Auteur Sujet: Le dispositif DNS « anti-arnaques » de la Belgique: Belgian Anti Phishing Shield (Lu 9960 fois)

vivien · « **le:** 24 mars 2022 à 15:14:48 »

Le dispositif DNS « anti-arnaques » de la Belgique : Belgian Anti Phishing Shield

La Belgique s'est doté en 2021 d'une protection contre l’hameçonnage et les logiciels malveillants basée sur le DNS activée par défaut : Les opérateurs télécoms Belge ont l'obligation de filtrer les sites néfastes. La liste des sites problématiques semble mis à jour par le "Centre pour la Cybersécurité Belgique".

Le fonctionnement du Belgian Anti Phishing Shield

Le Centre pour la Cybersécurité Belgique (CCB ci-dessous) détermine des noms de domaines malveillants et transmet cette liste aux principaux fournisseurs d'accès à internet Belges.

Les FAI ont l'obligation de renvoyer la liste des sites Internet malveillants vers l'IPv4 52.149.77.208, hébergée par le cloud Microsoft Azure

Les clients voient une fenêtre de leur navigateur "Attention : risque probable de sécurité", car le certificat HTTPS présenté n'est pas le bon.

vivien · « **Réponse #1 le:** 24 mars 2022 à 15:15:38 »

La communication de la Belgique tente de faire croire, que l'utilisateur peut facilement passer le message d'avertissement qui est affiché.

"Il s’agit d’un système qui avertit l'internaute de sites frauduleux."

C'est en partie faux : Il s'agit d'un système qui bloque l'internaute. La seule solution pour passer outre l'avertissement est de changer de fournisseur DNS, opération qui peut être complexe pour un non-informaticien.

On peut saluer toutefois qu'une page explique comment désactiver la protection, en poussant le client à utiliser les DNS de Google, Cloudflare ou IBM.

La problématique ?

Cela fait tomber la protection contre l’hameçonnage, mais également tous les autres filtrages imposés par la justice en Belgique.

Il existe de grandes familles de sites web bloqués en Belgique :
- sites incitant au terrorisme
- sites pédopornographiques
- sites de vente d’objets contrefaits / médicaments
- sites de téléchargement illégal bloqué par la justice
- sites de jeux non autorisés

En incitant les internautes à changer de DNS, tous ces filtrages, dont certains sont importants pour une démocratie, tombent. Cela peut donc être contre productif, si de nombreux clients souhaitent se débarrasser de la protection contre l’hameçonnage.

La page qui guide pour changer ses DNS :

vivien · « **Réponse #2 le:** 24 mars 2022 à 15:18:16 »

La communication de la Belgique indique que "le serveur DNS du FAI redirige l'utilisateur vers une page d'avertissement"

Aujourd'hui tous les sites sont en HTTPS et la "page d'avertissement" ne s'affiche alors pas directement.

Voici la page sur laquelle on arrive avec Firefox :

Pour afficher la page d'avertissement, il faut cliquer sur "Avancé" pour affiche la partie base de la page, puis sur "Accepter et poursuivre le risque"

Et oui, le certificat n'est pas le bon :

vivien · « **Réponse #3 le:** 24 mars 2022 à 15:22:19 »

Si on poursuit, on arrive à la page d'avertissement, qui est bien faite, rédigée en 4 langues et qui intègre trois liens :

- Plus d’infos au sujet de cette initiative : https://baps.ccb.belgium.be/fr/belgian-anti-phishing-shield/
- L'application Safeonweb : https://www.safeonweb.be/index.php/fr/safeonweb-app
- Pour ne plus être couvert par cette mesure de protection, "vous pouvez la désactiver à vos risques et périls" : http://baps.ccb.belgium.be/fr/pas-besoin-protection/

vivien · « **Réponse #4 le:** 24 mars 2022 à 15:28:28 »

L’application Safeonweb

C'est une application Android et iOS que les Français ne peuvent pas télécharger.

Safeonweb a deux onglets :
- « News » qui informent sur des cybermenaces qui touchent la Belgique et des conseils pour encore améliorer la protection en ligne.
- « Menaces » qui concerne des alertes détectées sur votre IP : Si votre adresse IPv4 est restée inchangée pendant une période suffisamment longue, l'application vous informera si un virus informatique a été signalé par un partenaire externe sur votre adresse IPv4 publique. On ne sait pas si le mécanisme fonctionne également en IPv6.

Copie d'écran de l'application Safeonweb :

Vidéo de présentation de l'application Safeonweb :

Toutes les informations données sur Safeonweb :

vivien · « **Réponse #5 le:** 24 mars 2022 à 15:40:25 »

À noter que les navigateurs intègrent déjà de protection contre l’hameçonnage : Le Belgian Anti Phishing Shield a dont peu d’intérêt quand il bloque le nom de domaine d'une URL déjà filtrée par Mozilla Firefox, Google Chrome, Microsoft Edge ou Apple Safari.

Mais au contraire de ces solutions contrôlées par des sociétés américaines, Le Belgian Anti Phishing Shield est une solution de blocage souveraine qui pourrait permettre de bloquer plus rapidement des menaces spécifiques à la Belgique et c'est là que le dispositif a tout son intérêt.

Firefox a dans la partie "Sécurité", un "Protection contre les contenus trompeurs et les logiciels dangereux"

Firefox utilise en grande partie la base de donnée Google Safe Browsing. La liste des contenus trompeurs et les logiciels dangereux est donc proche de celle de Google Chrome.

- Bloquer les contenus dangereux ou trompeurs : Firefox bloque les logiciels malveillants potentiels ou les contenus qui vous incitent à télécharger des logiciels malveillants ou à donner de façon non intentionnelle des informations.

- Bloquer les téléchargements dangereux : bloque les virus potentiels et autres logiciels malveillants.

- Me signaler la présence de logiciels indésirables ou peu communs : vous avertit si vous êtes susceptible de télécharger des logiciels potentiellement indésirables ou des logiciels peu communs qui pourraient contenir un virus ou faire des changements non désirés sur votre ordinateur.

Les protections de Mozilla Firefox sont activées par défaut : tous les utilisateurs en bénéficient sans rien faire.

vivien · « **Réponse #6 le:** 24 mars 2022 à 15:46:38 »

Google Chrome à dans la partie "Sécurité" une "Navigation sécurisée" qui propose un peu près la même chose que Firefox, mais avec un mode "Protection renforcée" qui envoie des données à Google en échange d'une protection qui serait renforcée.

(Firefox propose également d'être informé sur la compromission d'un mot de passe, c'est tout simplement rangé dans une autre section pour Firefox)

Les protections de Google Chrome sont activées par défaut.

Pour la suite de mon article, j'ai téléchargé Microsoft Edge et surprise, Google l'a considéré comme un logiciel malveillant !

vivien · « **Réponse #7 le:** 24 mars 2022 à 15:52:59 »

Si Microsoft Edge est très proche de Google Chrome (la grande partie est issue du projet Chromium pour les deux navigateurs), la protection contre les contenus trompeurs et les logiciels dangereux est spécifique à Microsoft.

Si Firefox et Chrome se basent sur Google Safe Browsing, Edge se base sur Microsoft Defender SmartScreen

Les protections de Microsoft Edge semblent particulièrement complètes et activées par défaut (même sous Linux, Edge tourne ici sous Ubuntu).

On note même une protection contre le typo squattage. Le typo squattage détourne le trafic destiné à des sites web connus en utilisant des adresses correspondant à des fautes de frappe ou des erreurs typographiques (« fautes de frappe ») fréquentes de ces sites légitimes. Si vous laissez cette option active, Microsoft Edge vous avertira si vous avez mal orthographié ou entré un nom de domaine commun.

pju91 · « **Réponse #8 le:** 24 mars 2022 à 15:58:58 »

Si c'est pour se protéger du phishing, les "méchants" peuvent envisager de se passer de DNS en invitant leurs victimes à cliquer sur des liens avec des adresses IP (et donc sans nom de domaine), plus ou moins dissimulées.
Par exemple 0xD973A22E est l'adresse de ... arcep.fr

Bien sûr, ça ne marchera pas pour un lien en https et ça devrait éveiller l'attention de l'utilisateur.

vivien · « **Réponse #9 le:** 24 mars 2022 à 16:13:44 »

L’hameçonnage marche moins bien sans le nom DNS (surtout qu'il est compliqué d'obtenir un certificat HTTPS pour une adresse IP)

Mais oui, on voit des services (notamment dans le piratage de flux sportifs en direct) ne plus mettre de DNS pour limiter les possibilités de blocage.

Taboin · « **Réponse #10 le:** 24 mars 2022 à 16:15:46 »

Je pense que le fait que les sites de téléchargement illégaux soient bloqués, va faire que beaucoup de personne se passeront de ce système qui pourraient être une bonne idée.

vivien · « **Réponse #11 le:** 24 mars 2022 à 16:18:56 »

Non, les téléchargements illégaux ne sont pas bloqués par ce système.

C'est comme en France suite à des décisions de justice qui impose le blocage des certains sites aux opérateurs.

Ce système se limite aux sites frauduleux.