Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Les plans d’Orange pour « nettoyer » le trafic Internet, avec l’aide de l’ANSSI

Les cyberpompiers à la rescousse

Les plans d'Orange pour « nettoyer » le trafic Internet, avec l'aide de l'ANSSI

Le 10 novembre 2017 à 14h10

Orange veut aider les clients qui hébergent des appareils participant à des botnets à se désinfecter. Il compte aussi « nettoyer » le trafic entrant d'entreprises avant qu'il ne les atteigne. Ces deux projets seraient contraires à la loi CNIL et à la neutralité du Net. L'opérateur historique demande donc l'aide de l'ANSSI pour revoir le cadre légal.

Doit-on revoir la neutralité du Net pour que les opérateurs protègent Internet des cyberattaques ? C'est la question que posait Guillaume Poupard, le directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), aux dernières Assises de la sécurité à Monaco, le mois dernier.

L'agence compte lancer le débat dans les prochains mois, en premier lieu avec les opérateurs, qui pourraient bloquer les attaques informatiques dirigées depuis et vers leurs réseaux. L'idée n'est d'ailleurs pas née à l'ANSSI. Elle a été soufflée par Orange, qui se heurte à des obstacles légaux dans ses projets de protection de ses clients.

Dans un entretien, le président d'Orange Cyberdefense, Michel Van Den Berghe, nous détaille les plans de l'entreprise. D'un côté, l'opérateur souhaite prévenir les clients dont les équipements participent à une attaque. De l'autre, il prépare Cyberfiltre, un système de « lessiveuses » en cœur de réseau filtrant le trafic pour les entreprises souscrivant à une option spécifique. Sans jamais scruter le contenu, promet le groupe.

« Aujourd'hui, une mairie vous garantit que l'eau du robinet est potable. Vous ajoutez ensuite vous-mêmes un adoucisseur si vous voulez qu'elle soit douce. C'est la première démarche que nous voulons assurer chez Orange » nous déclare Van Den Berghe. Problème : la législation sur les données personnelles et la neutralité du Net empêcheraient l'opérateur d'avancer sur le sujet, malgré certaines portes déjà grandes ouvertes.

L'impossibilité technique de surveiller tout le trafic

Le cas le plus commun est l'attaque par déni de service distribué (DDoS), où de nombreuses connexions saturent un site ou un service particulier, en l'inondant de requêtes. Depuis un an, le phénomène a gagné en ampleur avec l'exploitation de centaines de milliers d'objets connectés mal sécurisés, comme des caméras IP ou des routeurs, via des botnets comme Mirai. Tous ces équipements « zombies » sont pilotés par un serveur de contrôle, les dirigeant vers la cible.

Aujourd'hui, Orange est capable de détecter des « signaux faibles » suggérant la préparation d'une attaque DDoS. À cet effet, des sondes sont installées sur son réseau, signalant des flux inhabituels. « Nous avons même mis des leurres, qui sont réveillés par le pirate en même temps que les zombies. Nous arrivons parfois à connaître l'adresse IP visée et à prévenir nos clients qu'ils seront attaqués » avance le patron d'Orange Cyberdefense.

Par contre, un opérateur de cette taille ne pourrait pas scruter tout son réseau. Un outil communément utilisé est NetFlow, un système d'analyse des métadonnées du trafic (protocole, adresses IP, ports...). Il permet de repérer certains comportements, comme la connexion de nombreux clients à un même serveur, et de les catégoriser.

« Sur des réseaux d'opérateurs, analyser tous les flux NetFlow est simplement hors de portée. On identifie plutôt des flux massifs, avec un échantillonnage d'un pour mille ou d'un pour plusieurs milliers » nous détaille un responsable de la sécurité d'Orange. Un phénomène plus restreint peut passer entre les mailles du filet.

Son expérience est rejointe par celle de Raphaël Maunier, cofondateur d'Acorus Networks, start-up spécialisée dans la protection DDoS. « Seuls quelques groupes savent vraiment ce qui se passe, sur des zones bien spécifiques de leur réseau » affirme-t-il.

Automatiser la réponse à incident

Actuellement, Orange est en mesure de prévenir une cible qu'elle sera attaquée. Voire de la protéger dans certains cas. Cette protection passe par « de grosses machines à laver », situées dans trois centres, qui seraient capables de bloquer jusqu'à 2 Tb/s.

Pour les commander, Orange Cyberdefense dispose de deux « centres opérationnels », dits CyberSOC, dont l'européen est situé à Rennes depuis octobre 2016, l'autre aux Etats-Unis. C'est là que sont gérées la détection et la réponse à incident. « On essaie via un CyberSOC d'automatiser cette réponse à incident. On préfère réveiller les sondes de nettoyage pour rien que de le faire une demi-heure trop tard. »

Michel Van Den Berghe, PDG d'Orange Cyberdefense - Crédits :  Orange

Prévenir les clients qu'ils contribuent à des attaques

Désormais, Orange Cyberdefense ne veut plus seulement protéger la victime, mais signaler à un internaute qu'un de ses appareils participe à des attaques, pour qu'il se désinfecte... et ainsi réduire l'ampleur des menaces.

« En cas d'inondation, on ajoute des quantités de sacs de sable, de plus en plus haut. Ce que nous voudrions, c'est éviter la crue, donc qu'il y ait de moins en moins d'appareils zombies, en prévenant nos propres clients qu'ils en hébergent » nous déclare Michel Van Den Berghe. Avec la multiplication des objets connectés, un particulier peut de plus en plus facilement contribuer à un réseau de zombies, sans le savoir.

Techniquement, Orange détecte bien les adresses IP fautives, mais ne pourrait pas encore associer cette adresse au client. « On n'a pas le droit de lui dire. Le fait qu'il soit infecté par un virus est une donnée personnelle, et la CNIL nous l'interdit » prétend le groupe.

À terme, l'objectif est d'associer une adresse IP suspecte à un client puis de le contacter, automatiquement ou manuellement. Il sera enfin dirigé vers Antidote, un outil de désinfection en cours de conception chez Orange, qui compte le proposer sur son site.

« Prévenir une entreprise qu'elle se fait prendre un réseau de caméras, en lui donnant les moyens de réagir, nous permettrait de lutter efficacement... plutôt que de faire de la remédiation systématique » pointe l'entreprise.

Mais d'abord, une forêt légale à défricher

Malheureusement pour Orange, la jurisprudence Hadopi et ses prémices risquent d'entraver ses plans. Il est interdit aux structures privées, ici des ayants droit, d'à la fois identifier les adresses IP et de les lier à un internaute. Cette dernière mission a donc été confiée à la haute autorité, compétente pour adresser les lettres d'avertissement.

Orange pense donc revoir la loi avec l'ANSSI, et la CNIL si nécessaire... D'autant qu'un tel système de prévention nécessiterait possiblement une autorisation après avis de la commission, non une simple déclaration.

Aujourd'hui, l'identification d'un internaute au système vulnérable et son avertissement seraient des prérogatives de l'ANSSI, obtenues à l'occasion de la loi de Programmation militaire (LPM) de 2013  qui a mis à jour l'article L. 2321 - 3 du Code de la défense. Ce mécanisme est déjà mis en œuvre, mais Orange aimerait bien s'atteler elle-même au contact des clients.

Pourtant, l'article L32-3 du Code des postes et des communications électroniques ne fait pas « obstacle au traitement automatisé d'analyse, à des fins d'affichage, de tri ou d'acheminement des correspondances, ou de détection de contenus non sollicités ou de programmes informatiques malveillants, du contenu de la correspondance en ligne, de l'identité des correspondants ». Autrement dit, l'opérateur peut identifier un internaute pour protéger son réseau.

Il reste que la participation à une attaque DDoS peut constituer une infraction pénale. Si un internaute a été prévenu mais ne se désinfecte pas, sa responsabilité ne pourrait-elle pas être engagée ? Orange prévoit-elle des sanctions contre ses abonnés indélicats, voire de transmettre ses coordonnées aux autorités ? Rien de tout cela pour le moment, assure Michel Van Den Berghe. Il compte déjà déblayer le terrain légal pour prévenir ses clients, ne sachant pas exactement quel texte revoir.

Cyberfiltre, pour nettoyer le trafic avant d'atteindre le client

Ce n'est pas la seule solution envisagée. L'opérateur historique compte bientôt proposer de nettoyer le trafic Internet des clients TPE et PME, qui auront souscrit à une option dédiée. Présenté au Show Hello d'avril, l'offre Cyberfiltre intégrera un pare-feu, un antivirus, un anti-rançongiciels, une protection contre les attaques persistantes (APT) et contre les intrusions (via IDS et IPS). L'idée : empêcher les contenus indésirables les plus facilement détectables de passer.

Tout doit se passer au sein du réseau de l'opérateur, via du matériel dédié, avant que le moindre octet n'atteigne la Livebox Pro du client. « On utilise des technologies du marché. L'objectif est d'installer de gros équipements de cybersécurité chez nous, plutôt que de demander à chacun de nos clients de l'installer de son côté » résume encore le PDG de la branche cybersécurité d'Orange.

Ce type de produit clés-en-main est réclamé par l'ANSSI et le secrétaire d'État au numérique, Mounir Mahjoubi, qui y voient une solution pour sécuriser les petites entreprises. À cause de l'installation des (lourds) équipements nécessaires sur son réseau, Orange a repoussé la mise en place de son Cyberfiltre du premier trimestre à la mi-2018. Si le succès est au rendez-vous, il pourrait être étendu aux particuliers le désirant.

Respecter la neutralité du Net, éviter l'analyse du contenu

Dans l'esprit de l'opérateur, cette offre de nettoyage du trafic se heurte à un accroc : la neutralité du Net. Adopté fin 2015 dans l'Union européenne, le principe de non-discrimination des contenus permet mais limite un tel filtrage du réseau. Il consent à une gestion raisonnable du trafic « transparente, non-discriminatoire et proportionnée » fondée sur des critères objectifs. 

L'article 3 du règlement autorise ainsi de filtrer le trafic pour « préserver l’intégrité et la sûreté du réseau, des services fournis par l’intermédiaire de ce réseau et des équipements terminaux des utilisateurs finals ». Exactement ce qu'envisage Orange.

Pourtant, l'opérateur le pense, « Il y a un problème légal, la neutralité du Net. C'est là qu'on travaille avec Guillaume Poupard pour modifier un peu la loi, pour mettre chez nous une grosse solution » de filtrage, activée à la demande de chaque client. Ici, l'ANSSI a clairement évoqué la piste d'une nouvelle loi. Orange attend une sécurité juridique avant de poser le moindre équipement.

Pour trier le bon grain de l'ivraie, le règlement européen exclut explicitement l'analyse du contenu par l'opérateur dans ce cadre. Pour le respecter, « nous devrons démontrer que ce n'est pas parce qu'on nettoie qu'on regarde » le contenu, avance Van Den Berghe. L'entreprise le martèle : elle n'a ni le besoin ni l'envie de regarder le contenu, les métadonnées des paquets lui suffisant.

Le contenant du message, déjà un risque en termes de vie privée

Elle compte donc « utiliser des solutions qui garantissent qu'on reste au niveau légal dans le cadre de la neutralité du Net, qu'on n'analyse que des flux et pas les données. Toutes les solutions que nous mettrons en œuvre seront dans cette déontologie ». Il reste donc à s'assurer d'une compatibilité avec la neutralité, quitte à la modifier à la marge si besoin.

Pourtant, la CNIL pourrait aussi avoir son mot à dire. Le Conseil constitutionnel a établi que l'analyse des données de connexion peut être aussi invasive que celle du contenu. Orange ne semble pas encore sûre des implications de son système sur ce terrain, s'inquiétant avant tout de la neutralité du Net.

Dans tous les cas, l'inspection de paquets, par exemple via le DPI, est officiellement hors de question. Ce serait même une gageure technique et financière. « Faire du DPI et savoir tout ce qui se passe sur le réseau d'un opérateur tel qu'Orange, Bouygues ou SFR, c'est ingérable » tranche Raphaël Maunier d'Acorus Networks.

Et via les box ?

En fait, Orange pourrait s'éviter bien des maux de crâne sur la neutralité du Net et la CNIL, en effectuant le filtrage chez le client. C'était le concept de départ de Cyberfiltre, un boitier à connecter en Ethernet à la box.

Selon Raphaël Maunier d'Acorus Networks, des cartes intégrables aux boitiers peuvent bien bloquer une partie des attaques, au prix d'un effort de conception d'instructions spécifiques (type DPDK). Tout peut donc être déporté sur le réseau local de l'entreprise.


Repose en paix petit boitier parti trop tôt

Le groupe s'est pourtant ravisé depuis. La logistique et la maintenance à distance de ces appareils ont refroidi ses ardeurs. D'autant qu'il connaîtrait déjà quelques déconvenues. « À nos clients qui ont pris l'option sécurité, nous leur donnons la possibilité de télécharger un antivirus. Ils ne le font pas tous et personne ne le met à jour » regrette Michel Van Der Berghe.

Il se concentre donc sur son cœur de réseau, recentrant son argumentaire sur la sécurité de sa propre infrastructure. Il déclare aussi anticiper la virtualisation des box clients, qui ne seraient plus présentes physiquement chez l'abonné.

Orange ne nous a pas livré le détail des éventuelles modifications qu'il souhaite. Le débat actuel n'en est pas encore là, mais au principe même d'autoriser le groupe à identifier des clients et de filtrer leur trafic pour des raisons de sécurité (et de différenciation commerciale). L'opérateur historique n'aurait évoqué la question qu'avec l'ANSSI. L'autorité des télécoms (l'Arcep) et les autres opérateurs ne seraient pas encore concernés.

Contactés Bouygues Telecom et SFR n'ont pas répondu à nos sollicitations. L'ANSSI et Free n'avaient pas de commentaire à fournir sur le sujet.

Commentaires (48)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

« « Aujourd’hui, une mairie vous garantit que l’eau du robinet est potable. Vous ajoutez ensuite vous-mêmes un adoucisseur si vous voulez qu’elle soit douce. C’est la première démarche que nous voulons assurer chez Orange » nous déclare Van Den Berghe.  » (article Next inpact)



Orange qui s’identifie à Véolia Environnement et Suez Environnement maintenant…

&nbsp;Bientôt l’assurance anti-faille sur le réseau local ?&nbsp;&nbsp;<img data-src=" />

votre avatar

Avant de faire du “nettoyage de réseau” si les paramètres par défaut des box n’étaient pas “passoire”, y’aurait moins de trucs à nettoyer…

votre avatar

<img data-src=" />Article très intéressant, merci

votre avatar







vince120 a écrit :



Avant de faire du “nettoyage de réseau” si les paramètres par défaut des box n’étaient pas “passoire”, y’aurait moins de trucs à nettoyer…



Les installations d’un max de merdes sur les PC des gens ne proviennent à 99,99% pas des prises de contrôle à travers les box, hein.


votre avatar







Patch a écrit :



Les installations d’un max de merdes sur les PC des gens ne proviennent à 99,99% pas des prises de contrôle à travers les box, hein.





Ca n’empeche pas de desactiver par defaut cette saloperie qu’est upnp


votre avatar







Carpette a écrit :



Ca n’empeche pas de desactiver par defaut cette saloperie qu’est upnp



Je n’ai (a priori) pas de problème avec upnp où un truc que je ne voudrais pas ouvrirait un port sur mes machines. Mais je regarde aussi ce que j’installe, et j’essaie d’éviter d’aller sur des sites louches, ca aide pas mal…


votre avatar







Carpette a écrit :



Ca n’empeche pas de desactiver par defaut cette saloperie qu’est upnp





UPNP va faire ouvrir des ports entrant pour attaquer ton PC sur ton routeur, mais si tu es déjà infecté le virus peut déjà communiquer avec l’extérieur alors ça ne change pas grand chose…



Même en cas de zombie, il s’agit de poste infectés qui font des connexions sortantes, donc si ce n’est pas bloqué par le pare-feu du poste, ça sortira sur le réseau, UPNP ou non.&nbsp;



Plus intéressant dans le cas d’une entreprise, où pouvoir attaquer tous les équipements internes depuis l’extérieur est avantageux, mais en entreprise, tu es censé désactiver UPNP quand tu paramètres tes équipements.

&nbsp;


votre avatar







Ramaloke a écrit :



UPNP va faire ouvrir des ports entrant pour attaquer ton PC sur ton routeur, mais si tu es déjà infecté le virus peut déjà communiquer avec l’extérieur alors ça ne change pas grand chose…



Même en cas de zombie, il s’agit de poste infectés qui font des connexions sortantes, donc si ce n’est pas bloqué par le pare-feu du poste, ça sortira sur le réseau, UPNP ou non.&nbsp;



Plus intéressant dans le cas d’une entreprise, où pouvoir attaquer tous les équipements internes depuis l’extérieur est avantageux, mais en entreprise, tu es censé désactiver UPNP quand tu paramètres tes équipements.

&nbsp;





Effectivement je connais bien le probleme mais ca t’evite au moins d’etre C&C


votre avatar

Pas mieux. Passage par les vecteurs de pubs, flash, java, IE et j’en passe.

votre avatar







Carpette a écrit :



Effectivement je connais bien le probleme mais ca t’evite au moins d’etre C&C





Certes, mais je doute que beaucoup de victime soit C&C, ça se verrait beaucoup trop rapidement au niveau opérateur et pas top en cas d’analyse par un anti-virus suite à MAJ pour les attaquants.


votre avatar







vince120 a écrit :



Avant de faire du “nettoyage de réseau” si les paramètres par défaut des box n’étaient pas “passoire”, y’aurait moins de trucs à nettoyer…





En quoi les box sont des “passoires” ?

(à part qu’elles sont là pour router du trafic entre le reste de l’Internet et ta machine)



J’ai connu l’époque où le modem ADSL n’avait pas d’IP propre et où c’était l’ordinateur qui gérait ça en PPPoE et avait directement l’IP publique ; du coup quand les box ont changé ça, j’ai configuré la mienne pour que ça soit comme avant : tout ce qui arrive sur l’IP de la box est “routé” (NAT) vers mon ordinateur, j’ai mis une “grosse” règle avec tous les ports sauf ceux pris par la box, au lieu de ne mettre que le SSH (je suis sous Linux depuis 1998), ça me simplifie la vie quand j’utilise d’autres ports/démons.


votre avatar

Je trouve que le problème de l’UPNP est surtout avec les objets connectés. Par exemple, beaucoup de caméras chinoises sont configurées avec de l’UPNP pour les rendre accessibles de l’extérieur.

J’ai un ami qui n’y connait rien en réseau, il a installé une caméra pour “bébé”, et bien le truc était accessible depuis l’extérieur car sa BBOX avait ouvert tous les ports qu’il faut grâce à l’UPNP.

C’est pas top quand même.

votre avatar







Cronycs a écrit :



Je trouve que le problème de l’UPNP est surtout avec les objets connectés. Par exemple, beaucoup de caméras chinoises sont configurées avec de l’UPNP pour les rendre accessibles de l’extérieur.

J’ai un ami qui n’y connait rien en réseau, il a installé une caméra pour “bébé”, et bien le truc était accessible depuis l’extérieur car sa BBOX avait ouvert tous les ports qu’il faut grâce à l’UPNP.

C’est pas top quand même.





Là-dessus je suis d’accord, mais le problème est-il UPNP dans ce cas ? Une option dans l’interface de la caméra pour activer/désactiver l’accès depuis l’extérieur aurait été plus pertinente.&nbsp;



UPNP reste quand même super utile dans un LAN pour le P2P entre autres et ne pas avoir à reconfigurer des nouveaux ports dès que tu veux installer quelque chose en mode serveur, dans le cas d’un particulier s’entend.



Si un virus utilise UPNP pour se rendre accessible depuis l’extérieur, tu es déjà infecté donc le mal est déjà&nbsp; fait.&nbsp;


votre avatar







Patch a écrit :



C’est bien ce que je pensais : c’était juste pour dire une connerie… <img data-src=" />





D’un côté il n’a pas totalement tort (même si ses exemples sont pas terribles, en tout cas sans explications).

En caricaturant un peu, ton propos est “je fais attention, donc tel mécanisme peu sécurisé ne me pose pas problème”. C’est probablement vrai en pratique dans 99% des situations, mais personnellement en plus de faire attention, je suis bien content de me dire que si je me fais piéger c’est pas totalement open bar pour le pirate.



Aussi, je préfère que les gens qui connaissent rien et ne font pas attention aient un paramétrage par défaut qui rend aussi difficile que possible d’exploiter leur PC-zombie. L’upnp ne va pas dans ce sens.

(c’est là qu’on peut faire un parallèle avec le j’ai rien à cacher. Certes moi j’ai pas l’impression d’avoir besoin de cette protection, mais je veux qu’elle soit là pour tous ceux qui en ont besoin, et pour le jour futur ou je pourrais en avoir besoin).



Mais comme l’on dit d’autre, le compromis entre sécurité et facilité d’utilisation et toujours très délicat…


votre avatar







count0 a écrit :



heu non je ne suis pas du tout d’accord avec ta méthode (celle de rediriger tous les ports de ta box sur ta machine). C’est prendre trop de risques inutiles. A chaque mise à jour de tes programmes ou de ton système, un nouveau service à l’écoute peut apparaitre.





Je suis sous Linux hein, pas sous Windows. <img data-src=" />

Ton hypothèse est hautement fantaisiste, je ne connais aucun cas de ce genre (et ça fait 20 ans quasiment).



Il y a des services en écoute sur ma machine, mais hormis SSH (et parfois FTP) ils sont en écoute en local évidemment.







count0 a écrit :



Comment fais-tu pour permettre à tes autres appareils d’accéder au net ? Ta machine fait le routage ?





Non, ils sont branchés sur la box, tout simplement (filaire pour le HTPC, Wifi pour les autres, mobiles et ordinateurs portables).







count0 a écrit :



Pour terminer cela ajoute aussi du trafic sur ton réseau local. Par exemple tous les scans de ports que tu vas subir depuis le net arrivent sur ta machine…





Oui c’est certain, mais peu importe. S’il y a des scans de port qui tombent sur ma machine, c’est invisible pour moi ou pour la charge de l’ordinateur (sauf si un jour c’est en mode DoS, mais c’est très rare pour un individu lambda). Tout ce qu’il verront, c’est un mélange de ce que la box montre, et côté PC des ports 21 (FTP), 22 et 443 (SSH) qui ont un processus en écoute derrière.



D’ailleurs je me tape des tentatives de connexion sur mon SSH, si je ne mets pas de “fail2ban” j’ai quelques Mo de logs (dans /var/log/auth.log) en quelques jours.


votre avatar

“Les installations d’un max de merdes sur les PC des gens ne proviennent à

99,99% pas des prises de contrôle à travers les box, hein.”

Entièrement d’accord, pour en rajouter une couche quand on lit que ils veulent pousser les “ botnets à se désinfecter” j’ai l’impression qu’il demandent a Windows de se supprimer (ce qui ne serait pas un mal).

votre avatar







Ramaloke a écrit :



Là-dessus je suis d’accord, mais le problème est-il UPNP dans ce cas ? Une option dans l’interface de la caméra pour activer/désactiver l’accès depuis l’extérieur aurait été plus pertinente.&nbsp;



UPNP reste quand même super utile dans un LAN pour le P2P entre autres et ne pas avoir à reconfigurer des nouveaux ports dès que tu veux installer quelque chose en mode serveur, dans le cas d’un particulier s’entend.



Si un virus utilise UPNP pour se rendre accessible depuis l’extérieur, tu es déjà infecté donc le mal est déjà&nbsp; fait.&nbsp;





C’est sûr qu’idéalement il faudrait que la caméra n’active pas l’UPNP par défaut… Mais bon, dans le monde tel qu’il est et vu que la majorité des personnes ne sont pas techniques pour un sous. Je serai plutôt d’avis que l’UPNP ne soit pas activé par défaut sur les Box.


votre avatar

En entreprise il n’y a pas besoin de désactiver l’UPnP puisque c’est désactivé par défaut sur les équipements réseau professionnels, quand ce n’est tout simplement pas implémenté.

Les points d’entrée les plus critiques en entreprise sont le mail (pièces jointes ouvertes par les utilisateurs) et l’utilisation de supports de stockages personnels (clé/disque USB). Dans les deux cas, le problème se situe entre la chaise et le clavier.

votre avatar







piwi82 a écrit :



En entreprise il n’y a pas besoin de désactiver l’UPnP puisque c’est désactivé par défaut sur les équipements réseau professionnels, quand ce n’est tout simplement pas implémenté.

Les points d’entrée les plus critiques en entreprise sont le mail (pièces jointes ouvertes par les utilisateurs) et l’utilisation de supports de stockages personnels (clé/disque USB). Dans les deux cas, le problème se situe entre la chaise et le clavier.





Même sur les livebox pro pour les TPE/PME ? Quand je parle entreprise, je parle PME avec routeur opérateurs, forcément si tu pars au dessus avec des entreprises qui ont du HP / Cisco / Alcatel, j’espère bien qu’il n’y a pas d’UPNP :p


votre avatar







Cronycs a écrit :



C’est sûr qu’idéalement il faudrait que la caméra n’active pas l’UPNP par défaut… Mais bon, dans le monde tel qu’il est et vu que la majorité des personnes ne sont pas techniques pour un sous. Je serai plutôt d’avis que l’UPNP ne soit pas activé par défaut sur les Box.





C’est justement parce que les gens ne sont pas technique que l’UPNP est utile !

Le P2P ne se développeraient pas autant si il fallait que tous les gens qui l’utilise aillent configurer des redirections de port sur leur box. (tant bien même ils devraient y aller, ne serait-ce que pour changer le mot de passe)


votre avatar

Je ne connais pas les textes, mais dans le principe, je ne vois pas la contradiction avec la neutralité du net.

Quelque part, je paie 3 prestataires :




  • Orange 1, qui assure le trafic d’internet vers Orange 2

  • Orange 2 qui assure un service de filtrage

  • Orange 3 qui assure le trafic d’Orange 2 jusqu’à chez moi



    Orange 1 et 3 sont des FAI, et devraient être soumis aux règles de neutralité du net. Orange 2 ne joue pas un rôle de FAI mais est un tiers à qui je délègue un traitement particulier sur mes flux internet. Je trouve logique qu’il ne soit pas soumis à la neutralité du net.

    Le fait que tout soit fournit dans le cadre d’un service intégré n’est qu’une facilité de gestion.

votre avatar

En fait, le droit actuel semble déjà permettre tout ce que veut faire Orange. Ce dernier joue soit d’excès de prudence, soit d’une volonté de réviser le cadre actuel.



L’article a été mis à jour pour intégrer certaines remarques, en citant mieux ce que permet la loi à un opérateur sur l’identification des internautes et le filtrage, pour la sécurité de son réseau ou des clients eux-mêmes.

votre avatar

En effet, l’installation d’un pare-feu intelligent à la box pourrait permettre de ne pas avoir à faire de lien entre l’IP et la personne qui se trouve derrière.



Après tout, l’essentiel des box dispose d’un affichage, avec un écran intégré. Pour les autres, il y a encore le téléviseur, dont est encore équipé l’essentiel des ménages, ou encore le téléphone, que la box pourrait faire sonner avec un message préenregistré, invitant le cas échéant à entrer en contact avec l’opérateur télécoms.



Ceci dit, j’ai du mal à voir l’illégalité de la démarche, déjà très répandue. OVH communique régulièrement sur les protections anti-attaques de son réseau, et l’hébergeur est prompt à bloquer tout serveur suspecté de comportement malveillant. Par ailleurs, par défaut, Orange bloque le port SMTP, ce qui pourrait être en soi considéré comme une atteinte à la neutralité du Net, sans même parler des filtres anti-spam qui s’immiscient dans la correspondance privée.



Autant le DPI est douteux, autant une box qui réclame la liste des principales cibles d’attaques pour mettre à jour son pare-feu afin de limiter les requêtes sortantes et alerter le client ne semble pas réclamer des analyses profondes ou des atteintes particulières à la neutralité du Net, à la vie privée, ou à quoi que ce soit.



Mais bon… je ne suis ni spécialiste réseau, ni juriste…

votre avatar







OlivierJ a écrit :



En quoi les box sont des “passoires” ?

(à part qu’elles sont là pour router du trafic entre le reste de l’Internet et ta machine)



J’ai connu l’époque où le modem ADSL n’avait pas d’IP propre et où c’était l’ordinateur qui gérait ça en PPPoE et avait directement l’IP publique ; du coup quand les box ont changé ça, j’ai configuré la mienne pour que ça soit comme avant : tout ce qui arrive sur l’IP de la box est “routé” (NAT) vers mon ordinateur, j’ai mis une “grosse” règle avec tous les ports sauf ceux pris par la box, au lieu de ne mettre que le SSH (je suis sous Linux depuis 1998), ça me simplifie la vie quand j’utilise d’autres ports/démons.





Les box ont l’upnp actif par défaut (entre autres choses) pour “faciliter la vie”, la contrepartie c’est qu’un iot non sécurisé peut ouvrir tout ce qu’il veut sans intervention/avertissement de l’utilisateur…



La configuration d’un firewall “propre” ou une DMZ avec les règles de routages qui vont bien est une exception chez les gens qui ont pris la peine d’aller modifier la configuration par défaut de la box…


votre avatar

Orange anticipe la prochaine attaque nommée “IoTroop” ?

votre avatar

Oui, l’UPnP est activé par défaut sur une Livebox “Pro”.

D’ailleurs, cette box est identique à une Livebox pour les particuliers, il y a juste du VPN IPSec en plus (et elle est noire ). Sinon ça reste la même bouse immonde.

votre avatar







vince120 a écrit :



Les box ont l’upnp actif par défaut (entre autres choses) pour “faciliter la vie”, la contrepartie c’est qu’un iot non sécurisé peut ouvrir tout ce qu’il veut sans intervention/avertissement de l’utilisateur…





Il est sûr que c’est pratique quand c’est bien utilisé (perso je n’en ai pas besoin vu ce que j’ai raconté).



Mais si les ports sont ouverts, il n’y a de problème que si ça redirige des ports vers des “démons”/programmes non protégés sur le poste final. En l’occurrence, que ma machine Linux soit ouverte sur l’extérieur n’entraîne aucune conséquence fâcheuse, car je n’ai pas de MySQL avec admin/admin ou de serveur FTP (ou autre) avec mots de passe triviaux.

C’est pas plutôt un souci du fait que les gens ont du Windows la plupart du temps ?


votre avatar

OVH fait déjà du filtrage en amont via le VAC, Orange pourrait mettre en place ce genre d’infra pour les pro qui le veulent.ovh.com OVH&nbsp;

En ce qui est l’information du client attaquant, Orange va faire quoi ? Venir nettoyer l’ordi de M. Michu qui n’aura rien compris et qui finira par à nouveau avoir des problèmes car son utilisation ne changera pas… (et qui finira par changer d’opérateur si Orange fait chier) ?



Je me souviens du kit antivirus Orange & contrôle parental : le meilleur moyen pour avoir un ordi inutilisable de pars sa lenteur, au moins l’utilisateur ne peut plus faire d’âneries <img data-src=" />

votre avatar

“la neutralité du Net empêcheraient l’opérateur d’avancer sur le sujet”



Le blocage par défaut du port 25, sans possibilité de le débloquer par le client, n’a pas bénéficié de cette pudeur !

votre avatar

Super article <img data-src=" />. Vraiment très intéressant.

votre avatar







OlivierJ a écrit :



Il est sûr que c’est pratique quand c’est bien utilisé (perso je n’en ai pas besoin vu ce que j’ai raconté).



Mais si les ports sont ouverts, il n’y a de problème que si ça redirige des ports vers des “démons”/programmes non protégés sur le poste final. En l’occurrence, que ma machine Linux soit ouverte sur l’extérieur n’entraîne aucune conséquence fâcheuse, car je n’ai pas de MySQL avec admin/admin ou de serveur FTP (ou autre) avec mots de passe triviaux.

C’est pas plutôt un souci du fait que les gens ont du Windows la plupart du temps ?





&nbsp;heu non je ne suis pas du tout d’accord avec ta méthode (celle de rediriger tous les ports de ta box sur ta machine). C’est prendre trop de risques inutiles. A chaque mise à jour de tes programmes ou de ton système, un nouveau service à l’écoute peut apparaitre. Tu n’en auras pas forcément la connaissance car qui lit tous les changelog des mises à jour… Potentiellement des failles de sécu peuvent exister ou pourront exister sur ce service.



&nbsp;Si tu n’en as pas besoin il est inutile d’exposer un service sur le net même avec le meilleur mot de passe du monde. Même des services comme FTP très surveillés par les communautés et les éditeurs peuvent connaitre des défaillances.



&nbsp;Dans le cas ou tu veux pouvoir accéder à certains de tes services depuis l’extérieur il est très conseillé de les héberger sur une DMZ pour les isoler de ton réseau…



Comment fais-tu pour permettre à tes autres appareils d’accéder au net ? Ta machine fait le routage ?



Pour terminer cela ajoute aussi du trafic sur ton réseau local. Par exemple tous les scans de ports que tu vas subir depuis le net arrivent sur ta machine…


votre avatar

Je viens juste de penser à un truc : si Orange obtient l’autorisation de filtrer le trafic de manière globale, ils vont pouvoir aussi bloquer le trafic P2P, non ?

votre avatar

D’ailleurs, je me demande si leur pudeur légale et leur volonté de faire modifier la loi ne serait pas plutôt orienté dans ce sens. ils pourraient nettoyer le trafic de tout contenu illégal…

votre avatar

Merci pour l’article, très intéressant



&nbsp;







Patch a écrit :



Je n’ai (a priori) pas de problème avec upnp où un truc que je ne voudrais pas ouvrirait un port sur mes machines. Mais je regarde aussi ce que j’installe, et j’essaie d’éviter d’aller sur des sites louches, ca aide pas mal…





Ouioui… <img data-src=" />

&nbsp;





Ramaloke a écrit :



C’est justement parce que les gens ne sont pas technique que l’UPNP est utile !

Le P2P ne se développeraient pas autant si il fallait que tous les gens qui l’utilise aillent configurer des redirections de port sur leur box. (tant bien même ils devraient y aller, ne serait-ce que pour changer le mot de passe)





De mémoire il y a toujours eu des masses de tutoriel dans les années 2000 pour ouvrir les ports tout FAI confondus pour faire du P2P.

&nbsp;





Sans intérêt a écrit :







Ceci dit, j’ai du mal à voir l’illégalité de la démarche, déjà très répandue. OVH communique régulièrement sur les protections anti-attaques de son réseau, et l’hébergeur est prompt à bloquer tout serveur suspecté de comportement malveillant. Par ailleurs, par défaut, Orange bloque le port SMTP, ce qui pourrait être en soi considéré comme une atteinte à la neutralité du Net, sans même parler des filtres anti-spam qui s’immiscient dans la correspondance privée.



Autant le DPI est douteux, autant une box qui réclame la liste des principales cibles d’attaques pour mettre à jour son pare-feu afin de limiter les requêtes sortantes et alerter le client ne semble pas réclamer des analyses profondes ou des atteintes particulières à la neutralité du Net, à la vie privée, ou à quoi que ce soit.



Mais bon… je ne suis ni spécialiste réseau, ni juriste…





Orange à envoyé un signal clair depuis le début avec ses bridages et limitations, le prix en plus si tu n’as toujours pas compris.

&nbsp;

Oui ça m’a toujours surpris, il faudrait réanalyser les CGU d’OVH, ça pourrait être croustillant.

<img data-src=" />

Tiens aussi les petit côtés:

&nbsp;tu utilises 100% de ce que l’on t’a vendu &gt; on te coupe

25 Go gratuits, limités à 10Mo/s &gt; on se revoit dans 1an



fierté nationale ok, mais à force de conneries de ce genre ils se font une mauvaise réputation.


votre avatar







Xanatos a écrit :



Ouioui… <img data-src=" />



Tu peux développer? Ou c’était juste pour dire une connerie?


votre avatar







Xanatos a écrit :



De mémoire il y a toujours eu des masses de tutoriel dans les années 2000 pour ouvrir les ports tout FAI confondus pour faire du P2P.





<img data-src=" /> +1. Je confirme. Si tous les gens deviennent des “idiots” c’est pour beaucoup parce qu’on essaye de leur faire croire qu’il n’est pas plus compliqué d’utiliser un pc qu’un grille pain en développant des solutions de simplification comme l’upnp.

Après faut pas s’étonner que les gens ne soient pas très “réceptifs” à la sécurité. <img data-src=" />


votre avatar







choukky a écrit :



<img data-src=" /> +1. Je confirme. Si tous les gens deviennent des “idiots” c’est pour beaucoup parce qu’on essaye de leur faire croire qu’il n’est pas plus compliqué d’utiliser un pc qu’un grille pain en développant des solutions de simplification comme l’upnp.

Après faut pas s’étonner que les gens ne soient pas très “réceptifs” à la sécurité. <img data-src=" />





Mouais, c’est plutôt la nature fainéante et la résistance au changement de l’homme en général qui veut ça.&nbsp; Même certains prof de fac ou de lycée qui font le 3P2I sont des tanches qui racontent n’importe quoi, alors à partir de là le raccourci est facile.



Mieux vaut un UPNP que quelqu’un qui va mettre son routeur en mode bridge et exposer tous ses services sur le net.&nbsp; Tant bien même l’UPNP à la base ne devrait pas exister je suis d’accord, les solutions à exposer sur le net n’étant pas non plus super courante.


votre avatar

Je ne vois pas en quoi filtrer le réseau (niveau 3 OSI) coté opérateur va limiter les menaces applicatives (niveau 7 OSI) coté entreprise, qui plus est quand en 2017 tout le trafic web est en https et que la majorité des virus proviennent de PJ courriels ou de clés USB…

Autant pour le DDOS ça peut ce défendre, autant pour le coté virus c’est un peu n’importe quoi et ça ressemble pas mal aux arguments “chocs” anti terroriste/pédophile/nazi du gouvernements pour faire passer des lois liberticides.

La neutralité du net n’est pas négociable, peu importe la menace, point final.

votre avatar

Nonon… <img data-src=" />



&nbsp;Juste tiqué sur cette phrase :

&nbsp;







Patch a écrit :



Mais je regarde aussi ce que j’installe, et j’essaie d’éviter d’aller sur des sites louches, ca aide pas mal…





C’est exactement du même acabit que dire:

les gens honnêtes n’ont rien à cacher

je ne vais pas sur des sites louches je n’ai pas besoin d’antivirus

il faut plus de sécurité contre les crypto/pedo/terro/nazi

etc.



Le soucis c’est que même avec un comportement averti, on est plus à l’abri, rayer les mentions inutiles:

binaires de sites sources infectés

librairies infectées

programmes bourrées de failles comme portes d’entrée (flash, java)

dns menteurs

phishing

appli smartphones vérolées

IoT

etc.



A venir:

dépôts distro infectés

MAJ windows backdorées détournées

NAT FAI infectés

etc.



youpi ! <img data-src=" />

&nbsp;


votre avatar

C’est exactement ce que je voulais écrire. Du moins en tant que particulier.



En tant que responsable d’une grosse entreprise du net, pouvoir repérer et limiter les effets de bot net sur chaque postes clients et autres problèmes apparentés permettrait de bien réduire les attaques vers des sites ou l’envoie de mail non désirables.



Toujours au niveau entreprise, avoir un gros nettoyage avant d’arriver sur le réseau de l’entreprise pourrait limiter l’usage des tuyaux inutilement encombrés d’un trafic illicite. Chez nous on a un peu plus de 50% des mails entrants qui sont nettoyez par nos filtres, mais ils arrivent malgré tout jusqu’aux filtre, le nettoyer, avant, économiserai de la bande passante.



Mais nous sommes là dans un cadre plus professionnel.

votre avatar







Xanatos a écrit :



Nonon… <img data-src=" />



 Juste tiqué sur cette phrase :

 



C’est exactement du même acabit que dire:

les gens honnêtes n’ont rien à cacher

je ne vais pas sur des sites louches je n’ai pas besoin d’antivirus

il faut plus de sécurité contre les crypto/pedo/terro/nazi

etc.



Le soucis c’est que même avec un comportement averti, on est plus à l’abri, rayer les mentions inutiles:

binaires de sites sources infectés

librairies infectées

programmes bourrées de failles comme portes d’entrée (flash, java)

dns menteurs

phishing

appli smartphones vérolées

IoT

etc.



A venir:

dépôts distro infectés

MAJ windows backdorées détournées

NAT FAI infectés

etc.



youpi ! <img data-src=" />



C’est bien ce que je pensais : c’était juste pour dire une connerie… <img data-src=" />


votre avatar

Trolldi en retard, que veux-tu pas eu le temps

Y a pas de karma et puis la perche était belle.

votre avatar







Xanatos a écrit :



Trolldi en retard, que veux-tu pas eu le temps

Y a pas de karma et puis la perche était belle.



…Ou pas. Pour le coup, tu aurais clairement pu t’abstenir…


votre avatar

La clef perso n’est pas un soucis car l’admin bloque les clefs tiers à l’entreprise par défaut ?? (Liste blanche)

votre avatar

C’est pas la mème démarche,

La ils ont des pots a miel qui détectent des activités anormales.



Et ensuite, il identifient les flux identiques sur leur réseau.

Ca ne fonctionnerais pas pour du p2p.

votre avatar







Patch a écrit :



Mais je regarde aussi ce que j’installe, et j’essaie d’éviter d’aller sur des sites louches, ca aide pas mal…





Moi aussi pour le peu que j’utilise windows à la maison&nbsp; mais un problème sur windows m’a fait essayer le CCleaner infecté ( racheté par une boite d’anti-virus) <img data-src=" /> pas de bol

Pour l’instant mon PC de confiance est sous linux, j’espère que cela durera, bien qu’il y ai eu le même épisode sur une iso mint contaminée, ce n’était heureusement pas les dépôts.


votre avatar

On peut aussi définir une liste blanche des ID matériels compatibles. Mais on ne voit malheureusement pas beaucoup d’entreprises appliquer cette sécurité.

La plus répandue est le rejet inconditionnel de tout périphérique amovible.

votre avatar

Très bon article complet et technique, merci !

Les plans d’Orange pour « nettoyer » le trafic Internet, avec l’aide de l’ANSSI

  • L'impossibilité technique de surveiller tout le trafic

  • Automatiser la réponse à incident

  • Prévenir les clients qu'ils contribuent à des attaques

  • Mais d'abord, une forêt légale à défricher

  • Cyberfiltre, pour nettoyer le trafic avant d'atteindre le client

  • Respecter la neutralité du Net, éviter l'analyse du contenu

  • Le contenant du message, déjà un risque en termes de vie privée

  • Et via les box ?

Fermer