectés à l’aide de cette procédure n’a cessé de diminuer, d’où la nécessité d’affiner et d’automatiser la méthode. Un système de notation basé sur des règles a été développé à partir de l’expérience acquise, de la collaboration avec les autorités et d’un échange actif avec d’autres registries européens. Il évalue chaque nouvel enregistrement de domaine selon certains critères et attribue une note entre 0 et 10. Dès lors que ce score est supérieur à une valeur définie, l’enregistrement est classé comme suspect et signalé à la police cantonale zurichoise. Les domaines y sont analysés en détail à l’aide de «QueenGuard», un outil spécialement développé à cet effet, et, le cas échéant, retransmis à SWITCH par le biais des processus réglementés dans l’ODI.

L’ensemble de règles est constamment révisé et adapté régulièrement en fonction des circonstances. Il comprend actuellement neuf règles. On vérifie, par exemple, si le domaine de l’adresse e-mail du détenteur fait partie d’une liste de domaines e-mail suspects. De même, le pays du détenteur et l’ID du registrar sont comparés à diverses listes contenant les pays et les ID de registrars ayant présenté un taux d’abus plus élevé par le passé. En outre, l’adresse du détenteur est contrôlée dans deux autres services pour en vérifier l’exactitude. Ces critères, parmi d’autres, sont finalement pondérés et additionnés pour obtenir le score susmentionné. Comme expliqué au début, les criminels développent sans cesse leurs méthodes pour contourner ainsi certaines règles établies. Par exemple, il suffit d’utiliser une adresse volée et valide pour un enregistrement, et rendre ainsi obsolète la vérification de l’adresse du détenteur.

Analyse des données

Les chiffres et graphiques suivants sont basés sur la période comprise entre le 22.03.2020 et le 22.06.2020. Au cours de cette période, 90 842 noms de domaine .ch ont été enregistrés au total, dont 5862 (6,5%) ont obtenu un score de 2 ou plus. Ce seuil relativement bas de 2 a certes entraîné une charge de travail importante pour la police cantonale dans l’analyse des noms de domaine. Mais il a été choisi pour ne pas occulter d’éventuels nouveaux schémas dans les données qui auraient pu passer à la trappe en cas de seuil plus élevé. En fin de compte, sur les 5862 noms de domaine, 450 nous ont été signalés comme abusifs et nous en avons finalement supprimé 411.

Les deux graphiques montrent comment le nombre d’enregistrements diminue à mesure que le score augmente et la proportion de noms de domaine supprimés croît à mesure que le score augmente. On remarquera cependant que même avec un score assez élevé de 5 à 6, seule une petite proportion de 4,8% est effectivement supprimée. Ce n’est qu’à un score de 6 – 7 (92,1%) et de 7 – 8 (100%) que l’on constate une nette augmentation. Le graphique ci-dessous montre le pourcentage de noms de domaine remplissant un certain critère qui sont finalement supprimés. Deux critères y ressortent clairement.

Perspectives

Le présent article ne brosse qu’un tableau superficiel des méthodes d’analyse. Une amélioration de la détection des abus basée sur de fausses données d’enregistrement nécessite des enquêtes approfondies permanentes. La question se pose également de savoir pendant combien de temps cette approche fonctionnera encore. Les criminels imitent de mieux en mieux les enregistrements de domaines légitimes. Néanmoins, certains critères suggèrent que la détection reste possible, bien que nécessitant des efforts plus importants. Étant donné qu’il s’agit souvent d’enregistrements de masse, un certain degré d’automatisation est nécessaire du côté des criminels. Cela implique inévitablement certains schémas reconnaissables. Reste à savoir si la reconnaissance de tels enregistrements demeurera possible grâce à un ensemble de règles simples.

Nous avons déjà effectué de premiers essais en recourant à l’apprentissage automatique. À l’aide d’un ensemble de données étiquetées, un modèle est formé visant à représenter précisément des schémas qui sont peut-être un peu plus complexes qu’une règle simple. Bien évidemment, cela nécessite quand même un bon ensemble de fonctionnalités qui doit être élaboré manuellement. Pour ce faire, on pourrait s’appuyer sur les règles existantes, mais les étendre, par exemple, avec des fonctionnalités qui contiennent une composante temporelle de l’enregistrement. SIDN, le registry néerlandais, a déjà acquis une certaine expérience (en anglais) à cet égard. Grâce aux échanges actifs avec eux, mais aussi avec d’autres registries européens, nous pouvons profiter mutuellement de nos connaissances et parvenir ainsi plus rapidement à des résultats. L’objectif de libérer entièrement l’Internet suisse des abus est illusoire et également difficile à concilier avec la haute disponibilité des noms de domaine .ch. Néanmoins, SWITCH s’efforce en permanence de combattre les abus de manière proactive.

L'auteur
Jakob   Dhondt

Jakob Dhondt

Après avoir obtenu un master en informatique à la KU Leuven, Jakob Dhondt a intégré SWITCH en 2017. Dans le cadre du SWITCH-CERT, il travaille comme expert en sécurité dans le domaine du DNS.

E-mail

#Security

Cet article a été publié pour la première fois sur inside-it.ch et inside-channels.ch (en allemand) dans le cadre de la rubrique #Security de SWITCH. Cette rubrique paraît six fois par an. Les experts en sécurité de SWITCH s'expriment de manière indépendante sur des sujets liés à la politique, à la technique et à la sensibilisation de la sécurité informatique.

Autres articles