>> >> Je ne sais pas si les impacts suivants sont quantifiables : >> - coût d'opérateurs de call center sollicités parce que les clients >> sont infectés et leur ordinateur a un comportement inadéquat ; > > Déjà, le comportement inadéquat n'est pas forcément visible: un bon > troyen sait rester discret, c'est la clef de la longévité. Il va > envoyer du spam, des attaques, ok, mais l'utilisateur n'en verra rien. > > Et si le problème est visible, les utilisateurs comprennent > généralement que c'est Windows qui est infecté. Quand des pop-ups > s'ouvrent partout, rares sont les gens qui appellent le FAI, quand > même. >
Soit, c'est probable, mais une statistique des call centers sur le taux d'appel lié à des dysfonctionnements de l'ordinateur serait intéressante. >> - coût d'une structure abuse qui devra réagir pour des campagnes de >> spams envoyés par des bots sur des clients; > Est-ce qu'abuse est vraiment concernée, de nos jours, par le spam "de > base"? Ça a l'air d'être un problème tellement généralisé qu'on ne > prend plus vraiment la peine d'aller se plaindre, du moins quand le > spam provient d'une ligne résidentielle: en général, ça se gère à > coups de blacklists sur des plages d'IP entières.. > Je rebondis donc sur ces propos. Quel FAI n'a pas eu à s'occuper de déblacklister ses propres plages auprès d'organisation X ou Y parce que plusieurs de ses clients généraient du trafic illégitime. En tous cas, j'ai eu des echos sur des cas de ce genre concernant des FAI français.... cqfd > La dernière fois que j'ai signalé un spam à abuse, le FAI (français, > hein) n'a pas daigné répondre ni accuser réception (ne serait-ce que > de façon automatique). Il y a vraiment des gens qui signalent à abuse > qu'ils recoivent du spam? Sérieusement? > On est d'accord que le spam unitaire ne relève plus de la notification, mais quid de l'envoi d'une campagne de 10 000 mails ou l'hébergement de pages de phishing ou de contenu pedo pornographique, le tout parce que certains bots permettent de jouer le rôle de serveur web ? >> - coût des réquisitions judiciaires pour causes de machine compromise >> impliquée dans un schéma de fraude; > Ce coût est remboursé par la justice, non? De plus, il ne doit pas y > avoir tant de réquisitions que ça. Le spam se traite de façon > technique. Pour le vol de coordonnées bancaires, les gens sont > assurés. Reste quoi? Ça existe vraiment des virus qui servent à des > choses pour lesquelles on fait une réquisition judiciaire? Des virus > pour traiter du contenu pédophile par exemple? > Oublions le spam, parlons plutôt des trojans bancaires qui génèrent des fraudes, qui génèrent des victimes, qui portent plainte, ce qui génère des réquisitions judiciaires. On peut aussi évoquer le cas de DDoS lancé par des bots localisés essentiellement dans un pays. Je serai étonné que cela ne se termine pas par une plainte. >> - coût d'une mobilisation d'experts techniques pour lutter contre des >> clients à la source de dénis de service; > Ça, c'est dans l'hypothèse où le FAI est victime d'une attaque menée > depuis ses clients contre sa propre infrastructure. Il n'y a pas de > raison que ça lui tombe dessus précisément, le problème est global: > les clients de tout le monde attaquent les infrastructures de tout le > monde. Le FAI qui investira pour résoudre le problème va réduire de > (mettons) 0.1% le coût pour tout le monde. Lui sera perdant, les > autres seront gagnants. Dans une approche purement économique, ce > n'est pas intéressant. > >> - charge induite sur les serveurs SMTP et DNS des FAI à cause des bots; > Question ouverte : des statistiques ont elles été faites sur la surcharge DNS au moment de Storm ou de Conficker... > > >> - coût de frais de transit pour toutes les communications liées aux bots; > Bof.. Les attaques représentent du trafic depuis le réseau du FAI, > vers l'extérieur. Vu que le trafic volontaire des utilisateurs va dans > l'autre sens, et que les accès sont asymétriques (ADSL), ça ne va pas > représenter un gros surcoût pour les FAI. > >> - amélioration de la satisfaction client et développement de la >> confiance dans l'économis numérique en ligne; > Là encore: > - la satisfaction du client par rapport à son propre PC, il ne > l'attribue pas à son FAI. À son antivirus, à son nouveau Windows > (progrès au niveau sécurité entre XP et Vista/Seven), mais il n'a > aucune raison de faire le rapprochement entre "mon PC rame" et "je > suis chez tel FAI". > D'autant plus que, dans un premier temps, l'action du FAI se > résumerait à quelque chose de négatif pour lui: non seulement son PC > rame, mais en plus le FAI veut le déconnecter! > - le problème est global pour tout ce qui ne touche pas au PC infecté. > Autrement dit, lutter contre les botnets dans son propre réseau ne > permettra pas au FAI, directement, d'empêcher ses clients de recevoir > du spam. Il faudrait que le monde entier s'y mette, et il y a des > régions du monde qui s'en foutent plus ou moins ouvertement (Chine, > Russie, les deux Amériques..) > Je pense que la confiance dans l'économie numérique est un sujet qui devrait impliquer tous les acteurs concernés, il est un peu facile de déléguer la responsabilité à d'autres. - Microsoft a fait énormément de choses sur ce thème. Security Essential est d'ailleurs un très bon exemple - Les banques ont fait de gros progrès et essayent d'anticiper les menaces - Les commerçants en ligne sont tenus par des régulations à faire les choses correctement (PCI/DSS) et 3DS est à leur disposition pour réduire la fraude - Les internautes manifestent régulièrement via des sondages leurs craintes de voir leur compte piraté / leur identité volée.... - Les FAI en France sont obligés d'appliquer des choses stupides (Hadopi pour ne pas le citer) mais aucune contrainte ou volonté semble t'il d'avancer sur ce terrain >> - approche service de sécurité tout intégré proposé par défaut au client > La version basique de ça, c'est le port 25 bloqué par défaut et > débloquable, par exemple. Oui, c'est déjà ça > > Si le service est proposé par défaut, ça voudrait dire: > - soit que le FAI propose un logiciel à installer sur le poste. > Pourquoi pas? Mais ce serait absurde de vouloir le rendre obligatoire, > quid des utilisateurs ayant déjà un bon antivirus, une bonne politique > de sécurité, ou de ceux utilisant un OS non pris en charge? > > - soit que le FAI intègre ça au réseau, par défaut. Hum. > >> >> Pour ma part, je serai ravi de promouvoir à mon entourage le FAI >> français qui fera les premiers pas sur ce sujet. > > Peut-être que la solution passerait par le niveau réglementaire ou > législatif. Autrement dit, mettre en place un cadre dans lequel, soit > le client, soit le FAI, auraient intérêt direct à lutter contre > l'infection. > En imposant au FAI la déconnection des clients infectés, en rendant > les clients responsables pécunièrement des conséquences.. Bref, > quelque chose qui dise "Vous devez agir même si ce n'est pas par > altruisme." > > Pour l'instant, ça a l'air d'être l'inverse: il est plus confortable > de ne pas prendre de mesures. Sinon, on en prendrait.. > > Rémi. > Merci Rémi pour ces commentaires --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
