Le 30/10/10, David Bizeul<dbiz...@gmail.com> a écrit : > Ma question est donc simple : pourquoi ne faisons nous rien en France > ? Sommes nous différents des autres, cela ne nous coûte t-il rien ? > > Je ne sais pas si les impacts suivants sont quantifiables : > - coût d'opérateurs de call center sollicités parce que les clients > sont infectés et leur ordinateur a un comportement inadéquat ;
Déjà, le comportement inadéquat n'est pas forcément visible: un bon troyen sait rester discret, c'est la clef de la longévité. Il va envoyer du spam, des attaques, ok, mais l'utilisateur n'en verra rien. Et si le problème est visible, les utilisateurs comprennent généralement que c'est Windows qui est infecté. Quand des pop-ups s'ouvrent partout, rares sont les gens qui appellent le FAI, quand même. > - coût d'une structure abuse qui devra réagir pour des campagnes de > spams envoyés par des bots sur des clients; Est-ce qu'abuse est vraiment concernée, de nos jours, par le spam "de base"? Ça a l'air d'être un problème tellement généralisé qu'on ne prend plus vraiment la peine d'aller se plaindre, du moins quand le spam provient d'une ligne résidentielle: en général, ça se gère à coups de blacklists sur des plages d'IP entières.. La dernière fois que j'ai signalé un spam à abuse, le FAI (français, hein) n'a pas daigné répondre ni accuser réception (ne serait-ce que de façon automatique). Il y a vraiment des gens qui signalent à abuse qu'ils recoivent du spam? Sérieusement? > - coût des réquisitions judiciaires pour causes de machine compromise > impliquée dans un schéma de fraude; Ce coût est remboursé par la justice, non? De plus, il ne doit pas y avoir tant de réquisitions que ça. Le spam se traite de façon technique. Pour le vol de coordonnées bancaires, les gens sont assurés. Reste quoi? Ça existe vraiment des virus qui servent à des choses pour lesquelles on fait une réquisition judiciaire? Des virus pour traiter du contenu pédophile par exemple? > - coût d'une mobilisation d'experts techniques pour lutter contre des > clients à la source de dénis de service; Ça, c'est dans l'hypothèse où le FAI est victime d'une attaque menée depuis ses clients contre sa propre infrastructure. Il n'y a pas de raison que ça lui tombe dessus précisément, le problème est global: les clients de tout le monde attaquent les infrastructures de tout le monde. Le FAI qui investira pour résoudre le problème va réduire de (mettons) 0.1% le coût pour tout le monde. Lui sera perdant, les autres seront gagnants. Dans une approche purement économique, ce n'est pas intéressant. > - charge induite sur les serveurs SMTP et DNS des FAI à cause des bots; > - coût de frais de transit pour toutes les communications liées aux bots; Bof.. Les attaques représentent du trafic depuis le réseau du FAI, vers l'extérieur. Vu que le trafic volontaire des utilisateurs va dans l'autre sens, et que les accès sont asymétriques (ADSL), ça ne va pas représenter un gros surcoût pour les FAI. > - amélioration de la satisfaction client et développement de la > confiance dans l'économis numérique en ligne; Là encore: - la satisfaction du client par rapport à son propre PC, il ne l'attribue pas à son FAI. À son antivirus, à son nouveau Windows (progrès au niveau sécurité entre XP et Vista/Seven), mais il n'a aucune raison de faire le rapprochement entre "mon PC rame" et "je suis chez tel FAI". D'autant plus que, dans un premier temps, l'action du FAI se résumerait à quelque chose de négatif pour lui: non seulement son PC rame, mais en plus le FAI veut le déconnecter! - le problème est global pour tout ce qui ne touche pas au PC infecté. Autrement dit, lutter contre les botnets dans son propre réseau ne permettra pas au FAI, directement, d'empêcher ses clients de recevoir du spam. Il faudrait que le monde entier s'y mette, et il y a des régions du monde qui s'en foutent plus ou moins ouvertement (Chine, Russie, les deux Amériques..) > > Si tel est le cas, il serait intéressant de réfléchir à des actions > concrètes qui pourraient être réalisées en suivant d'autres modèles : > - mise en quarantaine des clients identifiés à risque et navigation > restreinte > - sensibilisation adaptée en ligne à ces clients > - approche service de sécurité avec souscription de service en mode opt-in Il faudrait que ce soit gratuit, voire "une case cochée par défaut", sinon il n'y aura pas beaucoup de monde pour prendre une option dont on ne voit pas l'intérêt immédiat. "Cliquez ici pour ne pas recevoir de spam" => oui! "Cliquez ici pour ne pas envoyer de spam" => Gné? > - approche service de sécurité tout intégré proposé par défaut au client La version basique de ça, c'est le port 25 bloqué par défaut et débloquable, par exemple. Si le service est proposé par défaut, ça voudrait dire: - soit que le FAI propose un logiciel à installer sur le poste. Pourquoi pas? Mais ce serait absurde de vouloir le rendre obligatoire, quid des utilisateurs ayant déjà un bon antivirus, une bonne politique de sécurité, ou de ceux utilisant un OS non pris en charge? - soit que le FAI intègre ça au réseau, par défaut. Hum. > > Pour ma part, je serai ravi de promouvoir à mon entourage le FAI > français qui fera les premiers pas sur ce sujet. Peut-être que la solution passerait par le niveau réglementaire ou législatif. Autrement dit, mettre en place un cadre dans lequel, soit le client, soit le FAI, auraient intérêt direct à lutter contre l'infection. En imposant au FAI la déconnection des clients infectés, en rendant les clients responsables pécunièrement des conséquences.. Bref, quelque chose qui dise "Vous devez agir même si ce n'est pas par altruisme." Pour l'instant, ça a l'air d'être l'inverse: il est plus confortable de ne pas prendre de mesures. Sinon, on en prendrait.. Rémi. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/