Commentaires inline. 2012/3/20 Michel Py <mic...@arneill-py.sacramento.ca.us>: >>> RobOEM a écrit: >>> Merci pour le document et son analyse, qui a au moins le mérite >>> de poser des bases de travail. Remédier à l'infection des >>> utilisateurs par des maliciels devrait être, et je ne pense pas >>> être le seul à le penser, un des service fournis par les FAI. > >> Francois Petillon a écrit: >> Pourquoi ? Si je veux bien croire que les FAIs soient bien placés >> pour détecter/signaler un problème, la source de l'infection se >> situe rarement sur son domaine de compétence. > > +1
La source de l'infection n'est pas de son domaine de compétence, mais la détection l'est. Et si l'on se réfère à ce genre de posts http://www.mail-archive.com/frnog@frnog.org/msg17023.html http://www.mail-archive.com/frnog@frnog.org/msg17826.html c'est bien au FAI d'intervenir, et d'aider le client à se sortir de la merde, dans une certaine limite. > >> Stephane Borzmeyer a écrit: >> Vous vous demandez peut-être quelle solution a finalement retenue >> Comcast ? Décrite dans le RFC 6108, elle consiste à modifier le >> contenu des pages Web vues par l'utilisateur pour y insérer une >> fenêtre-polichinelle d'avertissement. > > C'est une bonne méthode, et pour des raisons que l'on ne soupçonnait pas: > récemment il y a eu une épidémie de faux logiciels de nettoyage (qui sont > eux-mêmes le problème) et les utilisateurs commencent à comprendre que les > fenêtres qui indiquent un problème, même si étant elles-mêmes la source du > problème, veulent dire qu'il faut faire quelque chose. +1, sauf sur la partie de 'on ne soupçonnait pas'. Sisi, et on y travaille. Etablir la légitimité de ce genre de message pour Mme Michu est un gros boulot, qui est entrepris. > > Les utilisateurs recevant ce message vont donc croire qu'il contient un > virus, mais au bout du compte si le résultat est qu'ils nettoient leur PC, > l'objectif est atteint et ils pourront dire autour d'eux qu'ils ont nettoyé > le virus que Comcast leur avait envoyé sans comprendre que la raison pour > laquelle le message n'apparait plus est que Malwarebytes ou Kaspersky ont > enlevé le vrai ver, pas le "virus comcast". > > >>> Stephane Borzmeyer a écrit: >>> À noter qu'une autre faiblesse de ce document est que, pour éviter de >>> déchainer les avocats de Microsoft, le fait que la quasi-totalité des >>> zombies soient aujourd'hui des machines Windows est tout simplement >>> absent... > >> RobOEM a écrit: >> Peut être pour éviter de dire une évidence, qui est que la quasi >> totalité des machines des end-users sont des machines windows. Je >> sais que cet argument peut dans certains contextes ne pas être >> valide, mais ici il l'est. Les bot herders cherchent la >> rentabilité, le plus grand nombre de machines infectées par leur >> code, la majorité des postes vulnérables à n'importe quoi (y >> compris l'utilisateur) sont sous windows, ergo la majorité des >> zombies sont sous windows. > > +1 > > >> On pourrait aussi recommander à tous nos utilisateurs de >> ne pas utiliser Windows, > > <troll> > A tant que faire on pourrait aussi leur demander de ne pas être cons et de ne > pas aller à la pêche aux cracks de jeu et autre activités à haut risque de se > retrouver contaminé. > </troll> Ah ouais, passque le drive-by download ça existe pas? > Plus sérieusement, je pense que les fabricants d'antivirus vont trop loin > avec les cracks de jeux et les keygens: ils ne testent pas si le crack > contient un virus ou pas et marquent systématiquement le fichier comme virus. > C'est contre-productif, car ça pousse les utilisateurs à désactiver > l'antivirus quand ils sont convaincus que le crack ne présente pas de danger, > ce qui est parfois le cas. Totalement +1. Et même, cela permet à des gens pas bien intentionnés de dire "ton AV va détecter ça comme un virus mais c'est normal, regarde comment ils détectent tel crack, ou pwdump. Ignore donc cet avertissement et continue avec l'install. http://pcdn.500px.net/3173305/d926d906d6d120f568898db309303947d12d9ec5/4.jpg Après, où tirer la limite? Surement pas au cracks, mais j'aimerais bien être prévenu (et simplement prévenu) que nmap, tcpdump, ou pwdump ou psexec sont présents sur ma machine. Juste pour savoir s'ils ont une bonne raison d'être là. > > Quand on regarde les commentaires d'un torrent sur TPB, on voit souvent > "attention, contient virus ne téléchargez pas" et on commence aussi à voir > "mais non c'est pas un virus vous pouvez prendre sans crainte". > > Michel. > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
