Une proposition visant à laisser les fournisseurs de services Internet dissimuler les informations de contact de leurs clients commerciaux suscite le feu d’un certain nombre d’experts de la communauté de la sécurité, qui affirment que le changement rendra plus difficile l’atténuation de la menace des spams et des logiciels malveillants.
le Registre américain des numéros Internet (ARIN) – l’un des cinq registres régionaux dans le monde qui est responsable de l’attribution de blocs d’adresses Internet – plus tard ce mois-ci, examinera une proposition pour assouplir les règles qui obligent les FAI à publier les adresses et les numéros de téléphone de leurs clients professionnels.
L’idée est soutenue par plusieurs FAI qui affirment que la politique actuelle oblige les FAI à publier efficacement leurs listes de clients.
« J’opère dans une entreprise très compétitive, et il y a des cas où je peux montrer que mes concurrents sont sortis et ont récolté les coordonnées des clients et les ont utilisées pour essayer de leur enlever ces clients », a déclaré Aaron Wendeldirecteur technique à Kansas City basé Commerce de gros Internet inc., et l’auteur de la proposition. « Je n’ai pas encore trouvé d’autre industrie privée non liée au gouvernement qui vous oblige à rendre vos listes de clients accessibles au public sur Internet. »
Les détracteurs du plan affirment qu’il ne fera que conduire à des litiges et à de la confusion, tout en aidant les spammeurs et autres acteurs louches qui obtiennent des blocs d’adresses en se faisant passer pour des entreprises légitimes.
Jeff Chanqui maintient Surbl.orgune liste de sites Web qui sont apparus dans des courriers indésirables, a déclaré dans des commentaires écrits sur la proposition qu’il faudrait effectivement une ordonnance du tribunal à ARIN pour découvrir l’utilisateur professionnel d’une adresse Internet, car la proposition n’envisage pas un processus par lequel les FAI seraient tenus de divulguer les informations.
« De telles restrictions pourraient gravement entraver les opérations privées qui aident de manière significative à sécuriser Internet, telles que la recherche sur la sécurité, l’atténuation des botnets et des logiciels malveillants, la notification des serveurs et réseaux piratés, etc. », a écrit Chan. « En ralentissant l’accès aux informations de contact, voire en restreignant fortement l’accès à celles-ci, les actions de routine qui contribuent aujourd’hui à protéger la communauté Internet pourraient être gravement entravées au point de les empêcher de se produire dans de nombreux cas. »
Des experts en sécurité de Pay Pal a fait remarquer qu’ARIN devrait envisager des moyens de rendre la propriété des blocs d’adresses plus transparente – pas moins – citant des recherches publiées par BreachTrace.com qui a examiné les FAI les plus souvent identifiés sur les listes des dix pires FAI, par dix organisations différentes qui mesurent la réputation des FAI.
« Les préoccupations que nous soulevons ci-dessus ne sont pas non plus purement hypothétiques. Cette semaine seulement, nous avons vu la publication de données sur des FAI potentiellement malveillants qui peignent avec un pinceau assez large en raison de la façon dont les données d’enregistrement sont représentées au monde extérieur », a écrit Andy Steingrubel et Jon Orbeton, membres de l’équipe de sécurité de Paypals. « Sans une meilleure visibilité sur les véritables acteurs malveillants, la communauté est obligée de considérer certains grands FAI avec plus de suspicion qu’ils ne le devraient. Des registres plus précis… peuvent aider à prévenir cette situation.
La principale préoccupation exprimée par les acteurs de l’industrie de la sécurité est que le changement de politique permettrait de cacher plus facilement les traces de soi-disant spammeurs en raquettes. Selon Spamhaus.org, ce sont des spammeurs qui utilisent « de nombreux noms commerciaux fictifs, de faux noms et identités, et changent fréquemment de boîtes de dépôt postales et de boîtes vocales. À l’inverse, les expéditeurs légitimes s’efforcent de bâtir une réputation de marque basée sur une véritable adresse professionnelle, un domaine connu et une petite plage permanente d’adresses Internet d’envoi. Les raquetteurs utilisent souvent des informations anonymes ou non identifiables QUI EST alors que les expéditeurs légitimes sont fiers de fournir leur identité de bonne foi ».
En effet, Spamhaus a identifié un assez grand nombre de spammeurs de snowshow opérant apparemment à partir de Wholesale Internet.
Wendel a déclaré que son entreprise avait un employé à temps plein qui gère les plaintes pour abus et déconnecte les clients qui génèrent des plaintes pour abus de spam.
« Malheureusement, les spammeurs sont attirés par nous parce que [our service is] bon marché et leur responsabilité [for losing servers to abuse complaints] est beaucoup plus faible. C’est juste la nature de l’entreprise, malheureusement.
Pourtant, Wendel a déclaré qu’il n’était pas préparé à la réaction du public à sa proposition.
« Avant que je fasse flotter ce [proposal], J’ai eu beaucoup de gens qui disaient, ‘Bonne chance, et garde la tête baissée.’ Je savais que j’allais attraper du flack pour ça, mais ça a généré un peu plus de flack que ce à quoi je m’attendais.
ARIN devrait se prononcer sur la proposition plus tard ce mois-ci lors de sa réunion à Toronto.