Discussion :

[Gordon Fowler]

Taxer Internet pour financer la lutte contre les cyber-attaques ?
C'est l'hypothèse émise par un cadre de Microsoft


Lors d'une intervention à la conférence RSA de San Francisco, le responsable des problématiques de sécurité de Microsoft vient de lancer plusieurs pistes de réflexion pour lutter contre les cyber-attaques.

Pour Scott Charney, l'industrie des nouvelles technologies se doit de réfléchir à « des solutions plus sociales ». Autrement dit, à ne plus se cantonner à une approche purement technique du problème.

« Je pense vraiment que le modèle du « health care » (NB : des soins de santé) pourrait être un moyen intéressant de faire avancer le problème ». Scott Charney précise sa pensée « pour lutter contre les maladies, il existe par exemple des programmes d'éducation et, à côté, des programmes sociaux pour ausculter les gens, voire mettre en quarantaine certains malades. Ce modèle pourrait également fonctionner dans notre lutte contre les virus informatiques. [...] Quand un utilisateur ouvre son ordinateur aux logiciels malveillants, il n'est pas le seul à en pâtir, il aide à contaminer tout le monde autour de lui ».

De cette comparaison médicale, Scott Charney n'exclut pas l'idée d'une taxe sur les fournisseurs d'accès pour financer une politique qu'il qualifie « de sécurité publique » et qui pourrait fortement s'inspirer du récent succès de Microsoft face au réseau de botnets Waledac.

De leur côté, les FAI ne semblent pas enclins à accepter une telle taxation et soulignent qu'ils prennent déjà en partie le problème à charge avec leurs hot-lines ou leurs offres d'antivirus.

L'idée peut donc paraître irréalisable, voire utopique.

Pourtant, Microsoft n'est pas le premier à proposer une solution plus sociétale (police, justice, impôts, etc.) face aux malwares.

La Fondation Mozilla, qui édite le célèbre navigateur Firefox, a déjà lancé un projet communautaire baptisé Drumbeat qui a pour but (parmi d'autres) de « sécuriser le web » et de le « rendre meilleur ».
Dans ce projet, chaque utilisateur de Firefox participant est invité à se transformer en vigie du Net et en pédagogue pour éduquer le grand public et le familiariser aux problématiques de sécurité.

Alors, vraiment utopique ?


Lire aussi :

Les rubriques (actu, forums, tutos) de Développez :

Sécurité
Windows
Systèmes
Développement Web

Et vous ?

L'idée d'une taxation des FAI pour financer un programme général de lutte contre les malwares vous parait-elle bonne ou au contraire une taxe plus ou moins injuste qui ne servira à rien ?

[deadalnix]

Moi je propose de taxer les éditeurs de système d'exploitation où tout le monde se connecte en root, ainsi que les éditeurs de navigateurs vérolées tels qu'IE6.

[Jidefix]

Entre les taxes pour la lutte contre le piratage, les taxes pour la lutte contre les malwares, les probables futures taxes pour la lutte contre la pédophilie, je pense que les FAI ne vont pas tarder à tirer sérieusement la tronche... ou alors ils vont faire bondir les prix.

[smyley]

Il a surtout invoqué la taxe pour répondre à la question du financement d'un programme national / public / etc... de lutte contre les malwares et autres infections du même genre en expliquant que le problème des infections virales concerne tout le monde, vu l'adoption de l'informatique par l'ensemble de la population.

Après, pas besoin d'aller outre-atlantique pour entendre des personnes prendre les problèmes informatiques comme n'importe quoi d'autre avec des financements "étranges" (pour l'instant en tout cas. Ce sera peut-être "normal" dans un futur plus ou moins proche ...)

Vous avez oublié ? Le financement d'HADOPI !

[guidav]

On pourrait aussi taxer les transports en commun car ce sont des vecteurs de propagation des maladies.

[smyley]

ça ne te suffit pas de déjà devoir payer pour monter dedans ?

Quoique, après réflexion, si on a pu arriver à la "Taxe Google" ...

[dams78]

Et sinon les malwares ils s'installent sur quoi déjà?

[Skyounet]

Et sinon les malwares ils s'installent sur quoi déjà?

Sur les OS utilisés majoritairement

(Qui voudrait dépenser du temps et de l'argent pour un malware qui touchera au maximum 3% du parc informatique ?)

[deadalnix]

Pas uniquement.

IIS n'est pas installé sur beaucoup de machines, il y a eu pourtant quelques cas de IIS worms par le passé . . .

Ce qui importe, ce n'est pas le parc de machine, mais combien elles valent. Un botnet avec des machines basées aux US ou en Europe vaut bien plus cher qu'un autre en Chine ou en Amérique du Sud.

Et sur un serveur, ça vaut de l'or.

Mais bon, plus ça va, et plus je me demande ce qu'il faut penser des posts des MVP.

[Skyounet]

Pas uniquement.

IIS n'est pas installé sur beaucoup de machines, il y a eu pourtant quelque cas de IIS worms par le passé . . .

Non c'est vrai pas beaucoup
http://news.netcraft.com/archives/we...er_survey.html

25% c'est pas grand chose.
Pratiquement 40% fin 2007, c'est 3 fois rien...

Ce qui importent, ce n'est pas le parc de machine, mais combien elles valent. Un botnet avec des machines basés aux US ou en Europe vaut bien plus cher qu'un autre en chine ou en Amérique du sud.

Tiens donc. C'est pas la taille du botnet qui compte ?
Et il est bien connu que les machines zombies sont majoritairement des serveurs...

Imagine une seconde : tu es engagé par je sais pas trop qui pour faire un ver afin de créer un botnet gigantesque. Tu vas créer un ver pour Linux, Mac ou Windows ? Tu vas plutôt vouloir viser des machines clientes ou des machines serveur ? Un peu de bon sens !

[Firwen]

Mais bon, plus ça va, et plus je me demande ce qu'il faut penser des posts des MVP.

+100.

Ce genre d'avis tranché sans sources ni argumentation qui est craché à longueur de journée sur par les pros-windowien/linuxien/mac-addicte dés qu'on critique à un cheveu de leur OS fétiche, ça commence à être lourd ( avec généralement leur joujou favori en signature ).

Sauf erreur de ma part, c'est sensé être un forum de professionnels et non une école primaire où les gamins défendent leurs pokémons favoris.


Pour en revenir au post pré-pré-pré-cédant:

OUI les malwares sont développés sur les OS les plus courants, mais le fait que le premier fichier "kikoolol.jpg.exe" téléchargé sur l'ordinateur de madame Michou va s'exécuter au premier double-clic, c'est déjà une raison supplémentaire de diffusion malware.
Le fait certains softs/plug-ins trimbalent des failles de sécurité patchées depuis X années parce qu'ils n'ont pas de maj auto une fois installés, c'en est une autre etc...

Alors par pitié, faites un peu preuve d'objectivité et d'ouverture d'esprit parfois, ça évitera des sujets à troll comme celui de 6 pages en dessous.

[deadalnix]

25% c'est pas grand chose.
Pratiquement 40% fin 2007, c'est 3 fois rien...

Faire des pourcentages, c'est bien. Savoir ce que ça veux dire c'est mieux.

Qui à IIS installé sur sa machine? Personne? Parce que personne n'a un serveur chez lui.

Mais en fait, ça y est j'y suis ! Un serveur sous IIS : il y en a plein, c'est une cible intéressante. Un serveur LAMP, il y en a plein, mais la ce n'est pas une cible intéressante, et c'est pourquoi les pirates ne s'y attaquent pas, et donc ce n'est pas sécurisé.

Ça y est j'ai le bon?

[Skyounet]

Faire des pourcentages, c'est bien. Savoir ce que ça veux dire c'est mieux.

Qui à IIS installé sur sa machine personne. Parce que personne n'a un serveur chez lui.

Mais en fait, ça y est j'y suis ! Un serveur sous IIS : il y en a plein, c'est une cible intéressante. Un serveur LAMP, il y en a plein, mais la ce n'est pas un cible intéressante, et c'est pourquoi les pirates ne s'y attaquent pas, et donc ce n'est pas sécurisé.

Ça y est j'ai bon ?

Bon je vais reprendre
Nombre de serveur web d'après le sondage de Netcraft de janvier 2010 :
110 millions de Apache
50 millions de IIS

Nombre de machines clients sur la planète :
Plus de 1 milliard (2 milliards prévu pour 2014) dont plus ou moins 90% équipés de Windows.

Monsieur le créateur de botnet, quelle sera votre cible ?

[deadalnix]

Tout dépend de ce à quoi je destine mon botnet.

Si c'est pour envoyer du spam à la chaine, bien sûr que je ne cible pas les serveurs.

Si c'est pour récupérer des données qui valent du pognon, les serveurs seront une excellente cible.

Les serveurs sont moins nombreux, mais il y a plus de valeur ajoutée. Il en va de même pour les machines en fonction de leur localisation. Le français moyen étant plus riche que le Mexicain moyen, sa machine vaut plus cher, car il y a de meilleures opportunités de monétisation.

Et oui, le piratage, c'est aussi un business.

[Skyounet]

Si c'est pour récupérer des données qui valent du pognon, les serveurs seront une excellente cible.

Ouai.
J'ai quand même plus de chance de récupérer des données bancaires sur des machines clientes que serveur.

J'avais un pdf qui montrait l'analyse d'un botnet fait par des chercheurs qui avaient réussi à prendre possession du serveur de commande et qui avaient analysé les données reçues, ben ça devaient valoir un paquet de fric.

Ah je viens de le retrouver
http://www.cs.ucsb.edu/~seclab/proje...pig/torpig.pdf

ça a quand même l'air rentable.

[smyley]

Le français moyen étant plus riche que le mexicain moyen, sa machine vaut plus cher, car il y a de meilleur opportunités de monétisation.

Et sinon, si on a le choix entre un serveur web blindé d'une grosse compagnie qui s'empressera de porter plainte et de retrouver l'auteur du crime et 400 000 personnes crédules dans le monde qui n'auront peut-être même pas remarqué et qui n'auront aucun moyen de retrouver le coupable, on choisit quoi ?

Sinon, un bon moyen pour faire céder une entreprise c'est de bloquer son serveur et exiger une rançon (ça se fait) et pour ça il faut ... devine quoi ... un parc de botnet ...

[kmdkaci]

Quelle idée !!!
Il y a plus simple, il suffit de faire des systèmes d'exploitation plus sécurisés, qui ne privilégient pas la simplicité sur la sécurité et le tour est joué.

[smyley]

any attempt to make any system idiot proof will only challenge God to make a better idiot

Quel que soit le système, la première faille sera toujours (la crédulité de) l'utilisateur. On a beau dire ce qu'on veut, ce n'est pas malin de dire "OK" quand une page bizarre propose de scanner gratuitement son PC et d'y installer le nouvel antivirus que personne ne connaît mais qui a 100% d'efficacité ... et pourtant ça marche

Après, l'idée n'est pas forcément la meilleure, mais bon ...

[deadalnix]

J'aime bien cette citation

Cela dit, il y a quand même quelque lacune importante dans Windows. Il en manque au moins 2 :
1/ Un système de MAJ unifié pour tous les logiciels.
2/ Un droit d'exécution sur les fichiers.

Parce que dans l'état actuel des choses, tu peux véroler ton PC par une faute d'inattention.

Le problème est la rétrocompatibilité. C'est ironique je trouve, parce que si il n'y avait pas rétrocompatibilité, Windows serait probablement bien meilleur (il ne faut pas les prendre pour des tanches chez Microsoft, ils ont les moyens de faire un truc bien), mais il n'y aurait plus aucun client.

[Firwen]

Quel que soit le système, la première faille sera toujours (la crédulité de) l'utilisateur.

Tout à fait.

On parle de lutte contre les dangers d'internet, le danger des chats non surveillés accessibles aux enfants, de la lutte contre les malwares et le phising mais au final tous ces problèmes ne sont qu'un manque de formation des utilisateurs.

Même le meilleur PC avec un PC avec l'anti-virus heuristique le plus puissant ne sera jamais entièrement protégé entre les mains d'un non averti. Le Net est trop vaste pour être totalement contrôlé et l'informatique comporte trop de boites noires pour être totalement sûr.

La seule solution à ça, c'est de former l'utilisateur :
- ne pas ouvrir des pièces jointes inconnues.
- différentier une page web d'un pop-up malicieux.
- ne pas installer inconsciemment des plug-ins non certifiés.
- maintenir à jour ses logiciels.
- Ne pas mémoriser ses codes de carte bancaire....
Des gestes simples évidents pour les informaticiens, mais pas pour le grand public.

Et ça, ce n'est surement pas en taxant les FAI ou quiconque d'autre que ça se fera, c'est à l'école que ça se fait.