Connexion
Abonnez-vous

Filtre « anti-arnaques » d’Emmanuel Macron : optionnel pour les internautes, obligatoire pour les FAI

Pour le plus grand bien

Filtre « anti-arnaques » d’Emmanuel Macron : optionnel pour les internautes, obligatoire pour les FAI

Le 23 mars 2022 à 15h44

Dans le volet numérique de son programme, le candidat Emmanuel Macron envisage un dispositif « anti-arnaques ». Le député Éric Bothorel, qui en a fait l’exégèse sur Twitter, est convaincu de la pertinence de cette solution. Interrogés sur le sujet, Stéphane Bortzmeyer et Alexandre Archambault ne cachent pas leur scepticisme.

Sur Twitter, le député LReM a décrit comment fonctionnerait dans les grandes lignes ce mécanisme. Il se baserait sur un DNS public capable d’avertir en amont les internautes qu’ils s’apprêtent à visiter un site malveillant. Il serait toujours possible de passer outre cet avertissement. En somme, un filtrage optionnel, non un blocage.

Un point sur lequel l'élu a insisté dans nos colonnes. Cependant, comme nous allons le voir, cet aspect facultatif ne serait valable que pour les internautes. Les fournisseurs d’accès, eux, n’auraient pas ce loisir.

Éric Bothorel ne veut rien imposer… aux internautes

« Il ne s’agit absolument pas d’imposer, je le redis. C’est un dispositif qui serait facultatif. Ensuite, je veux d’emblée le dire, s'il vise à réduire le volume des attaques de masse, on ne dit pas que les attaques plus ciblées ou sophistiquées sont impossibles. Je ne suis pas dans une forme de naïveté qui fait qu’on serait en train de brandir un outil qu’on aurait découvert la veille », nous indique Éric Bothorel.

L'élu compare avec la situation actuelle : « Qu’est-ce qu’on a aujourd’hui ? Des dispositifs de protection qui existent depuis un moment, comme des antivirus, des services DNS qui peuvent réputer des sites et vous inviter à ne pas y aller, etc. Que fait-on ? On s’inspire des modèles britannique ou belge, c’est-à-dire mettre en commun les signaux d’activités cybercriminelles pour constituer une base commune et publique. Alors oui tout le monde fait des efforts aujourd’hui, mais je suis désespéré de voir que, chaque jour qui passe, des gens vont finir sur un site qui va les extorquer juste en suivant des liens dans leurs emails ».

L'idée du candidat Emmanuel Macron est de faire mieux. « Peut-on faire plus dynamique et réactif ? », s’interroge le député. « Oui, en mobilisant à la fois Cybermalveillance, Cyber Campus, les futurs CERT régionaux, bref en mobilisant tous ceux qui surveillent, supervisent ou autre ».

Ce n'est cependant qu'une partie de l'iceberg, car le système envisagé contraindrait les FAI : « Après une expérimentation volontaire testant la fiabilité de la solution, et une concertation technique avec les fournisseurs d’accès à l’internet (FAI), le déploiement par défaut du mécanisme sera rendu obligatoire pour les FAI ». La messe est dite, le conditionnel devient futur.

Le mécanisme en question serait une infrastructure DNS centralisée. Pour rappel, DNS – pour Domain Name Server – désigne un serveur dont la mission est d'associer une adresse à une adresse IP. Il est un élément de base et donc critique d'Internet.

Éric Bothorel ne voit aucun problème à une telle contrainte : « Ce serait similaire à certains services existants finalement. Pour faire un parallèle, c’est comme quand vous installez une application liée à votre opérateur téléphonique pour filtrer les appels entrants et signaler ceux possiblement malveillants. On voit bien qu’on a avancé sur ce sujet. Donc on se propose d’avoir quelque chose qui ressemblerait à un service public du nom de domaine sécurisé ».

Il y a pourtant une différence flagrante : une démarche personnelle d’un côté, une connexion imposée de l’autre.

Mais que l’on se rassure ! Ce mécanisme ne serait pas piloté par le gouvernement : « Il y aura une autorité indépendante – ne me demandez pas sa nature juridique, on ne sait pas encore – qui contrôlera les critères d’addition ou de radiation de la liste. Ce ne sera pas entre les mains de l’État ».

Le député imagine qu’il pourrait s’agir d’un magistrat ou d’une commission. « Il me semble dans tous les cas qu’on est légitimes pour protéger les Français. On ne parle pas d’ingénierie sociale ou d’attaques les plus sophistiquées, mais si on peut envoyer le signal à ceux qui ne font pas beaucoup d’efforts pour vous voler 500 euros qu’en France c’est plus compliqué, ils iront faire leurs petites affaires ailleurs. Et je l’assume ».

Face à un tel projet, les risques de dysfonctionnement sont réels. Par exemple, une panne dans cette infrastructure pourrait entrainer un blocage complet de la navigation en France. « Oui », confirme Éric Bothorel. Il rit : « Et alors ? ». « Plus sérieusement, on sait qu’il y aura ce sujet à traiter, que ce sera un budget. Il ne faut pas que la question nous paralyse ».

Interrogé sur les solutions existantes et la possibilité que ce DNS ne fasse que réinventer la roue, le député se dit bien sûr au courant de ces protections. Il cite d'ailleurs SafeBrowsing et les options liées aux DNS chiffrés sous Firefox. « Mais peu de gens activent ces protections, la plupart ne le sont pas par défaut », regrette-t-il. Selon lui, l’initiative reviendrait à assurer « un service minimal pour éloigner au moins les menaces les plus évidentes. Parce que pardon de le dire, mais je n’oublie pas qu’une majorité de la population n’est pas aussi à l’aise que les lecteurs de Next INpact ».

C'est pourtant ce que fait justement... SafeBrowsing : prévenir l’internaute qu’il s’avance vers un site ou un téléchargement malveillant. Cette barrière est également intégrée à Firefox et Safari. Microsoft propose de son côté un équivalent dans Edge, SmartScreen. Le député ne semble pourtant pas sensible à la présence de ces protections – actives par défaut – dans tous les navigateurs majeurs.

Ne pourrait-on pas plutôt imaginer une forme de gouvernance de SafeBrowsing ou d'un autre mécanisme, dans l’idée d’en faire un bien commun ? Il préfère en rire : « Quand on fait un outil nous-mêmes, on nous reproche qu’il n’est pas interconnecté avec Google et autres, et si on se rapproche d’un GAFA, on nous le reproche aussi ».

Non au « paradis des criminels »

L’idée même d’une structure centralisée ne pose pas uniquement des questions de résilience technique. Comme avec d’autres mécanismes conçus pour une finalité spécifique, le risque d’un détournement ou d’une « complétion » ne peut être écarté : cela tient à la définition même du site malveillant, qui peut être extrêmement vaste.

Interrogé à ce sujet, Éric Bothorel soupire : « On peut toujours imaginer le scénario du pire. Mais il faut rappeler qu’aujourd’hui on a déjà ce type de filtrage. Quand il y a un signalement sur Pharos, on ne supprime pas le contenu, mais on supprime l’accès au contenu par un blocage DNS. Tout cela existe déjà sur le haut du spectre, et je ne le sais que trop bien puisque les opérateurs télécoms revendiquent régulièrement que c’est un coût humain en plus d’un coût machine ».

« Mais la liberté du net, ce n’est pas naïvement laisser les gens faire leurs petites affaires cybercriminelles », enchaine-t-il. « À un moment donné, si on peut les contraindre et les en empêcher, c’est pas mal. En tout cas, moi je n’ai pas écrit ça pour protéger la copie privée. Si à chaque fois qu’un sujet nouveau émerge dans la société, on se dit que ce n’est pas terrible de faire du contrôle ou de la répression parce qu’on pourrait l’étendre à autre chose, ça devient le paradis des criminels ». La messe est dite.

La question de l’éducation est elle aussi balayée d’un revers de la main. Le député estime en effet que ce n’est plus suffisant : « Bien sûr que si tout le monde avait une bonne hygiène numérique, des mots de passe robustes et une vigilance accrue sur les sites visités, on ne poserait pas la question. Mais on ne peut pas demander à tous les Français d’être des experts – parce qu’il faut quasiment l’être – et ce n’est clairement pas de leur faute. Donc c’est le moment de faire quelque chose ».

« Une mauvaise perception du DNS par les décideurs publics »

« Une nouvelle fois, on paye une mauvaise perception du DNS par les décideurs publics », embraye Alexandre Archambault. « Son boulot, c’est juste de mettre en relation un client avec un serveur. Ce que nous apprend Internet, c’est qu’à chaque fois qu’on fait porter une finalité – même légitime – par un échelon qui, lui, ne l’est pas techniquement pour le traiter, les couches supérieures du réseau mettent en place des mécanismes de protection ».

L’avocat, ancien directeur des affaires règlementaires de Free, en veut pour preuve le phishing : « comme le trafic web, lui aussi est en chiffré ». Il enchaine avec un autre exemple : « On va avoir un cas d’école d’ici quelques semaines avec le blocage du porno. Youporn et autres sont en HTTPS, alors j’ai hâte de voir ce que va donner l’affichage de la page d’information ». Le décret d'application relatif au blocage du porno, après procédure devant l'ARCOM, exige en effet de rerouter les internautes vers une page explicative des raisons de ce blocage, éditée par l'autorité.

Face à la confirmation du député que le mécanisme est pensé pour être obligatoire auprès des FAI, il tranche : « Il va falloir le notifier à l’Union européenne, parce que ça porte atteinte à l’organisation des réseaux, et in fine au marché intérieur. Je ne remets pas en question la finalité du dispositif, mais on ne peut pas s’amuser avec le DNS, sauf à faire du man-in-the-middle avec un certificat étatique, comme en Corée du Nord ». Ambiance.

Alexandre Archambault insiste particulièrement sur ce lien entre objectif et moyens : « quand on poursuit une finalité, il faut le vecteur approprié. Le DNS ne l'est pas pour du chirurgical. Et quand on voit qu’au niveau européen, ils réfléchissent à la même chose, pour pouvoir par exemple bloquer une vidéo YouTube, je bondis un peu. Le DNS ne sait pas du tout faire ça ! Bloquer tout YouTube oui, mais c’est tout », tempête l’avocat.

Et, de son analyse, la thématique est loin d’être neuve : « On a encore eu l’exemple il y a une quinzaine de jours quand il s’est agi de bloquer les contenus d’une certaine propagande d’un pays un peu envahissant – RT donc. Une nouvelle fois on comprend la finalité politique, mais derrière tout ça il y a quand même un texte qui est le fondement même dans une démocratie et en Europe. Surtout qu’en France on fait la leçon à tout le monde avec le respect des droits de l’homme. Et là objectivement, sous la pression de l’urgence et de l’émotion, on est dans la fierté de l’amateurisme ».

Le spectre Albanel

Devant cette promesse électorale, Alexandre Archambault ne mâche pas ses mots : « Tout ça me rappelle les heures les plus sombres de Christine Albanel, avec des arguments d’autorité. Et si vous vous y opposez, ça veut dire que vous êtes pour les méchants et contre les gentils. Je plaisante un peu, mais c’est tout à fait ça. Je ne suis pas pour les méchants. Je suis pour l’État de droit ».

Une idée hors-sol ? « Sauf à conférer à ces DNS un rôle de racines, je vois mal comment ils pourraient faire. Même là je leur souhaite bon courage, parce que je nous imagine mal aller demander ça avec notre petit drapeau tricolore aux instances de normalisation Internet. Et même si c’était accepté, la Chine ou d’autres États pourraient faire la même chose. À partir du moment où l’on gère une partie d’un bien commun, on n’a pas à le nationaliser dans un sens ou dans l’autre », souligne l'avocat.

Et pour se recentrer davantage sur le juridique, il faut rappeler que le Règlement sur l'Internet ouvert, qui a consacré la neutralité du Net en 2020, cadre les pratiques. « L’article 3 du Règlement dit qu’un opérateur, un FAI peut mettre du filtrage ou du blocage, mais ce n’est pas non plus open bar », explique Alexandre Archambault.

S'il assure comprendre « les arguments du député Bothorel, qui est dans une optique de sécurité, de sûreté, de protection des utilisateurs », c'est pour tempérer aussitôt : « le même article ne dispense pas d’une analyse de proportionnalité ».

Au-delà de la technique et du juridique, faut-il s’inquiéter d’un possible débordement de cette infrastructure vers d’autres objectifs ? « Bien sûr ! L’histoire nous a montré qu’une fois qu’on ouvre une brèche, elle est toujours utilisée par d’autres. Regardez le blocage administratif. Au départ on nous disait que ce serait uniquement pour les "méchants très très méchants" – les terroristes et les pédophiles – et on voit que petit à petit ça a étendu. Et que la nouvelle Arcom n’est ni plus ni moins qu’une extension du blocage administratif. On risque vraiment de mettre le doigt dans un engrenage ».

La piste envisagée n’est donc pas la bonne pour l’avocat, car l’outil est loin d’être adapté à la finalité poursuivie, sans même parler des problèmes juridiques et techniques qu’engendrerait une telle infrastructure obligatoire.

« Le DNS n’est pas le bon endroit pour faire du filtrage de logiciel malveillant »

« Des résolveurs DNS qui prétendent protéger des méchants, on en connait déjà », martèle d’emblée l’ingénieur Stéphane Bortzmeyer. « Cisco OpenDNS fait ça, Quad9 fait ça, Cloudflare et Yandex ont une option pour avoir des résultats filtrés, notamment pour la pornographie. Ce n’est pas une nouveauté en soi ».

On sera dans le cadre d’une obligation nationale de faire transiter toutes les requêtes par cette infrastructure, avec les craintes que l’on peut supposer au sujet de la résilience technique d’une telle installation et de la neutralité du net. « Tout à fait, alors qu’on a déjà des problèmes non traités, comme le fait que beaucoup de hotspots Wi-Fi envoient par défaut toutes les requêtes à Google. Pour l’instant, je n’ai entendu personne dans la tribune de l’Assemblée pousser des cris à ce sujet ».

Sur la question du vecteur, Stéphane Bortzmeyer rejoint sans surprise Alexandre Archambault : « le fond du problème, c’est que le DNS n’est pas le bon endroit pour faire du filtrage de logiciel malveillant ». Pourquoi ? « Parce que c’est relativement rare que ce logiciel soit distribué via un serveur dédié à cette tâche. La méthode la plus courante est de pirater le serveur web de quelqu’un d’autre et, une fois que c’est fait, la diffusion peut commencer. Donc le filtrage par DNS n’est pas la bonne idée, car la granularité n’est pas suffisante ».

Quelle solution alors ? « Le bon endroit pour le faire c’est dans le navigateur au niveau des URL, pas des domaines ». Sur la question de reprendre une protection existante comme SafeBrowsing, l’ingénieur se montre plus sceptique « Les listes de Google et d’autres ont aussi leurs défauts. Elles ont une certaine tendance à tirer d’abord et réfléchir après, donc il peut y avoir des faux positifs. Mais le navigateur reste le bon endroit », insiste Bortzmeyer.

L'ingénieur se dit également « gêné » par l’expression « anti-arnaques ». Elle apparaît dans les éléments de communication de la campagne d’Emmanuel Macron, alors que les tweets d’Éric Bothorel sur le sujet n’évoquent que les logiciels malveillants.

« De quoi parle-t-on ici ? Si je vais sur LeBonCoin et que je suis victime d’une arnaque, il n’y a rien dans un résolveur DNS qui va me protéger contre ça, on ne va pas bloquer tout le domaine. Donc le terme d’arnaque est très ambigu, parce qu’il n’y a rien qu’on puisse mettre dans un logiciel pour bloquer ça. Le logiciel ne sait pas ce qu’est une arnaque. Je crois que quelqu’un s’est dit à un moment que logiciel malveillant ça ne parlerait pas aux électeurs, alors on va plutôt parler d’arnaque ».

Le risque d’un projet réalisé à la va-vite

Les risques d’un tel projet sont conséquents : « presque toute action sur Internet commence par une requête DNS. C’est un composant extrêmement critique. Si le DNS est en panne, c’est comme si on n’avait pas d’Internet. Il ne s’agit donc pas de faire simplement un résolveur DNS, il faut faire un résolveur fiable. Donc il faut de l’argent, une équipe dédiée… tout le monde n’est pas Google. C’est faisable, mais pas en cinq minutes dans un coin, pas avec deux gus dans un garage. Il faut un gros investissement derrière. Et comme avec toutes les promesses électorales, il y a des questions qui n’arriveront qu’après : combien ça va coûter, comment on va le financer… Sans parler de l’entretien », continue l'ingénieur.

Sur ce point, l'historique des projets français ne plaide pas en faveur de cette idée de DNS. Son scepticisme est flagrant : « Compte-tenu de l’expérience de pas mal de projets informatiques publics ou semi-publics en France, il y a quand même un risque qu’une boite remporte un appel d’offres, que ça traine, qu’un truc marche à moitié, et au bout de quelques années tout est abandonné ou vendu aux Chinois. C’est un risque réel, donc j’aimerais connaître les mesures qui vont être prises cette fois pour éviter le même sort ».

Autre hypothèse, toujours sous un œil très critique, « c’est peut-être quelque chose qui a été balancé comme ça dans un programme et qui sera oublié, comme l’avait été l’OS souverain dans le précédent gouvernement. L’Assemblée nationale avait voté la création du Commissariat national au numérique et la réalisation d’un système souverain, et deux mois après c’était oublié ». L’ingénieur évoque aussi la piste marque blanche, avec une commande passée par la France à une entreprise américaine, qui pourrait éventuellement ouvrir une filiale dans l’Hexagone, « pour donner un aspect cocorico ».

Si l’éventuel futur gouvernement devait poursuivre dans cette voie, beaucoup auraient également à cœur de surveiller les potentiels objectifs « annexes », quand d'autres pourraient anticiper des dommages collatéraux. Bortzmeyer abonde : « C’est un gros risque effectivement. Filtrer pour combattre des logiciels malveillants, a priori tout le monde va être d’accord. Mais si on fait ça, on aura plus de mal par la suite à défendre l’idée de neutralité et à se défendre contre les pressions qu’il ne manquera pas d’y avoir pour filtrer les fake news, les violations de la propriété intellectuelle, etc. »

« Si Google et Cloudflare ne filtrent rien et qu’ils sont complètement neutres, ce n’est pas juste qu’ils sont gentils, c’est aussi parce que leur service juridique leur a dit : attention, si on ne filtre rien on peut dire qu’on est neutres, mais si on commence à filtrer on n’aura plus aucune excuse pour ne pas filtrer ceci et cela en plus », ajoute l’ingénieur.

Commentaires (33)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Excellent article, merci
Si le DNS n’est pas la meilleure solution c’est une des solutions à envisager pour des réactions rapides (mais partielles) mais reste le cadre juridique
De là à mettre en place une solution réellement efficace, à part des URL validateur, des Proxy ou autres solutions intrusives, la force d’IP c’est sa flexibilité… et elle restera difficile à endiguer sans outils excessifs

votre avatar

Ça fait toujours plaisir de lire une analyse d’aussi grande qualité de la part de Stéphane Bortzmeyer.



Pour le risque de blocage DNS lié à la propriété intellectuelle, c’est malheureusement déjà le cas :/ Évidemment ça a eu lieu bien avant qu’on parle de bloquer les sites d’arnaques.

votre avatar

La fausse bonne idée, simplement par le fait que tout site qui n’est pas signalé comme malveillant sera alors considéré comme fiable. Ce n’est pas seulement inefficace, c’est dangereux.

votre avatar

Très bon article!




« Une nouvelle fois, on paye une mauvaise perception du DNS par les décideurs publics »


On a vu à maintes reprise ce fait! On a l’impression que le “blocage dns” est la solution miracle pour le gouvernement!
Perso, j’utlise des DNS alternatifs depuis des années, et maintenant, j’ai un rasberry avec pihole qui gère ça… Du coup, suis-je une “méchante personne” car de ce fait, je ne suis pas concerné par ses blocages… :keskidit: :keskidit:

votre avatar

Je ne veux pas rentrer dans le débat de “est ce que ce filtre anti arnaque est bien ou pas ?”, “est ce que le gouv veut censurer ou pas ?” ni rien.



J’aimerais simplement émettre une remarque d’ordre général (pas spécifiquement lié au DNS de cet article donc). Bon nombre de personnes ici ont connaissance de solutions techniques, ce qui n’est pas le cas de la majorité.



Globalement, si une solution permet avec 20% d’effort d’effectuer 80% du boulot, ça “suffit” (loi de pareto, tout ça). Il y aura toujours des gens qui seront aptes à bypasser telle ou telle solution, mais ces personnes ne sont pas la cible du sujet (encore une fois peu importe le sujet), l’idée étant de faire passer la solution pour 80% des utilisateurs avec 20% d’énergie.



Si je prend un autre exemple avec le téléchargement illégal : bloquer les sites miroirs permet avec une action rapide (20% d’énergie) de rendre les sites miroirs indisponibles pour la majorité (80% de “bénéfice”) des utilisateurs.



/!\ Je me répète, je ne dis pas que c’est bien ou pas (autant pour ce filtre que pour les sites miroirs). Je dis juste que pour moi, l’idée n’est pas de cibler toute la population car c’est impossible, mais la majorité avec un moyen “simple”.



Voilà, des bisous



Edit : fix pour lisibilité

votre avatar

Je te rejoins assez.
On ne peut pas mettre en oeuvre de solution parfaite, on est dans la vie réelle, contrairement à ce que croient certains ici. Donc déjà si on traite une partie des cas, c’est déjà pas mal.
(après à titre perso suis pas chaud pour la solution “DNS”, pour toutes les raisons évoquées dans l’article)

votre avatar

Bisous en retour pour ton post ;)

votre avatar

Mais qui voit on venir au loin. Ne serait ce pas Mme Michu et son firewall qui a besoin d’être protégé malgré elle par son état bienveillant, grace a la trinité OpenOffice-TMG-numerovert.
Ya moyen d’activer le filtre tout de suite pour eviter les arnaques intellectuelles ? Il me semble que la pensée magique est clairement qualifié pour le filtrage.

votre avatar

Cinquante-trois…
D’exception en exception, d’autorité administrative dite indépendante, en autorité, etc.
L’état de Droit recule.
Le technocrate inutile étend son emprise prévaricatrice.
« Ils » ont les oligarques, nous avons les « technocrates » adorateurs de la Sainte Pantoufle.

votre avatar

je n’oublie pas qu’une majorité de la population n’est pas aussi à l’aise que les lecteurs de Next INpact


En effet. Et je n’oublie pas non plus de constater que nos décideurs non plus ne sont pas aussi connaisseurs que les lecteurs de Next INpact. Sauf que ces derniers ont devraient avoir une certaine responsabilité de compétence, histoire de ne pas faire n’importe quoi.



Plus ça va et plus je me dit que la « simplicité » technique du mécanisme de DNS devient sa faiblesse administrative : les politiques et les magistrats en perçoivent vaguement le fonctionnement, du coup pour eux ça devient un outil : « pas besoin de l’avis d’un expert, je sais ce c’est ! ». Et quand on a un marteau dans la tête, on voit tous les problèmes sous la forme d’un clou.



Et à force de flinguer tous les DNS des FAIs, on flingue au passage le principe même de neutralité du net à chaque « bonne idée pour lutter contre les méchants ». Et par le fait même, on fini par accepter et légitimer cette pratique issue des modèles chinois et russes (et autres) de gestion de l’information. C’est très clairement un modèle de « Grande Muraille du web » appliqué à la France : on accepte dans notre internet seulement le contenu qu’on valide.
Oui parce que faire mentir les DNS, c’était pour nous protéger des terroristes/pédophiles/pirates/fake niouz/arnaqueurs (WIP), surtout pas pour contrôler l’accès à l’information. Et paf!, RT & Sputnik bloqués par DNS. Je suis le premier à trouver que ces sites c’est du b#llshit de propagande de 1er ordre. Mais ça ne m’empêche pas de constater aussi que c’est une utilisation idéologique des DNS … Plus on va dans cette direction et plus je me dis que le modèle totalitaire de restriction de l’information à remporté la bataille des idées : on utilise actuellement une méthode appliquée en Russie, pour obtenir le même effet : masquer le contenu du camp d’en face.



Le dernier point qui me chagrine, plus idéologique, c’est que les « idées » politiques récentes consistent systématiquement à faire des choix à la place des gens, « pour leur bien » (évidemment). Et ainsi à les traiter comme des enfants ou des débiles. À la limite je comprendrais le second point, mais le fait de les materner, même avec les meilleures intentions du monde, n’en feront pas des citoyens plus éclairés ni plus responsables.
Le récent contrôle parental obligatoire en est une illustration assez flagrante : « vous ne savez pas éduquer vos enfants, laissez faire le gouvernement ». Là c’est pareil : « vous êtes des naïfs, laissez nous vous afficher le contenu qu’on estime OK pour vous ».
Ça va paraître radical, mais je trouve qu’une personne qui se fait arnaquer sur le web se retrouvera forcer de réfléchir à ces questions pour ne pas recommencer (ça m’est arrivé). Et je trouve ça plus sain que lui dire quoi faire, pour tout, tout le temps. Et 500€ pour une telle leçon, ça me paraît plus acceptable qu’une n-ième mesure autoritaire et la pléthore de détournements futurs qui vont avec.



Bref, la liberté, la libre conscience, et autres idées issues des Lumières, ça commence à dater. Bienvenue dans le nouveau monde et nos nouvelles valeurs : le contrôle de masse automatisé, pour votre bien. C’est à se demander si la Chine n’a pas déjà gagné la bataille d’influence / soft power …






P.S : oui, je m’enflamme (v’là le pavé) et je m’éloigne un peu du sujet. Mais dans le cas d’un petit pas dans la mauvaise direction, ce qui compte c’est la direction et la somme des pas. À force de marcher, il me paraît important, de temps en temps, de se demander où on va.

votre avatar

Et puisqu’il est facile de critiquer sans proposer d’alternative, j’en propose une : traquer les arnaqueurs et les traduire en justice. Ça me paraît bien plus souhaitable.

votre avatar

Ça ne va pas changer la vie des brouteurs… :roll:

votre avatar

Article intéressant dans la continuité du précédent.



Le seul élément qui me gène, c’est que personne ne dit qu’une infra DNS n’est pas faite pour faire de l’avertissement. On peut bloquer oui, mais afficher un message non (car ce n’est absolument pas son rôle).



Déjà, rediriger vers un autre site va être rigolo dans la mesure où une très grande majorité de sites utilise maintenant HTTPS, à moins d’avoir un certificat étatique (ce qui est extrêmement dangereux, qu’importe que l’état soit une démocratie ou une dictature).



Mais rediriger temporaire le temps d’avertir puis rediriger ensuite vers le véritable site est simplement impossible avec le DNS… sauf encore à avoir un certificat état ET des serveurs qui font proxy, mais bonjour les problèmes de sécurité, de confidentialités et les points uniques de défaillance, sans compter la taille de l’infra qui va falloir derrière pour gérer les requêtes de 60 millions d’internautes.



Encore une fois donc, une solution faite au doigt mouillé, qui va nous coûter une blinde pour une efficacité… nulle !



Avec l’Internet d’aujourd’hui, sans installer quelque chose sur les postes des utilisateurs (navigateur spécifique, extension, certificat étatique ou que sais-je encore), ce qui est proposé est tout simplement impossible.



On fait aujourd’hui des campagnes de sensibilisation pour l’alcool au volant, pour l’alcool tout court, pour bouger plus, pour ne pas manger trop gras, trop salé, trop sucré. Arrêtons d’infantiliser les gens avec des moyens qui sont des moyens de contrôle.



Si on commençait déjà par :




  • de la pédagogie, pour éviter que les gens ne se fasse avoir ;

  • plus de moyen pour la justice, pour que les arnaques puissent être stoppées plus rapidement ;

  • plus de place en prison pour pouvoir y mettre les arnaqueurs inculpés quand ils sont en France (car il y en a)



Ce serait déjà pas mal. Et surtout réalisable.

votre avatar

plus de places de prison pour pouvoir y mettre les arnaqueurs….



pratiquement, AV. de pouvoir mettre en place leurs propositions
les “Candidats à la Prés.” doivent commencer par ça !
et en finir avec cette possibilité donnée aux Communes :




  • de préférer payer une amende, plutôt que d’accepter la construction d’une prison !
    sinon on n’y arrivera jamais (pas étonnant qu’il y-ait SURPOPULATION) ! :eeek2:

votre avatar

Arkeen a dit:


je trouve qu’une personne qui se fait arnaquer sur le web se retrouvera forcer de réfléchir à ces questions pour ne pas recommencer (ça m’est arrivé). Et je trouve ça plus sain que lui dire quoi faire, pour tout, tout le temps.


Exacte, et plusieurs incidents de ce genre sont parfois nécessaires avant que les gens comprennent, tu peux donner des conseils basiques en sécurité et facilement applicables par tous, une majorité ne s’en soucieront pas, ils ont besoin d’être personnellement concernés, et nous savons que ce n’est pas un filtre “anti-arnaques” par DNS qui sera utile pour quoi que ce soit.

votre avatar

Je ne vois pas ce qui empêche Pharos, l’Anssi, ou une autorité ad’hoc, de proposer un plugin aux navigateurs existants, et ensuite à l’état de faire de la pub pour promouvoir l’installation de ces plugins.



Ce plugin permettrait d’afficher des alertes à l’utilisateur, qui pourrait aussi bien être basé sur du domaine, que de l’url individuelle, voire même sur de l’analyse de contenu de la page affichée (par exemple une annonce leboncoin avec un numéro de téléphone connu).



Je ne vois pas d’obstacle à ce que le service puisse être complètement anonymisé, celui-ci n’ayant pas besoin de profil utilisateur pour fonctionner. En OpenSource pour vérifier cela, ce serait mieux…
Cela ne changera rien aux fondements d’internet, sera activé au choix de l’utilisateur…

votre avatar

Bah non, tu censures pas assez

votre avatar

(reply:2063050:Zone démilitarisée)


Effectivement, l’effet de confiance engendré par le “super Filtre du Gouvernement qui me protège, il en ont parlé au 20h de TF1” peut-être contre productif surtout si celui-ci a une efficacité limité.

votre avatar

J’espère que ça bloquera le site des impôts : la dernière fois que j’ai acheté un truc dessus, je pensais avoir des hôpitaux, des écoles et aides pour les plus démunis, et à la place j’ai reçu des études McKinsey stupides et des idées à la con. Bien-sûr, impossible de se faire rembourser. L’arnaque typique.



★☆☆☆☆
Une étoile, je ne recommande pas du tout.

votre avatar

Sinon on fais installer ublock origin comme complément sur les navigateurs et ça fait le même taff.



J’ai trouvé comment faire économiser des millions a la France, est ce que je peux avoir un petit pécule en échange ?

votre avatar

Aloryen a dit:


Je ne vois pas ce qui empêche Pharos, l’Anssi, ou une autorité ad’hoc, de proposer un plugin aux navigateurs existants, et ensuite à l’état de faire de la pub pour promouvoir l’installation de ces plugins.


ça me semble pas mal, sachant qu’il y a déjà des plugins comme uBlock Origin.




(quote:2063103:le hollandais volant)
la dernière fois que j’ai acheté un truc dessus, je pensais avoir des hôpitaux, des écoles et aides pour les plus démunis


Tu devrais regarder le budget de l’État et les moyens affectés aux sujets mentionnés, plutôt que troller en hors-sujet. Très décevant de lire ça de ta part, ça donne moins envie de lire ton ou tes blogs (pas une blague).




bhfra a dit:


Sinon on fais installer ublock origin comme complément sur les navigateurs et ça fait le même taff.



J’ai trouvé comment faire économiser des millions a la France, est ce que je peux avoir un petit pécule en échange ?


:D
Ou mettre ce pécule dans une participation à uBlock et une information du public ; cela dit il y a tellement à faire concernant l’information du public, que ce soit en informatique ou en dehors…

votre avatar

vizir67 a dit:


plus de places de prison pour pouvoir y mettre les arnaqueurs….


Encore une belle promesse non tenue…

votre avatar

Les extensions posent problèmes, elles ont un accès privilégié dans le navigateur (surtout dans Firefox où sa mauvaise architecture force l’extension à garder un accès pour tous les sites), obligent à faire confiance au développeur, peuvent affaiblir l’isolation entre les sites et vous démarquer encore plus si vous vous souciez particulièrement de l’empreinte digitale, c’est pourquoi le Manifest V3 de Google n’est pas une mauvaise idée.



Admettons qu’un filtre anti-arnaques machin existe vraiment, il faudrait commencer par définir ce qu’est un site d’arnaque pour éviter trop de faux positifs, ensuite ce filtre serait basée sur une liste et les listes posent eux aussi problèmes parce qu’elles doivent être maintenus, on ne peut pas établir une liste fiable de toutes les menaces qui existent, énumérer la méchanceté est une technique intrinsèquement cassée, elle n’attrape que les fruits à porter de main pour bloquer les menaces les plus évidentes et la plupart du temps les moins nuisibles, au mieux elle réduit très faiblement la surface d’attaque, mais l’extension en crée une autre par dessus (voir mon paragraphe précédant), donc je doute fort de l’efficacité, cela dit, uBlock Origin est toujours la seule extension que je recommande, mais c’est essentiellement pour la commodité, pas pour la sécurité.



Très bonne intervention de Stéphane Bortzmeyer, merci pour cette article.

votre avatar

(reply:2063103:le hollandais volant)


+12 :mdr: :mdr: Merci pour ce moment

votre avatar

(reply:2063150:ElCroco) Ta réflexion est intéressante, mais dans ce cas, le SafeBrowsing a déjà résolu le problème et ce n’est pas compliqué de voir qu’il est activé par défaut dans les principaux navigateurs, contrairement à ce que semble prétendre ce député, la proposition de filtrage par DNS devient doublement inutile.


De mon côté, Smartscreen dans Edge m’a déjà bloquer des URL suspects, faux positifs ou non c’est la question, son point faible est qu’il reprend le concept d’énumérer la méchanceté, mais je veux bien admettre que c’est mieux que rien… Pour l’instant, son problème principal que je vois c’est qu’elle peut donner un faux sentiment de sécurité.



Le point fort de Edge pour la sécurité est qu’il a récemment introduit un mode de sécurité amélioré dans lequel JIT est désactivé et les atténuations telles que ACG, CIG, CFG et CET sont toutes activées dans le processus de rendu, je crois que pour l’instant, c’est le seul à le faire.

votre avatar

Déjà si quand on prend la peine de signaler un spam dans l’interface (heu Free par exemple …), le filtre se mettait correctement à jour … cela éviterait dans un premier temps de ne plus en avoir du même expéditeur et éviter que d’autres personnes ne soient touchées … et se fassent arnaquer.



Bref je suis utopiste

votre avatar

je ne sait pas comment fonctionnent leurs (chez “Free) filtres ?
ça fait 1 an que je mets des ‘Filtres’ et….je reçois encore des ‘Spam’
du MÊME expéditeur !!!

votre avatar

vizir67 a dit:


Les filtres Free sont foireux à fond.
Tu recois les mêmes spams alors que tu les signales en spam, alors qu’à côté, il y a des messages parfaitement sains qui sont bloqués (ils ne vont même pas dans le dossier spam), parfois même d’un expéditeur qui peut aussi t’en envoyer qui passent (exemples typiques : HumbleBundle et RobertSpaceIndustries : si un membre ou le support m’écrivait, je recevais le mail ; pour faire un changement de mail, je ne recevais jamais le mail de confirmation. Pourtant c’était le même domaine!)…

votre avatar

ah, ok !
et moi qui leur faisais confiance
autant ne plus en mettre !



(‘portes ouvertes aux Spam’) :mad:

votre avatar

Patch a dit:


Les filtres Free sont foireux à fond.


C’est des filtres de quoi exactement ? Dans mes paramètres Free, j’ai un filtre contre les appels indésirables qui ne fonctionne pas, donc useless, j’utilise celui de Google à la place, ainsi qu’un bloqueur du pubs qui lui aussi est inutile, du moins chez moi. Je n’ai pas vu d’autres types de filtres, ça concerne si on utilise leurs boite mail ?

votre avatar

QTrEIX a dit:


C’est des filtres de quoi exactement ? Dans mes paramètres Free, j’ai un filtre contre les appels indésirables qui ne fonctionne pas, donc useless, j’utilise celui de Google à la place, ainsi qu’un bloqueur du pubs qui lui aussi est inutile, du moins chez moi. Je n’ai pas vu d’autres types de filtres, ça concerne si on utilise leurs boite mail ?


Ce sont les filtres (et règles automatiques) spams pour les mails (qui n’ont rien à voir avec les appels) :chinois:




vizir67 a dit:


ah, ok ! et moi qui leur faisais confiance autant ne plus en mettre !



(‘portes ouvertes aux Spam’) :mad:


Leur fonctionnement foireux est une des raisons qui ont fait que ma boîte Free est passée de principale à secondaire, il n’y reste plus que qques newsletters que je n’ai pas basculé ailleurs…

votre avatar

Patch a dit:


Ce sont les filtres (et règles automatiques) spams pour les mails (qui n’ont rien à voir avec les appels) :chinois:


Ok merci :chinois:

votre avatar

plutot que payer Bothorel or McKinsey, ils paieraient Bortzmeyer ou la QuadratureduNet et on serait mieux avancé…

Filtre « anti-arnaques » d’Emmanuel Macron : optionnel pour les internautes, obligatoire pour les FAI

  • Éric Bothorel ne veut rien imposer… aux internautes

  • Non au « paradis des criminels »

  • « Une mauvaise perception du DNS par les décideurs publics »

  • Le spectre Albanel

  • « Le DNS n’est pas le bon endroit pour faire du filtrage de logiciel malveillant »

  • Le risque d’un projet réalisé à la va-vite

Fermer