<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><br></div><span class="Apple-tab-span" style="white-space:pre"> </span>FYI<br><div><br><div>Begin forwarded message:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>From: </b></span><span style="font-family:'Helvetica'; font-size:medium;">Thomas Mangin <<a href="mailto:thomas.mangin@exa-networks.co.uk">thomas.mangin@exa-networks.co.uk</a>><br></span></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>Date: </b></span><span style="font-family:'Helvetica'; font-size:medium;">30 October 2010 05:38:38 GMT-02:00<br></span></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>To: </b></span><span style="font-family:'Helvetica'; font-size:medium;">UKNOF <<a href="mailto:uknof@lists.uknof.org.uk">uknof@lists.uknof.org.uk</a>><br></span></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>Subject: </b></span><span style="font-family:'Helvetica'; font-size:medium;"><b>[uknof] Fwd: [FRnOG] Détection des botnets et protection des internautes</b><br></span></div><br><div>Hello,<br><br>It appears that the FCC is starting a new working group, located at <a href="http://www.fcc.gov/pshs/advisory/csric/wg-8.pdf">http://www.fcc.gov/pshs/advisory/csric/wg-8.pdf</a> for the moment it only contain the text below.<br>The mail below list of few resource on that matter.<br><br>Thomas<br><br>---<br><br>Working Group 8 – ISP Network Protection Practices<br><br>Description: <br><br>This Working Group will investigate current practices that ISPs use to protect their networks from harms caused by the logical connection of computer equipment, as well as desired practices and associated implementation obstacles.<br><br>The work should address techniques for dynamically identifying computer equipment that is engaging in a malicious cyber attack, notifying the user, and remediating the problem. The Working Group will develop proposed recommendations for CSRIC’s consideration for best practices and actions the FCC could take that may help overcome implementation obstacles.<br><br>Duration: Twelve months.<br><br><br>Begin forwarded message:<br><br><blockquote type="cite">From: David Bizeul <<a href="mailto:dbizeul@gmail.com">dbizeul@gmail.com</a>><br></blockquote><blockquote type="cite">Date: 29 October 2010 23:18:06 GMT+01:00<br></blockquote><blockquote type="cite">To: <a href="mailto:frnog@frnog.org">frnog@frnog.org</a><br></blockquote><blockquote type="cite">Subject: [FRnOG] Détection des botnets et protection des internautes<br></blockquote><blockquote type="cite">Reply-To: David Bizeul <<a href="mailto:dbizeul@gmail.com">dbizeul@gmail.com</a>><br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">Bonjour à tous,<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">La FCC va prochainement publier un document de bonnes pratiques pour<br></blockquote><blockquote type="cite">les FAI en matière de détection et de protection contre diverses<br></blockquote><blockquote type="cite">activités de cybercriminalité.<br></blockquote><blockquote type="cite">Le groupe de travail est localisé à l'adresse<br></blockquote><blockquote type="cite"><a href="http://www.fcc.gov/pshs/advisory/csric/wg-8.pdf">http://www.fcc.gov/pshs/advisory/csric/wg-8.pdf</a>.<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">De mon point de vue, cela reprend les différentes expérimentations qui<br></blockquote><blockquote type="cite">fleurissent à travers le monde :<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">- septembre : Initiative allemande pour détecter les utilisateurs<br></blockquote><blockquote type="cite">compromis : <a href="http://www.cio.com.au/article/359491/germany_launch_antibotnet_program_consumers/">http://www.cio.com.au/article/359491/germany_launch_antibotnet_program_consumers/</a><br></blockquote><blockquote type="cite">- septembre : l'IETF propose des bonnes pratiques pour détecter les<br></blockquote><blockquote type="cite">bots pour les ISP (<a href="http://isc.sans.edu/diary.html?storyid=7138">http://isc.sans.edu/diary.html?storyid=7138</a>)<br></blockquote><blockquote type="cite">- juillet : Virgin Media détecte les bots et notifie ses clients<br></blockquote><blockquote type="cite">(<a href="http://www.theregister.co.uk/2010/08/16/vm_malware/">http://www.theregister.co.uk/2010/08/16/vm_malware/</a>)<br></blockquote><blockquote type="cite">- juin : les Etats Unis recherchent à calquer les actions entreprises<br></blockquote><blockquote type="cite">en Australie (<a href="http://www.zdnet.com.au/us-interested-in-aussie-zombie-code-339304063.htm?omnRef=NULL">http://www.zdnet.com.au/us-interested-in-aussie-zombie-code-339304063.htm?omnRef=NULL</a>)<br></blockquote><blockquote type="cite">- juin : les FAI australiens proposent de déconnecter leurs clients<br></blockquote><blockquote type="cite">sans antivirus (<a href="http://www.darknet.org.uk/2010/06/australians-propose-no-anti-virus-no-internet-connection-policy/">http://www.darknet.org.uk/2010/06/australians-propose-no-anti-virus-no-internet-connection-policy/</a>)<br></blockquote><blockquote type="cite">- juin : les FAI australiens mettent en quarantaine leurs clients à<br></blockquote><blockquote type="cite">risque (<a href="http://www.computerweekly.com/Articles/2010/06/09/241511/Australian-ISP-code-could-defeat-new-generation-of-DDoS-attacks-says.htm">http://www.computerweekly.com/Articles/2010/06/09/241511/Australian-ISP-code-could-defeat-new-generation-of-DDoS-attacks-says.htm</a>)<br></blockquote><blockquote type="cite">- les ISP japonais utilisent une plateforme centralisée pour détecter<br></blockquote><blockquote type="cite">les bots (<a href="http://krebsonsecurity.com/2010/03/talking-bots-with-japans-cyber-clean-center/">http://krebsonsecurity.com/2010/03/talking-bots-with-japans-cyber-clean-center/</a>)<br></blockquote><blockquote type="cite">- 2009 : Comcast lance son programme anti botnet:<br></blockquote><blockquote type="cite"><a href="http://blog.comcast.com/2009/10/security-scene-introducing-constant-guard.html">http://blog.comcast.com/2009/10/security-scene-introducing-constant-guard.html</a><br></blockquote><blockquote type="cite">- 2009 : 14 FAIs néerlandais luttent conjointement contre les botnets<br></blockquote><blockquote type="cite">: <a href="http://www.darkreading.com/blog/archives/2009/09/dutch_isps_sign.html">http://www.darkreading.com/blog/archives/2009/09/dutch_isps_sign.html</a><br></blockquote><blockquote type="cite">- 2007 : Quest : <a href="http://news.qwest.com/index.php?s=43&item=305">http://news.qwest.com/index.php?s=43&item=305</a><br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">Des organismes sont leaders en la matière, notamment la IIA<br></blockquote><blockquote type="cite">(<a href="http://www.iia.net.au/">http://www.iia.net.au/</a>), le CCC (<a href="https://www.ccc.go.jp/en_ccc/">https://www.ccc.go.jp/en_ccc/</a>) et<br></blockquote><blockquote type="cite">permettent de coordonner les actions entre opérateurs.<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">Bref, beaucoup de choses sont en train de changer en ce moment dans la<br></blockquote><blockquote type="cite">sphère Internet et les FAIs, sollicités depuis longtemps pour prendre<br></blockquote><blockquote type="cite">part à cette lutte semblent dorénavant adresser le sujet partout dans<br></blockquote><blockquote type="cite">le monde... sauf en France (j'exagère juste un peu)<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">Je sais pourtant que des actions techniques sont réalisées<br></blockquote><blockquote type="cite">ponctuellement chez certains opérateurs mais rien ne ressort en terme<br></blockquote><blockquote type="cite">de service officiel.<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">Ma question est donc simple : pourquoi ne faisons nous rien en France<br></blockquote><blockquote type="cite">? Sommes nous différents des autres, cela ne nous coûte t-il rien ?<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">Je ne sais pas si les impacts suivants sont quantifiables :<br></blockquote><blockquote type="cite">- coût d'opérateurs de call center sollicités parce que les clients<br></blockquote><blockquote type="cite">sont infectés et leur ordinateur a un comportement inadéquat ;<br></blockquote><blockquote type="cite">- coût d'une structure abuse qui devra réagir pour des campagnes de<br></blockquote><blockquote type="cite">spams envoyés par des bots sur des clients;<br></blockquote><blockquote type="cite">- coût des réquisitions judiciaires pour causes de machine compromise<br></blockquote><blockquote type="cite">impliquée dans un schéma de fraude;<br></blockquote><blockquote type="cite">- coût d'une mobilisation d'experts techniques pour lutter contre des<br></blockquote><blockquote type="cite">clients à la source de dénis de service;<br></blockquote><blockquote type="cite">- charge induite sur les serveurs SMTP et DNS des FAI à cause des bots;<br></blockquote><blockquote type="cite">- coût de frais de transit pour toutes les communications liées aux bots;<br></blockquote><blockquote type="cite">- amélioration de la satisfaction client et développement de la<br></blockquote><blockquote type="cite">confiance dans l'économis numérique en ligne;<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">Si tel est le cas, il serait intéressant de réfléchir à des actions<br></blockquote><blockquote type="cite">concrètes qui pourraient être réalisées en suivant d'autres modèles :<br></blockquote><blockquote type="cite">- mise en quarantaine des clients identifiés à risque et navigation restreinte<br></blockquote><blockquote type="cite">- sensibilisation adaptée en ligne à ces clients<br></blockquote><blockquote type="cite">- approche service de sécurité avec souscription de service en mode opt-in<br></blockquote><blockquote type="cite">- approche service de sécurité tout intégré proposé par défaut au client<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">Pour ma part, je serai ravi de promouvoir à mon entourage le FAI<br></blockquote><blockquote type="cite">français qui fera les premiers pas sur ce sujet.<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">J'espère que ce post fera permettra de susciter des réflexions autres<br></blockquote><blockquote type="cite">que le sempiternel débat sur la "neutralité du net".<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">Bon week end<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">David Bizeul<br></blockquote><blockquote type="cite">---------------------------<br></blockquote><blockquote type="cite">Liste de diffusion du FRnOG<br></blockquote><blockquote type="cite"><a href="http://www.frnog.org/">http://www.frnog.org/</a><br></blockquote><blockquote type="cite"><br></blockquote><br><br></div></blockquote></div><br></body></html>