Le 30/10/10, David Bizeul<dbiz...@gmail.com> a écrit :

> Ma question est donc simple : pourquoi ne faisons nous rien en France
> ? Sommes nous différents des autres, cela ne nous coûte t-il rien ?
>
> Je ne sais pas si les impacts suivants sont quantifiables :
> - coût d'opérateurs de call center sollicités parce que les clients
> sont infectés et leur ordinateur a un comportement inadéquat ;

Déjà, le comportement inadéquat n'est pas forcément visible: un bon
troyen sait rester discret, c'est la clef de la longévité. Il va
envoyer du spam, des attaques, ok, mais l'utilisateur n'en verra rien.

Et si le problème est visible, les utilisateurs comprennent
généralement que c'est Windows qui est infecté. Quand des pop-ups
s'ouvrent partout, rares sont les gens qui appellent le FAI, quand
même.

> - coût d'une structure abuse qui devra réagir pour des campagnes de
> spams envoyés par des bots sur des clients;
Est-ce qu'abuse est vraiment concernée, de nos jours, par le spam "de
base"? Ça a l'air d'être un problème tellement généralisé qu'on ne
prend plus vraiment la peine d'aller se plaindre, du moins quand le
spam provient d'une ligne résidentielle: en général, ça se gère à
coups de blacklists sur des plages d'IP entières..

La dernière fois que j'ai signalé un spam à abuse, le FAI (français,
hein) n'a pas daigné répondre ni accuser réception (ne serait-ce que
de façon automatique). Il y a vraiment des gens qui signalent à abuse
qu'ils recoivent du spam? Sérieusement?

> - coût des réquisitions judiciaires pour causes de machine compromise
> impliquée dans un schéma de fraude;
Ce coût est remboursé par la justice, non? De plus, il ne doit pas y
avoir tant de réquisitions que ça. Le spam se traite de façon
technique. Pour le vol de coordonnées bancaires, les gens sont
assurés. Reste quoi? Ça existe vraiment des virus qui servent à des
choses pour lesquelles on fait une réquisition judiciaire? Des virus
pour traiter du contenu pédophile par exemple?

> - coût d'une mobilisation d'experts techniques pour lutter contre des
> clients à la source de dénis de service;
Ça, c'est dans l'hypothèse où le FAI est victime d'une attaque menée
depuis ses clients contre sa propre infrastructure. Il n'y a pas de
raison que ça lui tombe dessus précisément, le problème est global:
les clients de tout le monde attaquent les infrastructures de tout le
monde. Le FAI qui investira pour résoudre le problème va réduire de
(mettons) 0.1% le coût pour tout le monde. Lui sera perdant, les
autres seront gagnants. Dans une approche purement économique, ce
n'est pas intéressant.

> - charge induite sur les serveurs SMTP et DNS des FAI à cause  des bots;



> - coût de frais de transit pour toutes les communications liées aux bots;
Bof.. Les attaques représentent du trafic depuis le réseau du FAI,
vers l'extérieur. Vu que le trafic volontaire des utilisateurs va dans
l'autre sens, et que les accès sont asymétriques (ADSL), ça ne va pas
représenter un gros surcoût pour les FAI.

> - amélioration de la satisfaction client et développement de la
> confiance dans l'économis numérique en ligne;
Là encore:
- la satisfaction du client par rapport à son propre PC, il ne
l'attribue pas à son FAI. À son antivirus, à son nouveau Windows
(progrès au niveau sécurité entre XP et Vista/Seven), mais il n'a
aucune raison de faire le rapprochement entre "mon PC rame" et "je
suis chez tel FAI".
D'autant plus que, dans un premier temps, l'action du FAI se
résumerait à quelque chose de négatif pour lui: non seulement son PC
rame, mais en plus le FAI veut le déconnecter!
- le problème est global pour tout ce qui ne touche pas au PC infecté.
Autrement dit, lutter contre les botnets dans son propre réseau ne
permettra pas au FAI, directement, d'empêcher ses clients de recevoir
du spam. Il faudrait que le monde entier s'y mette, et il y a des
régions du monde qui s'en foutent plus ou moins ouvertement (Chine,
Russie, les deux Amériques..)

>
> Si tel est le cas, il serait intéressant de réfléchir à des actions
> concrètes qui pourraient être réalisées en suivant d'autres modèles :
> - mise en quarantaine des clients identifiés à risque et navigation
> restreinte
> - sensibilisation adaptée en ligne à ces clients
> - approche service de sécurité avec souscription de service en mode opt-in
Il faudrait que ce soit gratuit, voire "une case cochée par défaut",
sinon il n'y aura pas beaucoup de monde pour prendre une option dont
on ne voit pas l'intérêt immédiat.

"Cliquez ici pour ne pas recevoir de spam" => oui!
"Cliquez ici pour ne pas envoyer de spam" => Gné?

> - approche service de sécurité tout intégré proposé par défaut au client
La version basique de ça, c'est le port 25 bloqué par défaut et
débloquable, par exemple.

Si le service est proposé par défaut, ça voudrait dire:
- soit que le FAI propose un logiciel à installer sur le poste.
Pourquoi pas? Mais ce serait absurde de vouloir le rendre obligatoire,
quid des utilisateurs ayant déjà un bon antivirus, une bonne politique
de sécurité, ou de ceux utilisant un OS non pris en charge?

- soit que le FAI intègre ça au réseau, par défaut. Hum.

>
> Pour ma part, je serai ravi de promouvoir à mon entourage le FAI
> français qui fera les premiers pas sur ce sujet.

Peut-être que la solution passerait par le niveau réglementaire ou
législatif. Autrement dit, mettre en place un cadre dans lequel, soit
le client, soit le FAI, auraient intérêt direct à lutter contre
l'infection.
En imposant au FAI la déconnection des clients infectés, en rendant
les clients responsables pécunièrement des conséquences.. Bref,
quelque chose qui dise "Vous devez agir même si ce n'est pas par
altruisme."

Pour l'instant, ça a l'air d'être l'inverse: il est plus confortable
de ne pas prendre de mesures. Sinon, on en prendrait..

Rémi.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à