Le 6 décembre 2009 18:29, Marc <m...@supermode.fr> a écrit : > C'est ton point de vue qu'ils font des conneries.
Avec un peu de recul, faire de l'Internet en choisissant les routes accessibles ou pas, quel que soit le motif, ce n'est plus faire de l'Internet. Là ou on diverge, c'est uniquement sur ce qui es tolérable au titre de mesures de sauvegardes, et la façon de les appliquer. Depeerer / null-router / filtrer une portion du réseau pour préserver l'intégrité des autres, ça peut se défendre. Je ne le nie pas. Et pour ça je vois deux cas de figure : - Cas de force majeure : atteinte manifeste à l'intégrité technique du réseau. Si le réseau d'un opérateur est mis en danger par les agissements d'un autre, il a évidement le droit de se protéger. C'est le cas des hijack par annonces foireuses, quoique rarement volontaires, par exemple. - Violation d'une loi ou d'un règlement en vigueur : l'opérateur peut le signaler mais n'a pas le droit de se faire justice lui même, seul un juge a le droit de prendre des mesures susceptibles d'enfreindre l'obligation de neutralité d'un réseau de communication électronique ouvert au public. La justice est peut être trop lente pour prendre des mesures conservatoires, et c'est à nous de leur suggérer des modifications et évolutions pour s'adapter à nos impératifs. C'est tout ce que je suggère, en tout cas. > Comme dit par quelqu'un d'autre, pourquoi tu laisses le bénéfice du > doute à l'hébergeur? Simple point de vue, sachant que l'hébergeur n'a (à priori) pas enfreint la loi ou les usages, Free si. > En plus, plein de sites tentent de faire du > phishing de l'IdG Free et les adresses IP où sont hébergés ces sites > sont toujours accessibles mais plus les sites. Tu as des exemples ? Qui a mis en place les filtrages / blocages ? Quelles sont les méthodes utilisées ? > Je parle du filtrage du mail qui est un autre point. La responsabilité de l'opérateur IP s'arrête à la couche 3 normalement, sauf sur les services qu'il fournit au titre d'hébergeur. >> Le réseau de free n'a pas été mis en danger, il n'y avait aucune >> raison qui puisse légitimer leur décision, illégale par définition, et >> insoutenable pour tout membre digne de ce nom de la communauté >> Internet. > > Rien que cela, "insoutenable". Je sais à quel point cette prise de position peut paraître extrême, et je penses m'en être expliqué de façon assez claire, avec la base suivante : si un opérateur se croit au dessus des loi et en position de ne plus respecter les autres, ça remet en cause tout le principe coopératif nécessaire au fonctionnement d'Internet. C'est peut être un détail pour vous, mais pour moi, et avec une vision (du pire des cas) à long terme, ça remet en cause la pérennité du réseau dans son ensemble. > Il n'empêche que les FAI ne sont pas responsables de l'éducation des > abonnés pour le phishing. Un fabricant de voiture n'est pas responsable de ce qu'un propriétaire de véhicule peut en faire sur le réseau routier, parce que le conducteur a besoin d'un permis pour circuler sur les routes. Je me pose souvent la question de savoir si une formation préalable des utilisateurs n'est pas souhaitable, et ce peut être du ressort d'un FAI. Ce n'est qu'une suggestion, et c'est ce que j'essaye de mettre en place. On verra ce que ça donne. Remarque, il en est de même pour un hébergeur de serveurs dédiés : j'ai déjà validé ce point là en proposant à certains clients un firewall en amont de leurs machines s'ils n'étaient pas compétents pour sécuriser eux même. Depuis qu'on a anticipé ce genre de problèmes, on a vu le nombre de machines rootées décroître significativement. En proposant une documentation interne plus poussée et une gamme de services (infogé et formation) à prix adapté, on a économisé pas mal de ressources sur le traitement curatif (abuse@) et on se concentre sur le préventif. >> Et si, en plus d'envoyer la box, le FAI envoyait un autre jeton >> d'authentification, un truc un peu innovant, que les users peuvent >> prendre en main et assimiler avec peu d'explications ? Bizarrement, la >> collecte de mots de passes ne servira plus à rien, et le site ne sera >> plus la cible d'un phisheur. Ca, c'est une solution. Bloquer, c'est un >> problème. > > C'est pas au FAI de faire cela. Si déjà les banques le fesait, cela > serait un pas en avant mais à mon avis cela arrivera. Ca ne les empêche pas d'y réfléchir pour autant. Il n'y a pas de solution miracle, mais des pistes existent. > Et puis si on doit mettre en place des dispositifs d'authentification > avec tiers de confiance pour tout les formulaire d'authentification > sur Internet, je suis certain que cela plaira pas à tout le monde > (problème d'anonymat entre autre). Je ne dis pas le contraire, le tiers de confiance ou le jeton matériel posent aussi des problèmes, et les phisheurs pourront contourner bon nombre de mesures. Ce n'est pas pour autant qu'on doit partir battus d'avance. Thomas > Je n'ai pas de solution miracle, mais on y réfléchit ;) A force de débat et d'échanges, notamment ici, on finira peut être par voir des idées intéressantes émerger. C'est en tout cas pour ça que le parti de segmenter (troll/announce/débats) la liste et bannir les débats me parait contre-productive. Seule une liste spécifiquement destinée aux signalements d'anomalies me semble être une bonne chose. -- Jérôme Nicolle --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
