Seulement vingt fournisseurs d'accès Internet (FAI) sont à l'origine de près de la moitié des adresses IP émettant du spam, sur plus de 42 000 FAI analysés.
Une étude du Centre de télématique et de technologie de l'information (CTIT) de l'Université de Twente révèle que vingt FAI seulement concentrent près de la moitié des adresses IP à l'origine du spam mondial, parmi plus de 42 000 fournisseurs examinés.
À l'image des bidonvilles du monde réel, Internet abrite des « quartiers mal famés » où règnent insécurité et criminalité numérique accrue. Dans sa thèse, le chercheur Giovane Moura a cartographié ces zones : des territoires, parfois géographiquement circonscrits, d'où proviennent spam, phishing et autres menaces.
Étudier ces « mauvais quartiers » d'Internet permet de concevoir des solutions de sécurité plus efficaces. Moura a été le premier à analyser systématiquement les hôtes malveillants via une surveillance approfondie des flux réseau. Résultat clé : les activités malveillantes se concentrent dans des zones limitées, avec des adresses IP similaires par FAI ou par pays. Par exemple, un FAI voit 62 % de ses adresses liées au spam. Ces insights permettent de cibler les mesures de sécurité sur des FAI spécifiques.
Géographiquement déterminés
Les types d'attaques varient aussi par région : le spam émerge surtout d'Asie du Sud, tandis que le phishing prédomine aux États-Unis et dans les pays développés, riches en centres de données et services cloud. On distingue les adresses IP isolées (attaque unique) des « bad neighborhoods » (attaques répétées). L'historique de ces zones, tracé par Moura, est précieux pour les stratégies de défense.
