le Commissions fédérales des communications (FCC) pourrait bientôt lancer un certain nombre de nouvelles initiatives pour encourager les fournisseurs de services Internet à mieux nettoyer les PC infectés par des robots et les sites Web malveillants sur leurs réseaux, a appris BreachTrace.
Plus tôt cette année, la commission a sollicité les commentaires du public sur sa « feuille de route pour la cybersécurité », un plan ambitieux visant à identifier les vulnérabilités dangereuses de l’infrastructure Internet, ainsi que les menaces pour les consommateurs, les entreprises et les gouvernements. Deux fois au cours des dernières semaines, j’ai eu l’occasion de discuter avec Jeffrey Goldthorpchef de bureau associé de la FCC Bureau de la sécurité publique et de la sécurité intérieure sur certaines des idées que la commission envisage d’inclure dans la feuille de route finale, qui doit être publiée en janvier 2011.
Goldthorp a déclaré que la commission pouvait faire plusieurs choses pour inciter les FAI à agir plus vigoureusement pour protéger les utilisateurs résidentiels contre les infections par les programmes de robots.
«Dans ce sens, il y aurait quelque chose comme un« code de conduite »FAI et une approche axée sur les meilleures pratiques que les FAI pourraient opter ou non, essentiellement une norme de comportement que les FAI devraient suivre lorsqu’ils découvrent qu’un de leurs utilisateurs a été infecté », a déclaré Goldthorp. « Le but serait d’assainir les réseaux grand public et résidentiel. Nous sommes également très intéressés à essayer de déterminer s’il existe des règles dans nos livres qui empêchent les FAI d’être plus proactifs et de créer un environnement plus sûr pour les consommateurs en ligne.
En outre, Goldthorp a déclaré que la FCC envisage des moyens d’encourager les FAI à être plus proactifs face aux sites Web malveillants.
« Au niveau du serveur, nous envisageons de faire des choses qui nous permettraient, dans un rôle opérationnel, d’appliquer notre compétence avec les FAI et d’essayer de réduire le temps de remédiation de choses comme les hôtes malveillants et les sites de phishing ou de spam », il a dit. « C’est vraiment un domaine qui [the FCC is] ne rien faire en ce moment. Nous n’obtenons aucune information sur ce que sont ces sites et sur ce que nous pourrions faire à leur sujet. Donc, nous nous attendons à ce que nous proposions des choses spécifiques sur tous ces domaines de la feuille de route.
Incité en partie par la demande de commentaires de la FCC, j’ai écrit une colonne pour OSC en ligne le mois dernier au cours duquel j’ai demandé à la commission de commencer à mesurer la réactivité des FAI à annuler les menaces malveillantes qui s’installent sur leurs réseaux. L’une des façons dont j’ai suggéré que la commission pourrait le faire est de publier des données sur la méchanceté sur ces réseaux – des données qui sont déjà collectées par une myriade de groupes principalement dirigés par des bénévoles qui surveillent ce type d’activité.
Goldthorp a déclaré que la commission a rencontré un certain nombre de personnes de ces groupes et envisage également ce qu’elle pourrait faire pour aider ces groupes à mettre en lumière les FAI qui ont un nombre important de clients à problèmes qui restent infectés pendant de longues périodes.
« L’idée que la FCC puisse être au milieu de cela et négocier une partie de cette prise de conscience afin que le temps de remédiation puisse être minimisé est très attrayante », a-t-il déclaré. « Au minimum, il y a des choses que nous pouvons faire pour faire la lumière là-dessus, et nous n’avons pas besoin d’un vote de la commission à ce sujet pour le faire. »
UNE IDÉE DONT L’HEURE EST VENUE, OU UNE INVITATION CHEZ BIG BROTHER ?
Un certain nombre d’autres commencent à insister sur l’idée que les FAI deviennent plus proactifs dans le nettoyage des clients problématiques. Comcastle plus grand fournisseur d’accès Internet haut débit résidentiel du pays, a annoncé la semaine dernière qu’il avait commencé à déployer un service de notification de bot à l’ensemble de ses 16 millions de clients à l’échelle nationale.
Mardi, un haut dirigeant de Microsoft a appelé à la création de normes de l’industrie des FAI pour traiter les infections de botnet. Parlant à la Conférence International Security Solutions Europe à Berlin, Scott Charneyvice-président de Microsoft pour l’informatique de confiance, a suggéré qu’il était temps de commencer à voir l’épidémie de robots à travers le prisme des modèles de santé publique utilisés pour lutter contre la propagation des maladies infectieuses humaines.
Pour y parvenir, Charney a déclaré que les appareils connectés à Internet pourraient être tenus de présenter un « certificat de santé » comme condition d’accès à Internet. Les conditions qui peuvent être présentées dans un tel certificat incluent si le client utilise un logiciel de sécurité à jour, un antivirus et si l’appareil présente des infections évidentes. Dans de tels cas où le certificat d’intégrité d’une machine révèle des correctifs manquants ou des signatures de virus obsolètes, le FAI pourrait fournir un avis à cet effet.
« Si le problème est plus grave (la machine crache des paquets malveillants) – ou si l’utilisateur refuse de produire un certificat de santé dans un premier temps – d’autres solutions, telles que la limitation de la bande passante de l’appareil potentiellement infecté, peuvent être appropriées », Charney suggère dans son article intitulé Défense collective : appliquer des modèles de santé publique à Internet. « En termes simples, nous devons améliorer et maintenir la santé des appareils grand public connectés à Internet. »
Malheureusement, ce modèle commence à s’effondrer assez rapidement si vous ne pouvez pas garantir l’intégrité de ces certificats, ou si d’autres peuvent abuser des informations qu’ils contiennent à des fins néfastes. C’est là que réside ce qui pourrait être l’élément le plus controversé de la proposition de Charney : l’inclusion d’une approche matériel+logiciel capable de créer une « confiance de bout en bout » entre le PC du consommateur et le fournisseur de services.
« Combiner un logiciel de confiance (c’est-à-dire hyperviseurs) et le matériel (c’est-à-dire Module de plate-forme de confiance) pourraient en outre permettre aux appareils grand public de créer des certificats de santé robustes et d’assurer l’intégrité des informations des utilisateurs », écrit Charney.
Dans une conversation téléphonique au sujet de son article, Charney a déclaré qu’un tel système devrait être conçu de manière ouverte et transparente afin qu’il ne puisse pas être utilisé pour d’autres types d’activités de police en ligne, telles que la protection de la propriété intellectuelle ou la chasse aux prédateurs d’enfants.
« Ce sont des choses qui, de par leur conception, leurs politiques et leurs règles, peuvent être interdites », a-t-il déclaré. « Donc avec Windows Updatebien sûr, c’est une fonctionnalité qui téléphone à Microsoft, mais nous faisons auditer cette fonctionnalité par un tiers pour nous assurer qu’elle fonctionne de la manière dont nous l’avons décrite et uniquement de cette manière.
Quant à qui paierait tout cela ? Charney reconnaît qu’un tel changement ne serait pas bon marché, bien qu’il ait déclaré qu’il ne suggérait pas de nouvelles taxes ni ne s’opposait à l’idée. Au contraire, Charney a déclaré qu’il espérait stimuler la discussion et le débat publics sur la proposition.
« J’ai fait un commentaire lors de la dernière conférence RSA sur les modèles de financement pour cette idée, et tous ces articles sont sortis en disant ‘Charney a appelé à la taxation d’Internet.’ Je n’ai rien fait de tel, mais je pense qu’il faudrait réfléchir à la façon dont vous soutenez ce genre d’efforts », a-t-il déclaré. « Le marché pourrait en fait le faire car il est bon de se débarrasser des logiciels malveillants et c’est une meilleure expérience client. Mais si le marché ne le fait pas, nous devons être prêts en tant que société à dire que c’est un problème suffisamment sérieux.
Alors qu’en est-il des lecteurs? Que pensez-vous de la direction que prend la FCC ? A propos des idées de Charney ? Y a-t-il des aspects de sa proposition que vous aimez ou que vous méprisez positivement ? Sonnez dans les commentaires ci-dessous.