Le service Blue Frog, de la société Blue Security fonctionnait selon le bon vieux principe de l'arroseur arrosé : à chaque spam reçu par un abonné au service, un premier message d'avertissement était envoyé à l'hébergeur ou au fournisseur d'accès du réseau utilisé par le spammeur.

Si cela ne suffisait pas (ce qui est souvent le cas), alors l'outil Blue Frog prenait le relais : il ciblait le site mentionné dans les publicités - le client du spammeur, donc - et menait ce qui peut se résumer à une attaque par déni de service contre lui. Une telle attaque a généralement pour conséquence de faire grimper ses frais de bande passante tout en rendant le site inutilisable, et donc de tarir la source de ses revenus. Le principe rappelle celui de l'économiseur d'écran antispam de Yahoo!, qui avait fait long feu.

Fort de plus de 500.000 abonnés, le service Blue Frog s'est semble-t-il révélé terriblement efficace au point de forcer six des dix plus gros spammeurs de la planète à accepter de jouer le jeu. Ils ont convenus de ne plus spammer les adresses figurant sur la liste des abonnés à Blue Frog. Mais ce succès a aussi irrité un septième spammeur, manifestement plus belliqueux que les autres. Se faisant appeler PharmaMaster, ce spammeur Russe aurait déclaré dans une conversation sur Messenger avec le président de Blue Security que "Blue Security a trouvé la bonne solution contre le spam et je ne peux laisser cela continuer".

Dont acte : en une série d'attaques parfaitement organisées, le spammeur a détruit Blue Security, secoué un pan majeur d'Internet et descendu de nombreux services importants, dont les blogs de la société Six Apart (Type Pad, etc...). Sa dernière attaque par déni de service a même neutralisé une entreprise spécialisée dans la protection contre ce type d'attaques.

Des attaques parfaitement organisées

La première action du spammeur a été de spammer plus encore les abonnés au service Blue Frog. En comparant sa propre liste d'emails avec celle "nettoyée" par le service, il a pu en déduire lesquelles de ses victimes étaient abonnées à Blue Frog. Il leur a alors envoyé une série d'emails, d'abord en dénigrant la société Blue Security par des insultes à caractère antisémite ("... des juifs d'origine Russe qui étaient auparavant eux même des spammeurs", ou encore "La société prétend être basée aux Etats-Unis mais ses bureaux sont à Tel-Aviv"). Par la suite, les emails menaçaient directement les utilisateurs du service en leur promettant de recevoir "encore plus de spam, toutes les 48 heures", jusqu'à ce qu'ils se désabonnent.

Cela n'ayant pas suffit, le spammeur est alors passé au plan B. Selon le président de Blue Security, il aurait "acheté" ou manipulé un employé au sein d'un fournisseur d'accès majeur afin de couper le site de la société du reste du monde. Il s'agit d'une technique baptisée Blackhole ("trou noir"), qui ne peut être réalisée que depuis un fournisseur d'accès situé au coeur d'Internet. Il apparaît en outre que le site était également soumis à une attaque par déni de service au même moment.

La société a alors décidé de basculer son adresse web vers un vieux blog dont elle disposait, afin de continuer à communiquer avec la communauté. Le blog était hébergé par Six Apart, l'un des ténor du domaine. Cela a eu pour effet de détourner l'attaque vers Six Apart et de neutraliser la ferme de serveurs du prestataire, faisant tomber au passage des milliers d'autres blogs. On appelle ça des dégâts collatéraux... Pour sa défense, Blue Security affirme ne pas avoir été au courant de l'attaque par déni de service au moment du changement des DNS, justement parce qu'ils étaient isolés.

Ca sent le sapin...

Afin de retrouver l'usage de son site web, Blue Security décide alors de s'offrir les services de la société Prolexic, qui promet de protéger ses clients contre les attaques par déni de service. Efficace à première vue, la manoeuvre n'a cependant pas offert un répit de longue durée : le spammeur a contourné les défenses et s'est attaqué à la société UltraDNS, qui fournit un service de résolution de nom de qualité industrielle à de nombreux grands noms d'Internet (Oracle, par exemple) mais aussi à Prolexic. Cette nouvelle attaque a rendu le site de Blue Security à nouveau inaccessible, et a fait tomber au passage ceux de nombreux autres clients de Prolexic, tous des entreprises majeures du web.

Cela commençait à faire beaucoup de dégâts collatéraux. Blue Security a alors pris la décision de jeter l'éponge. La société a donc supprimé son service Blue Frog. Et c'est une victoire pour les spammeurs.

Les problèmes continuent. La lutte aussi

Mais la capitulation de Blue Security ne suffit pas à satisfaire le spammeur Russe. Il envisagerait désormais de prendre de contrôle des programmes Blue Frog installés sur les PC des 500.000 ex-utilisateurs du service. En effet, ces outils demeurent actifs bien qu'ils n'aient plus de serveur à contacter pour récupérer leurs mises à jour et les informations nécessaires à leur fonctionnement. Si des escrocs parviennent à mettre la main sur les adresses IP ou sur le nom de domaine de ces serveurs, ils prendront alors immédiatement le contrôle de l'armée de zombies assemblée initialement par Blue Security. Et ils l'utiliseront bien entendu pour envoyer plus de spam et mener plus d'attaques encore. Les utilisateurs de Blue Frog sont donc invités à désinstaller le logiciel au plus vite.

Cette bataille, au goût amer pour la communauté antispam, n'aura cependant pas été vaine : elle aura permis de valider le modèle "oeil pour oeil" dans la lutte contre les spammeurs (bien que pour de nombreux experts et éditeurs il s'agisse toujours d'une mauvaise idée, justement à cause des dégâts collatéraux provoqués lors de la contre attaque).

Déjà, un projet Open Source s'est formé dans le but de créer un successeur à Blue Frog. L'outil sera cette fois-ci basé sur le mode Peer-to-Peer afin d'empêcher que les serveurs ne puissent être neutralisés aussi facilement. Le réseau a été baptisé FrogNet, en hommage à feu la grenouille antispam de Blue Security.

Par ailleurs cette attaque massive a contraint les spammeurs à se dévoiler et à montrer leur force. Une force d'autant plus visible que leur assaut intervient après une autre attaque, massive elle aussi, contre les serveurs de noms centraux d'Internet. Grâce à cela, un cap a été franchi dans l'exaspération; la vulnérabilité d'Internet à une poignée d'escrocs n'a jamais été aussi flagrante. Certes, le spam et les arnaques en ligne représentent un business énorme. Mais il n'est rien à côté du "vrai" business qu'y mènent les géants du web, et ces derniers pourraient désormais se sentir beaucoup plus clairement menacés.

Mieux : la fureur des combats a peut-être porté jusqu'aux étages élevés et contribué ainsi à sensibiliser leur Direction Générale. La bataille de Blue Security, bien que perdue, marque donc probablement un tournant majeur dans la guerre contre le spam. Une limite a été franchie et la lutte va probablement se radicaliser, notamment à l'encontre des botnets de PC zombies.

L'avenir de la lutte antispam promet d'être intéressant...