>> >> On est d'accord que le spam unitaire ne relève plus de la >> notification, mais quid de l'envoi d'une campagne de 10 000 mails ou >> l'hébergement de pages de phishing ou de contenu pedo pornographique, >> le tout parce que certains bots permettent de jouer le rôle de serveur >> web ? >> > Là je demande des détails (une étude serait bienvenue): > Ce sont les machines de particulier qui font office de serveur Web? > Quand je vois la galère que c'est pour le faire exprès (attribuer un > bail DHCP fixe dans la box, rediriger le port, ne pas éteindre la > machine, prendre un DNS dynamique), l'idée qu'un bot utilise le PC > d'un abonné ADSL pour héberger du pédoporno ou une page de fisching > m'étonne grandement. > Sans parler du débit: on met quoi comme contenu pédoporno sur une > ligne à 1Mb/s? Du texte? Sade est dans le domaine public, inutile de > se fatiguer. > > Sur des hébergements pros, oui peut-être, mais c'est un contexte très > différent des botnets de PC grand public. >
Le botnet Avalanche utilise les machines compromises pour envoyer les spams / jouer le rôle de proxy. Celui-ci est considéré comme l'une des principales plateformes du phishing en 2009 : http://ddanchev.blogspot.com/2010/05/avalanche-botnet-and-troyak-as.html >> On peut aussi évoquer le cas de DDoS lancé par des bots localisés >> essentiellement dans un pays. Je serai étonné que cela ne se termine >> pas par une plainte. >> > > Exemple d'une telle plainte? La justice a du mal à traverser les > frontières sans raison sérieuse. > Oui, c'est un vrai problème, la coopération judiciaire internationale a encore du chemin à faire dans la sphère numérique. >> - Microsoft a fait énormément de choses sur ce thème. Security >> Essential est d'ailleurs un très bon exemple > Le boulot d'un éditeur de logiciels est de répondre à la demande de > ses clients. Mais le rôle de ses clients est aussi de prendre en > compte la sécurité dans leur choix de logiciels. Autrement dit, ce > serait bon que le marché amène Microsoft à faire de la sécurité, et > pas le marketing. Quelque chose comme "Les clients achètent de la > sécurité donc on va en vendre", et pas "On va parler de sécurité pour > être bien vus donc vendre", je suis certain que tout le monde saisit > la nuance. > > Même si Security Essential est effectivement une bonne idée. <digression> Au risque de subir la lapidation, je défend les progrès de Microsoft en matière de sécurité : - Il n'y a aucune société ayant un aussi bon système de patch management - les concepts mis en oeuvre au niveau des derniers systèmes d'exploitation répond à l'état de l'art - leur développement est dorénavant très rigoureux en matière de sécurité (SDL) - Microsoft est le sponsor (et mécenne) de nombreuses organisations de lutte contre la cybercriminalité, ils ne font donc pas que de la communication Mais le sujet de fond n'est pas là... </digression> > >> - Les banques ont fait de gros progrès et essayent d'anticiper les menaces > > Oui, mais d'un autre côté elles tendent à déresponsabiliser > l'utilisateur. Via l'assurance obligatoire dont j'ai parlé plus haut, > et via une approche de la sécurité imposée et non négociable. "Pour > faire ceci vous utilisez un mot de passe, pour faire cela vous > utilisez une carte à clef..". > Ok, et si je voulais remplacer les deux par ma clef GPG? Si le fait de > chercher cette foutue carte à clef me gonfle, alors qu'elle n'est > utile que pour les clients qui se laissent prendre par le phising? > Les banques doivent composer entre fonctionnalité et sécurité, ce n'est pas toujours facile. Et comme toute organisation rationnelle, elles cherchent à proposer une solution viable et utilisable par tous (j'encourage à l'utilisation de GPG mais pas à mes parents...) >> - Les FAI en France sont obligés d'appliquer des choses stupides >> (Hadopi pour ne pas le citer) mais aucune contrainte ou volonté semble >> t'il d'avancer sur ce terrain > > Du côté de Hadopi, justement, ils ne seraient pas contre. J'ai pu > poser la question à Eric Walter lors d'un "chat", et mettre un peu de > sécurité (de la vraie) dans les spécifications du "logiciel de > protection" c'est, semble-t-il, au programme. > Par contre, ils dépendent totalement du législateur pour le reste. > C'est à dire que Hadopi ne peut s'intéresser qu'aux gens qui publient > des contrefaçons depuis chez eux. Et s'il fallait que Hadopi > s'intéresse à ceux qui émettent du spam depuis chez eux, c'est au > législateur de s'en occuper. > Pour l'instant la "sécurité" que pourrait apporter Hadopi ne serait > donc que très indirecte, car ne ciblant que les "pirates". > > Mais oui, une "Hadopi anti-spam", en mieux conçue, ça serait génial. > Au moins, la partie notification des clients en cas d'infection pourrait être celle d'Hapodi... --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
