Le 30/10/10, David Bizeul<dbiz...@gmail.com> a écrit : > > On est d'accord que le spam unitaire ne relève plus de la > notification, mais quid de l'envoi d'une campagne de 10 000 mails ou > l'hébergement de pages de phishing ou de contenu pedo pornographique, > le tout parce que certains bots permettent de jouer le rôle de serveur > web ? > Là je demande des détails (une étude serait bienvenue): Ce sont les machines de particulier qui font office de serveur Web? Quand je vois la galère que c'est pour le faire exprès (attribuer un bail DHCP fixe dans la box, rediriger le port, ne pas éteindre la machine, prendre un DNS dynamique), l'idée qu'un bot utilise le PC d'un abonné ADSL pour héberger du pédoporno ou une page de fisching m'étonne grandement. Sans parler du débit: on met quoi comme contenu pédoporno sur une ligne à 1Mb/s? Du texte? Sade est dans le domaine public, inutile de se fatiguer.
Sur des hébergements pros, oui peut-être, mais c'est un contexte très différent des botnets de PC grand public. > >>> - coût des réquisitions judiciaires pour causes de machine compromise >>> impliquée dans un schéma de fraude; >> Ce coût est remboursé par la justice, non? De plus, il ne doit pas y >> avoir tant de réquisitions que ça. Le spam se traite de façon >> technique. Pour le vol de coordonnées bancaires, les gens sont >> assurés. Reste quoi? Ça existe vraiment des virus qui servent à des >> choses pour lesquelles on fait une réquisition judiciaire? Des virus >> pour traiter du contenu pédophile par exemple? >> > Oublions le spam, parlons plutôt des trojans bancaires qui génèrent > des fraudes, qui génèrent des victimes, qui portent plainte, ce qui > génère des réquisitions judiciaires. Lesquelles réquisitions judiciaires sont en principe défrayées. Elles permettent même de rentabiliser les logs tenus à cet effet (bon, d'accord, ils sont aussi exploités commercialement). > On peut aussi évoquer le cas de DDoS lancé par des bots localisés > essentiellement dans un pays. Je serai étonné que cela ne se termine > pas par une plainte. > Exemple d'une telle plainte? La justice a du mal à traverser les frontières sans raison sérieuse. Je me trompe peut-être, mais j'ai le sentiment d'un "laisser aller" face à ce type d'attaques, justement parce qu'on sait que le responsable apparent (l'abonné qui participe à l'acte délictieux) n'est absolument pas conscient de ce qui se passe. Il y a bien eu un cas qui est allé assez loin: http://www.ixus.net/nw/nw.php?n=470, mais par rapport à la masse de spam et d'attaques qui traînent sur Internet, c'est l'exception et pas la règle. La victime est "ingénieur informatique" et travaillait pour la défense, ce simple fait pourrait relancer une discussion passionnante sur la responsabilité des possesseurs de machine infectées (le fait d'être compétent le rend-il davantage responsable? Ou, au contraire, l'infection est-elle tellement inévitable et imprévisible qu'on ne saurait inquiéter l'utilisateur? Pourquoi ma Debian reste propre alors?) > Question ouverte : des statistiques ont elles été faites sur la > surcharge DNS au moment de Storm ou de Conficker... > Oui, on manque de données. Sortez vos logs :) > > Je pense que la confiance dans l'économie numérique est un sujet qui > devrait impliquer tous les acteurs concernés, il est un peu facile de > déléguer la responsabilité à d'autres. C'est une bonne approche, mais il ne faudrait pas diluer les responsabilités en faisant de la communication sur le thème "Tous engagés, tous concernés, tous impliqués, en attendant rien ne change et c'est la faute à personne." C'est à dire: > - Microsoft a fait énormément de choses sur ce thème. Security > Essential est d'ailleurs un très bon exemple Le boulot d'un éditeur de logiciels est de répondre à la demande de ses clients. Mais le rôle de ses clients est aussi de prendre en compte la sécurité dans leur choix de logiciels. Autrement dit, ce serait bon que le marché amène Microsoft à faire de la sécurité, et pas le marketing. Quelque chose comme "Les clients achètent de la sécurité donc on va en vendre", et pas "On va parler de sécurité pour être bien vus donc vendre", je suis certain que tout le monde saisit la nuance. Même si Security Essential est effectivement une bonne idée. > - Les banques ont fait de gros progrès et essayent d'anticiper les menaces Oui, mais d'un autre côté elles tendent à déresponsabiliser l'utilisateur. Via l'assurance obligatoire dont j'ai parlé plus haut, et via une approche de la sécurité imposée et non négociable. "Pour faire ceci vous utilisez un mot de passe, pour faire cela vous utilisez une carte à clef..". Ok, et si je voulais remplacer les deux par ma clef GPG? Si le fait de chercher cette foutue carte à clef me gonfle, alors qu'elle n'est utile que pour les clients qui se laissent prendre par le phising? > - Les internautes manifestent régulièrement via des sondages leurs > craintes de voir leur compte piraté / leur identité volée.... Et ils sont 74% à dire qu'ils n'aimeraient pas être enlevés par des extraterrestres ;+) Cette inquiétude ne se traduit pas, dans les faits, par des choix responsables. Combien de Windows utilisés avec le compte admin, combien de mots de passe unique commun à tous les comptes..? C'est même étrange que les gens s'inquiètent d'un problème qu'ils sont les premiers à pouvoir résoudre, sans chercher vraiment à le résoudre. > - Les FAI en France sont obligés d'appliquer des choses stupides > (Hadopi pour ne pas le citer) mais aucune contrainte ou volonté semble > t'il d'avancer sur ce terrain Du côté de Hadopi, justement, ils ne seraient pas contre. J'ai pu poser la question à Eric Walter lors d'un "chat", et mettre un peu de sécurité (de la vraie) dans les spécifications du "logiciel de protection" c'est, semble-t-il, au programme. Par contre, ils dépendent totalement du législateur pour le reste. C'est à dire que Hadopi ne peut s'intéresser qu'aux gens qui publient des contrefaçons depuis chez eux. Et s'il fallait que Hadopi s'intéresse à ceux qui émettent du spam depuis chez eux, c'est au législateur de s'en occuper. Pour l'instant la "sécurité" que pourrait apporter Hadopi ne serait donc que très indirecte, car ne ciblant que les "pirates". Mais oui, une "Hadopi anti-spam", en mieux conçue, ça serait génial. Le 31/10/10, nkm<n...@teora.fr> a écrit : > Je serai intéressé d’obtenir copie de votre signalement, en précisant > l’identité de l’opérateur. > > Je vous envoie ça en privé. Rémi. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
