Pas plus de vingt fournisseurs d'accès Internet (FAI) sont responsables de près de la moitié de toutes les adresses Internet qui envoient du spam, sur un nombre total de plus de 42 000 fournisseurs interrogés.
Pas plus de vingt fournisseurs d'accès Internet (FAI) sont responsables de près de la moitié de toutes les adresses Internet qui envoient du spam, sur un nombre total de plus de 42 000 fournisseurs interrogés. C'est l'un des résultats remarquables d'une étude approfondie menée par le Centre de télématique et de technologie de l'information (CTIT) de l'Université de Twente.
Tout comme dans le monde réel, Internet a aussi des "bidonvilles" où il n'est pas sûr dans les rues et où les taux de criminalité sont plus élevés que dans les autres quartiers. Pour sa thèse, le chercheur Giovane Moura a cartographié ces bidonvilles sur Internet :des zones, parfois même géographiquement déterminées, d'où proviennent de nombreux spams, phishing ou autres activités indésirables.
Recherche sur ces « mauvais quartiers » sur Internet » peut conduire à de meilleures solutions de sécurité. Moura a donc pour la première fois systématiquement enquêté sur les hôtes malveillants, en surveillant et en analysant les données du réseau. Une conclusion importante est que les activités malveillantes sont en effet concentrées dans des zones limitées :des zones dans lesquelles les adresses IP présentent de fortes similitudes, par fournisseur d'accès Internet ou même par pays. Par exemple, le doctorant a également trouvé un seul FAI dont 62 % des adresses étaient liées au spam. Avec cette connaissance, les mesures de sécurité peuvent également être liées à des FAI spécifiques.
Déterminé géographiquement
Il est également remarquable que différents types d'activités proviennent également de différentes parties du monde. Par exemple, le spam provient principalement des pays d'Asie du Sud, tandis que le phishing se produit principalement aux États-Unis et dans d'autres pays développés :la raison de ce dernier est que ces pays hébergent le plus de centres de données et de fournisseurs de cloud computing. Une distinction peut également être faite entre une adresse IP individuelle, qui n'attaque qu'une seule fois, et un Bad Neighborhood entier, qui attaque presque toujours plus d'une fois. Ce sont aussi des informations extrêmement utiles pour mettre en place une stratégie de sécurité. L'histoire d'un Bad Neighborhood, telle que tracée par le doctorant, y contribue.
