Discussion :

[Katleen Erna]

Faut-il interdire l'accès au Net pour les PC infectés par des virus ? Microsoft propose la création de certificats de "bonne santé" et la quarantaine

Un chercheur senior travaillant pour Microsoft vient de faire une proposition simple et originale à la fois : interdire l'accès au Net pour les ordinateurs infectés par des virus.

Scott Charney dit avoir pensé à cette solution suite à des leçons de santé publique.

Son idée est avant tout de protéger les autres ordinateurs, encore sains, des menaces pouvant leur être transmises par d'autres compromis. Il cherche aussi en priorité à mettre des bâtons dans les roues des botnets, ces réseaux de machines "zombies".

La mise en quarantaine permettrait de plus de stopper la diffusion d'un virus, puisque l'ordinateur ne retournerait en ligne qu'une fois nettoyé.

"Tout comme un individu malade met la santé des autres en danger, les ordinateurs qui ne sont pas protégés ou qui ont été compromis mettent les autres en danger, et jettent une grande menace sur la société", explique-t-il.

Il insiste clairement sur la menace représentée par les botnets (dont certains regroupes des milliers voire des millions de machines Windows infectées).

Continue reading the main story
"Les défenses communes comme les firewalls ou les antivirus, ainsi que les mises à jour automatiques, peuvent réduire les risques mais ne sont pas des protections suffisantes. Et ce malgré nos plus grands efforts", déclare l'expert en sécurité informatique.

Son dispositif, appelé "health certificate", devrait (selon lui) équiper chaque ordinateur du globe. La machine prouverait ainsi son statut "sain" avant de pouvoir se connecter à l'Internet. Le certificat garantirait en effet que le PC n'est infecté par aucun malware connu, mais aussi que ses firewalls et antivirus sont à jour et fonctionnent correctement. En cas de manquement détecté, l'ordinateur devrait alors télécharger le patch ou la mise à jour correspondante.

En cas de machine infectée, ou si son utilisateur refuse de procéder aux mises à jour ou de produire un certificat de bonne santé valide, la connexion à la Toile pourrait être stoppée. Évidemment "bannir les gens du web pourrait avoir de très mauvaises conséquences", tempère-t-il.

Il prévoit notamment de laisser un accès aux services d'urgences

Enfin, selon Microsoft, la mise en place d'un tel protocole nécessiterait : de définir un ordinateur "en bonne santé", de créer un système fiable pour les certificats de bonne santé, de trouver un moyen pour que les FAI puissent les gérer et enfin, il faudrait des frameworks légaux.

Source : Blog de Scott Charney

Que pensez-vous de cette proposition ? Faut-il interdire l'accès au Net pour les PC infectés par des virus ?

[Folken Laëneck]

Et comment ferait un utilisateur lambda pour désinfecter son ordinateur si il ne sait pas comment faire et ne peut même plus faire de recherche sur internet pour trouver une solution ?

Quand on place un être humain (ou un animal) en quarantaine, des gens sont là pour s'en occuper, mais personne n'ira au devant d'un ordinateur infecté, a fortiori si ses accès sont bloqués. Et il faudra encore payer un technicien pour intervenir.

Et puis laisser des portes de sortie "d'urgence" disponibles, ça veut aussi potentiellement dire laisser des portes de sortie exploitables par des malwares si le système possède la moindre faille exploitable. Et il y en aura.

Bref, même si ça part d'une bonne intention, ça risque fort de poser autant de problèmes que cela en résoudra, en plus de rendre la vie des utilisateurs impossible.

[pmithrandir]

que se passe t'il lorsqu'un malware reproduit un certificat valide ?

que se passe t'il pour quelqu'un qui n'a pas d'antivirus, ou qui a un ordinateur sur un système d'exploitation "strange"

[Anomaly]

Encore un employé Microsoft qui s'imagine que tous les ordinateurs de la planète tournent sous Windows.

[Shionigami]

Encore un employé Microsoft qui s'imagine que tous les ordinateurs de la planète tournent sous Windows.

Tous, non, la majorité, oui

L'idée n'est pas dénuée de sens, mais c'est clair que cela poserait énormément de problème aux personnes non initiées.. il faudrait alors un sacré support technique à ce niveau là. Et bon, d'un autre coté, les gens qui n'y connaissent rien, ils font quoi quand ils ont un virus ? Ils vont au SAV... (vous savez ? chez le genre de personne qui vous dit que vous avez un problème avec la carte graphique parce que Windows ne boot plus... ). Donc le problème reste de toute façon le même ! Le contexte est juste quelque peu déplacé

[kain_tn]

Encore un employé Microsoft qui s'imagine que tous les ordinateurs de la planète tournent sous Windows.

Et puis de toutes les façons ça finira par être contourné.
Encore une idée pour traire d'avantage l'utilisateur final et qui n'embêtera pas très longtemps un programmeur de virus...

[kain_tn]

Tous, non, la majorité, oui

Ça dépend: là si tu parles d'accès au Net et de FAI alors tu peux prendre en compte les serveurs, et là une majorité tourne sous *NIX

[ixpe]

Apparemment ils peuvent verifier si un ordinateur est sain ou pas : pourquoi
ne previenent-ils pas tout simplement l'utilisateur (sans parler de le boquer)?

Cela pourrait deja être un grand pas en avant...

Quant au blocage du pc : je n'aime pas trop ces idees... Untel decidera de
bloquer les pc infectés, d'autres décideront de bloquer les pc trop vieux,
d'autres les pc ayant des browsers trop peu securisés (ou surtout concurrentiels) etc etc...

Le tout sous la grande excuse du moment : pour nous protéger tous évidemment.

[Shionigami]

Ça dépend: là si tu parles d'accès au Net et de FAI alors tu peux prendre en compte les serveurs, et là une majorité tourne sous *NIX

On parlait des utilisateurs lambda plus haut, alors je me place dans le contexte

Sinon, autrement je suis tout à fait d'accord

[ludosoft]

Pour élargir la réflexion : je me dis souvent qu'un jour pour pouvoir surfer, on nous aura imposé d'assurer notre bécane pour le dégât que nous pourrions causer à autrui ou à nous-même.
En gros, transposer l'assurance obligatoire d'une voiture à un PC. Et pourquoi pas un permis à points ?

Car au final c'est juste pour faire cracher des sous aux gens : il faudra un antivirus plus un logiciel de certification de conformité de l'ensemble, sans compter qu'il serait parfaitement stupide de ne pas faire payer l'obtention du certificat "bonne santé"... Comme pour un certificat SSL quoi...

Bon c'est un peu noir tout ça mais vu que le Net ressemble de plus en plus à une transposition caricaturé du mon de réel, je me dis que c'est possible.

[Arnaud13]

Et ben, encore une idée géniale !
Déjà, le certificat devra vérifier la présence ou non d'un virus. Donc ca va être la même course que pour un anti-virus. Et les virus ayant toujours un temps d'avance ...
Ensuite, pour moi, ca sera surtout encore un moyen de vérifier le contenu du pc d'un individu.
Donc non merci !

[kain_tn]

Car au final c'est juste pour faire cracher des sous aux gens : il faudra un antivirus plus un logiciel de certification de conformité de l'ensemble, sans compter qu'il serait parfaitement stupide de ne pas faire payer l'obtention du certificat "bonne santé"... Comme pour un certificat SSL quoi...

Bonjour l'arnaque! Un certificat SSL est valide pour une durée précise. Alors que là en gros, ça ne serait valide que tant que la machine n'est pas infectée...

[FailMan]

C'est à la mode de nous couper la connexion internet ou quoi ? Après HADOPI, voici un vieux schnoque de chez Microsoft qui s'y met

[Neko]

Tant qu'a savoir que le PC est infecté, autant le désinfecter. C'est toujours plus sympa que de directement bloquer.

[cortex024]

ça part d'une bonne idée, mais ca va encore alourdir, sans parler des dérives possibles donc inapplicable pour moi

[Arpheus]

Il prévoit notamment de laisser un accès aux services d'urgences

Kapersky, Eset, Norton, McAfee et j'en passe ...
Bien entendu, Avira et Avast ne seront pas considérés comme "valides"

Cette histoire, c'est la porte ouverte au contrôle du web par notre ami Microsoft.
[utopie on]Si on commence à trier les utilisateurs de la toile sur le volet, adieu internet et un nouveau réseau va voir le jour [utopie off]

[Marco46]

L'an dernier il y a eu une discussion à ce sujet sur la liste FRnOG. Des FAI hollandais avaient effectué un test à grande échelle où ils mettaient en quarantaine leurs clients contaminés.

Il ne s'agit pas d'une coupure bête et méchante style HADOPI mais d'une réduction de service. Le client est posé dans un bac à sable qui limite ce à quoi il a accès (et le botnet aussi donc). Pour sortir de son bac à sable il doit d'abord nettoyer sa machine.

Si la proposition de fond est bonne, couper ou plutôt réduire la connectivité des ordinateurs infectés du réseau, sa proposition concrète est conne. Ce n'est pas au niveau du système d'exploitation du PC infecté que ça doit se gérer mais en périphérie du réseau. Au moment de l'entrée sur le réseau logique, le FAI doit pouvoir poser un bac à sable s'il constate que des attaques proviennent de cette connexion. C'est une atteinte à la neutralité du net tout a fait acceptable, c'est une question de sécurité pour le réseau.

[jabbounet]

Voir le message
Encore un employé Microsoft qui s'imagine que tous les ordinateurs de la planète tournent sous Windows.

Tous, non, la majorité, oui

De moins en moins vrai si on ajoute les nouveaux moyens d'accès à la toile tel que les smartphones, itablet, .....
Avec leur connectivité/capacité de calcul de plus en plus grande, ces petites bêtes deviennent aussi une cible potentielle intéressante.

[trenton]

C'est pas nouveau cette idée d'un Internet réservé uniquement aux clients de Microsoft, ça s'appelle MSN et ça a pas marché.

[berceker united]

Stupide, la meilleure attaque serait d'attaquer les ordinateurs en une seul fois, ainsi, ordinateur bloqué. On reviendra au virus qui emmerdait l'utilisateur alors qu'actuellement les virus sont présents sans se faire voir.
De plus, il y a quelque programmes qui sont considérés comme un virus alors que non. donc vont il être bloqué ?

L'idée en soit n'est pas bête à condition que l'utilisateur soit clairement au courant et qu'il la possibilité quand même de déverrouiller la porte pour qu'il puisse aller quand même sur internet.