Bonjour à tous, Pour me présenter simplement, je travaille depuis plusieurs années dans le domaine de la sécurité et plus particulièrement la réponse aux incidents de sécurité. Dans ce domaine, il existe plusieurs projets à structure associative visant à monitorer l'activité sur Internet à des fins de lutte contre les cybercriminels (c'est-à-dire tout type de crimes passant par Internet - malware, identity theft, phishing, spam, ...). Ces projets sont alimentés par des associations/groupes de chercheurs en sécurité reconnus au niveau mondial.
Parmi ces projets, on peut citer les suivants: - le Pod de "Dragon Research Group" (DRG: dra...@drg.team-cymru.org) lié à Team Cymru [1] (sonde passive et/ou active suivant la configuration choisie) "The Dragon Research Group (DRG) Distro is a Linux-based Live CD platform. It forms the cornerstone of much of DRG's ongoing research, analysis and development efforts. The goal of the DRG Distro is to build a DRG Network of pods that can securely and anonymously help provide actionable intelligence to the Internet security community." Ses principaux buts actuels sont de détecter les attaques de DNS hijacking, de servir de BGP Looking Glass [2] et d'identifier du trafic malveillant. http://www.youtube.com/watch?v=v5bw1nv32Lg http://drg.team-cymru.org/drg-distro.html - DNSParse (sonde dns passive) de Bojan Zdrnja (Handler SANS ISC bojan....@gmail.com) Il permet d'obtenir un historique de l'usage d'un DNS et une vue plus pratique du mapping d'un domaine. http://www.caida.org/publications/presentations/2007/brownlee_anomalies/brownlee_anomalies.pdf Les habitudes françaises étant ce qu'elles sont, on n'entend pas trop parler d'utilisations de ce type dans notre pays, notamment chez des opérateurs/hébergeurs (là où ces sondes auraient le plus d'utilité). Ce travail est pourtant profitable à tous les acteurs de l'Internet aussi bien pour identifier des relais de spam, l'exploitation de vulnérabilités, la circulation de malware ou de données volées. Cela va dans le sens du *partage d'informations* (absolument nécessaire dans le domaine de la sécurité) et de permettre de meilleurs échanges avec la communauté sécurité internationale. C'est aussi une occasion d'avoir plus d'informations pour détecter/résoudre les incidents et d'établir une relation de confiance avec la communauté sécurité internationale. Les pré-requis sont minimes: une adresse IP publique dédiée et un serveur (ou une machine virtuelle) dans la plupart des cas. Dans le cas du Pod DRG, l'administration peut se faire en central (et éviter une surcharge de travail aux équipes internes). Sur l'aspect juridique, la question de la légalité d'un transfert des données à des tiers hors UE se pose, avec des bémols : 1- Des NDA/contrats sont possibles; 2- Il est toujours possible de choisir ce qui est remonté; 3- Les données peuvent être anonymisées avant émission ou avant toute diffusion hors du cercle restreint défini initialement (même si cela va réduire leur utilité). Dans tous les cas, l'opérateur choisit où il place cette sonde sur son réseau (et donc ce qu'elle voit). Au final, je fais un appel à contributions pour ces projets. Vous pouvez soit contacter directement les auteurs de ces projets (liens/email ci-dessus), soit me contacter hors liste si vous le souhaitez. Cordialement, Julien Touche Note: ces projets et cette demande n'ont aucun lien avec les problématique de copyright, donc merci d'éviter les trolls. [1] http://www.team-cymru.org/ [2] http://www.afnic.fr/noncvs/formations/routage_long/bgp.html#lookinglass --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
