La Fibre
Forum : => Hors de France => Belgique => Discussion démarrée par: vivien le 24 mars 2022 à 15:14:48
-
Le dispositif DNS « anti-arnaques » de la Belgique : Belgian Anti Phishing Shield
La Belgique s'est doté en 2021 d'une protection contre l’hameçonnage et les logiciels malveillants basée sur le DNS activée par défaut : Les opérateurs télécoms Belge ont l'obligation de filtrer les sites néfastes. La liste des sites problématiques semble mis à jour par le "Centre pour la Cybersécurité Belgique".
Le fonctionnement du Belgian Anti Phishing Shield
Le Centre pour la Cybersécurité Belgique (CCB ci-dessous) détermine des noms de domaines malveillants et transmet cette liste aux principaux fournisseurs d'accès à internet Belges.
Les FAI ont l'obligation de renvoyer la liste des sites Internet malveillants vers l'IPv4 52.149.77.208, hébergée par le cloud Microsoft Azure
Les clients voient une fenêtre de leur navigateur "Attention : risque probable de sécurité", car le certificat HTTPS présenté n'est pas le bon.
(https://lafibre.info/images/ssl/202203_belgian_anti_phishing_shield_2.png)
-
La communication de la Belgique tente de faire croire, que l'utilisateur peut facilement passer le message d'avertissement qui est affiché.
"Il s’agit d’un système qui avertit l'internaute de sites frauduleux."
C'est en partie faux : Il s'agit d'un système qui bloque l'internaute. La seule solution pour passer outre l'avertissement est de changer de fournisseur DNS, opération qui peut être complexe pour un non-informaticien.
On peut saluer toutefois qu'une page explique comment désactiver la protection, en poussant le client à utiliser les DNS de Google, Cloudflare ou IBM.
La problématique ?
Cela fait tomber la protection contre l’hameçonnage, mais également tous les autres filtrages imposés par la justice en Belgique.
Il existe de grandes familles de sites web bloqués en Belgique :
- sites incitant au terrorisme
- sites pédopornographiques
- sites de vente d’objets contrefaits / médicaments
- sites de téléchargement illégal bloqué par la justice
- sites de jeux non autorisés
En incitant les internautes à changer de DNS, tous ces filtrages, dont certains sont importants pour une démocratie, tombent. Cela peut donc être contre productif, si de nombreux clients souhaitent se débarrasser de la protection contre l’hameçonnage.
La page qui guide pour changer ses DNS :
(https://lafibre.info/images/ssl/202203_belgian_anti_phishing_shield_3.png)
-
La communication de la Belgique indique que "le serveur DNS du FAI redirige l'utilisateur vers une page d'avertissement"
Aujourd'hui tous les sites sont en HTTPS et la "page d'avertissement" ne s'affiche alors pas directement.
Voici la page sur laquelle on arrive avec Firefox :
Pour afficher la page d'avertissement, il faut cliquer sur "Avancé" pour affiche la partie base de la page, puis sur "Accepter et poursuivre le risque"
(https://lafibre.info/images/ssl/202203_belgian_anti_phishing_shield_4.png)
Et oui, le certificat n'est pas le bon :
(https://lafibre.info/images/ssl/202203_belgian_anti_phishing_shield_5.png)
-
Si on poursuit, on arrive à la page d'avertissement, qui est bien faite, rédigée en 4 langues et qui intègre trois liens :
- Plus d’infos au sujet de cette initiative : https://baps.ccb.belgium.be/fr/belgian-anti-phishing-shield/
- L'application Safeonweb : https://www.safeonweb.be/index.php/fr/safeonweb-app
- Pour ne plus être couvert par cette mesure de protection, "vous pouvez la désactiver à vos risques et périls" : http://baps.ccb.belgium.be/fr/pas-besoin-protection/
(https://lafibre.info/images/ssl/202203_belgian_anti_phishing_shield_1.png)
-
L’application Safeonweb
C'est une application Android et iOS que les Français ne peuvent pas télécharger.
Safeonweb a deux onglets :
- « News » qui informent sur des cybermenaces qui touchent la Belgique et des conseils pour encore améliorer la protection en ligne.
- « Menaces » qui concerne des alertes détectées sur votre IP : Si votre adresse IPv4 est restée inchangée pendant une période suffisamment longue, l'application vous informera si un virus informatique a été signalé par un partenaire externe sur votre adresse IPv4 publique. On ne sait pas si le mécanisme fonctionne également en IPv6.
Copie d'écran de l'application Safeonweb :
(https://lafibre.info/images/ssl/202203_belgian_anti_phishing_shield_6.png)
Vidéo de présentation de l'application Safeonweb :
https://lafibre.info/videos/android/202107_belgique_application_safonweb.webm
Toutes les informations données sur Safeonweb :
(https://lafibre.info/images/ssl/202203_belgian_anti_phishing_shield_7.png)
-
À noter que les navigateurs intègrent déjà de protection contre l’hameçonnage : Le Belgian Anti Phishing Shield a dont peu d’intérêt quand il bloque le nom de domaine d'une URL déjà filtrée par Mozilla Firefox, Google Chrome, Microsoft Edge ou Apple Safari.
Mais au contraire de ces solutions contrôlées par des sociétés américaines, Le Belgian Anti Phishing Shield est une solution de blocage souveraine qui pourrait permettre de bloquer plus rapidement des menaces spécifiques à la Belgique et c'est là que le dispositif a tout son intérêt.
Firefox a dans la partie "Sécurité", un "Protection contre les contenus trompeurs et les logiciels dangereux"
Firefox utilise en grande partie la base de donnée Google Safe Browsing. La liste des contenus trompeurs et les logiciels dangereux est donc proche de celle de Google Chrome.
(https://lafibre.info/images/ssl/202203_navigation_securisee_firefox.png)
- Bloquer les contenus dangereux ou trompeurs : Firefox bloque les logiciels malveillants potentiels ou les contenus qui vous incitent à télécharger des logiciels malveillants ou à donner de façon non intentionnelle des informations.
- Bloquer les téléchargements dangereux : bloque les virus potentiels et autres logiciels malveillants.
- Me signaler la présence de logiciels indésirables ou peu communs : vous avertit si vous êtes susceptible de télécharger des logiciels potentiellement indésirables ou des logiciels peu communs qui pourraient contenir un virus ou faire des changements non désirés sur votre ordinateur.
Les protections de Mozilla Firefox sont activées par défaut : tous les utilisateurs en bénéficient sans rien faire.
-
Google Chrome à dans la partie "Sécurité" une "Navigation sécurisée" qui propose un peu près la même chose que Firefox, mais avec un mode "Protection renforcée" qui envoie des données à Google en échange d'une protection qui serait renforcée.
(Firefox propose également d'être informé sur la compromission d'un mot de passe, c'est tout simplement rangé dans une autre section pour Firefox)
Les protections de Google Chrome sont activées par défaut.
(https://lafibre.info/images/ssl/202203_navigation_securisee_chrome_1.png)
Pour la suite de mon article, j'ai téléchargé Microsoft Edge et surprise, Google l'a considéré comme un logiciel malveillant !
(https://lafibre.info/images/ssl/202203_navigation_securisee_chrome_2.png)
-
Si Microsoft Edge est très proche de Google Chrome (la grande partie est issue du projet Chromium pour les deux navigateurs), la protection contre les contenus trompeurs et les logiciels dangereux est spécifique à Microsoft.
Si Firefox et Chrome se basent sur Google Safe Browsing, Edge se base sur Microsoft Defender SmartScreen
Les protections de Microsoft Edge semblent particulièrement complètes et activées par défaut (même sous Linux, Edge tourne ici sous Ubuntu).
On note même une protection contre le typo squattage. Le typo squattage détourne le trafic destiné à des sites web connus en utilisant des adresses correspondant à des fautes de frappe ou des erreurs typographiques (« fautes de frappe ») fréquentes de ces sites légitimes. Si vous laissez cette option active, Microsoft Edge vous avertira si vous avez mal orthographié ou entré un nom de domaine commun.
(https://lafibre.info/images/ssl/202203_navigation_securisee_edge.png)
-
Si c'est pour se protéger du phishing, les "méchants" peuvent envisager de se passer de DNS en invitant leurs victimes à cliquer sur des liens avec des adresses IP (et donc sans nom de domaine), plus ou moins dissimulées.
Par exemple 0xD973A22E est l'adresse de ... arcep.fr
Bien sûr, ça ne marchera pas pour un lien en https et ça devrait éveiller l'attention de l'utilisateur.
-
L’hameçonnage marche moins bien sans le nom DNS (surtout qu'il est compliqué d'obtenir un certificat HTTPS pour une adresse IP)
Mais oui, on voit des services (notamment dans le piratage de flux sportifs en direct) ne plus mettre de DNS pour limiter les possibilités de blocage.
-
Je pense que le fait que les sites de téléchargement illégaux soient bloqués, va faire que beaucoup de personne se passeront de ce système qui pourraient être une bonne idée.
-
Non, les téléchargements illégaux ne sont pas bloqués par ce système.
C'est comme en France suite à des décisions de justice qui impose le blocage des certains sites aux opérateurs.
Ce système se limite aux sites frauduleux.
-
Effectivement, j'ai lu trop vite :o
-
Neutralité et protection DNS contre l’hameçonnage
Du côté de la neutralité du net, pour que le filtrage Belgian Anti Phishing Shield puisse être effectué, il faut que cela soit une obligation légale et donc imposée à tous les fournisseurs d’accès à internet Belge.
Ce qui est étonnant, c'est que Proxiumus déclare sur cette page (https://www.proximus.com/fr/digital-society/trust.html#) être le seul opérateur à "bloquer en temps réel" les sites d'hameçonnage. On remarque que le terme avertir des pages sur le Belgian Anti Phishing Shield est devenu bloquer, ce qui est plus juste.
Cette communication ne dit pas si les autres opérateurs ne bloquent pas ou bloquent en différé (par exemple si la mise à jour de la liste à bloquer est mis à jour deux fois par jour).
(https://lafibre.info/images/ssl/202203_belgian_anti_phishing_shield_8.png)
Pour ceux qui se demandent ce que c'est que le lien sur le mot flubot, c'est un lien vers Safeonweb qui illustre bien pourquoi la Belgique a mis en place Belgian Anti Phishing Shield :
(https://lafibre.info/images/ssl/202203_belgian_anti_phishing_shield_9.png)
-
Neutralité et protection DNS contre l’hameçonnage
Du coté de la neutralité du net ...
Pour un vétéran comme moi ayant connu l'époque où les MTA étaient tous ouverts et où la difficulté était surtout de parvenir à configurer son sendmail, je ne sais pas si le terme de neutralité est encore d'actualité alors qu'il est devenu très compliqué d'avoir son propre MTA sur un réseau domestique en FTTH ...
Ca n'est qu'un exemple parmi d'autres.
Evidemment sans vouloir te fâcher :P
-
- Si vous êtes Français, je veut bien votre avis : La France est intéressé par un tel mécanisme et pourrait mettre en œuvre un mécanisme similaire. [/b]Les études ne sont pas encore réalisées et il est donc encore possible de faire évoluer le système qui pourrait être mis en place. Le DNS permet de toucher directement tous les clients sans avoir à installer un logiciel, toutefois le DNS n'agis qu'au niveau du nom de domaine, et pas au niveau de l'URL comme pourrait le faire une extension à installer dans un navigateur web.
Je ne suis pas fan de la méthode Belge. Je préfère un opt-in à un opt-out ; sinon ça mènera à une levée de boucliers ...
D'autant que ça ne fera que donner plus de visibilité au blocage DNS.
Et puis avec DoH et DoT, ça ne marchera plus :)
Pourquoi ne pas tisser un partenariat avec Google Safe Browsing, Edge et Microsoft Defender SmartScreen justement ?
Ou trouver une solution via une extension de navigateur, et s'inspirer de la méthode des adblockers avec le paramétrage de liste d'exclusion ?
Peut-être simplement créer sa propre liste d'exclusion et voir pour que les initiatives Google, Microsoft, adblockers proposent celle liste dans leur paramétrage ?
-
En Belgique, cela ne semble pas avoir fait beaucoup de bruit.
S'appuyer sur le GADAM est une autre solution possible, mais je comprends que le gouvernement souhaite une solution de blocage souveraine.
Un dispositif protection contre l’hameçonnage pourrait arriver en France, vu que c'est au programme du candidat à la présidentielle, Emmanuel Macron, donc je prends donc le pouls de la solution de référence, la solution Belge, afin de voir si c'est à reprendre, améliorer ou si c'est une mauvaise idée.
-
Pour un vétéran comme moi ayant connu l'époque où les MTA étaient tous ouverts et où la difficulté était surtout de parvenir à configurer son sendmail, je ne sais pas si le terme de neutralité est encore d'actualité alors qu'il est devenu très compliqué d'avoir son propre MTA sur un réseau domestique en FTTH ...
Ca n'est qu'un exemple parmi d'autres.
Evidemment sans vouloir te fâcher :P
Sur le fixe, les accès internet sont historiquement assez neutres en France (même s'il y a eu quelques bridages de débit pour le peer-to-peer à une époque), mais pas sur le mobile.
Si tu regardes le mobile, on n'a jamais été aussi neutre.
Tu te souviens où une plateforme modifiait le contenu des pages HTML, compressait les images, etc
Les opérateurs ont aujourd'hui bien plus de moyens pour manipuler le contenu, mais ils ne le font pas, car c'est interdit.
Bref, la neutralité n'est pas acquise pour toujours, cela doit demander des efforts pour surveiller les "innovations" des opérateurs (et rappelez-vous qu'un opérateur Wi-Fi ouvert au public est un opérateur).
-
Je n'ai personnellement jamais été face à cette page et à me connaissance aucun des proches non plus.
Je connais évidemment safe-on-web, ils font des opérations "pubs" sur les réseaux sociaux de temps pour sensibiliser et leurs messages passent parfois par des articles sur les médias nationaux.
Je suis cependant pas la cible de ce genre de filtrage vu que je suis prudent et que depuis +- 3 mois je suis derrière une Pi-Hole avec unbound.
Je soutiens plutôt la démarche (tant qu'elle reste encadré par loi, voté par nos élus) étant donnés que les madames michus comme on aime les appeler ici sont rarement très prudent sur le web.
Un utilisateur averti aura en plus vite fait de passer par un autre service DNS pour contourner ce blocage si il le désire.
Pour ce qui est des SMS envoyé en masse c'était vraiment un fléau l'année passé je suis bien content qu'ils aient réagis à la racine.
Le DoH et le DoT ça fait 5/6 ans que j'en entends parler mais franchement mise à part les emmerder les sysadmins et être quelque chose "qui existe" l'utilisation GP n'a pas l'air d'être là (même si elle est grandement facilitée). Corrigez-moi si je me trompe sur ce point-là
-
L'activation par défaut du DoH dans Firefox, n'est pas forcément pour tout de suite en Europe.
L'Europe est un continent avec une réglementation protectrice et très présente : Cela rend moins utile et plus compliqué l'activation du DoH avec un DNS qui n'est pas celui de l'opérateur.
Le DoH de Firefox est activé par défaut en premier dans les pays qui laissent faire le marché et les dérives qui vont avec.
Vidéo de présentation de l'application Safeonweb : (qu'on ne peut pas télécharger avec un Android localisé en France)
https://lafibre.info/videos/android/202107_belgique_application_safonweb.webm
-
Sur le principe, je ne suis pas fan de ce genre de blocages par défaut, avec le risque de surblocages et la difficulté de passer outre pour l'utilisateur de base.
Pour le https, certes l'erreur dans le navigateur n'est pas claire, mais d'un autre côté le but est atteint si l'utilisateur s'arrête là.
Mais il ne faudrait pas que ça banalise les erreurs de certificats, ça pourrait être à double tranchant.
Quand le blocage ne concernera pas le domaine du site visité, mais uniquement domaine utilisé pour des images ou des scripts, l'utilisateur ne sera pas vraiment averti (le site va mal d'afficher ou mal fonctionner).
Le serveur pourrait retourner une image d'avertissement quand on lui demande une image, mais pour les scripts à part un alert("Attention, le site que vous visitez charge des scripts venant d'un site de phishing") pas très élégant je ne vois pas.
Mais l'implémentation côté Belgique ne me semble pas géniale : la page d'avertissement n'est qu'à la racine du site, quel que soit le Host utilisé ::)
Du coup si l'utilisateur essaye de charger http://site.bloque/test, il va se retrouver avec une page d'erreur 404.
De même avec http://sitebloque.com/fr/donnees-personelles, il tombera sur la politique de données personnelles du CCB, etc...
Ils devraient afficher la page d'erreur pour n'importe quelle URL, sauf quand le champ Host vaut baps.ccb.belgium.be, et utiliser des URL absolues pour les liens sur la page (http://baps.ccb.belgium.be/fr/belgian-anti-phishing-shield, ...).
Je note que http://52.149.77.208/fr/donnees-personelles est assez générique, et ne dit pas ce qu'il advient des données des utilisateurs ayant été redirigés sur cette IP (une visite involontaire donc).
Certes c'est limité au http (sauf si l'utilisateur met une exception), mais le serveur reçoit :
- l'IP de l'utilisateur
- l'ensemble de l'URL d'origine
- les cookies associés au nom de domaine d'origine
-
Je pense qu'ils doivent faire attention de ne pas bloquer des domaines si un sur blocage est possible.
Certes c'est limité au http (sauf si l'utilisateur met une exception), mais le serveur reçoit :
- l'IP de l'utilisateur
- l'ensemble de l'URL d'origine
- les cookies associés au nom de domaine d'origine
Le serveur reçois aussi le SNI (peut-être tu l'incluait dans le terme URL) et le user-agent.
Mais l'implémentation côté Belgique ne me semble pas géniale : la page d'avertissement n'est qu'à la racine du site, quel que soit le Host utilisé ::)
Du coup si l'utilisateur essaye de charger http://site.bloque/test, il va se retrouver avec une page d'erreur 404.
Bien vu.
Le système Belge est encore récent et on peut bien l'améliorer : Par exemple, le choix du blocage (et des DNS) pourrait se faire dans l'interface de la box du FAI pour le fixe ou dans l'espace client sur le mobile. Ce choix modifierait les DNS envoyés au terminal (et on peut imaginer que les opérateurs déploient des serveurs DNS avec et sans protection contre l’hameçonnage). On pourrait imaginer un troisième DNS avec protection contre l’hameçonnage et en plus qui bloque les sites interdits au moins de 18 ans. Bonus : la possibilité de choisir le type de DNS à envoyer en fonction de l'adresse mac des équipements qui se connectent à la box.
C'est peut-être en cours de développement.
-
Le serveur reçois aussi le SNI (peut-être tu l'incluait dans le terme URL)
En effet, même si l'utilisateur s'arrête à l'erreur de certificat, le SNI a été envoyé.
Si le serveur DNS est en DoH, il pourrait éventuellement indiquer un support ESNI et ECH avec des clés volontairement incorrectes, pour provoquer une erreur dans le navigateur (peut-être uniquement s'il est en mode strict) sans que le site reçoive le SNI.
Ce serait compliqué et ça concernerait peu de monde (il faudrait déjà un serveur DoH qui applique le blocage), mais ça participerait à la minimisation des données reçues.
-
Le système Belge est encore récent et on peut bien l'améliorer : Par exemple le choix du blocage (et des DNS) pourrait se faire dans l'interface de la box du FAI pour le fixe ou dans l'espace client sur le mobile. Ce choix modifierait les DNS envoyé au terminal (et on peut imaginer que les opérateurs déploient des serveurs DNS avec et sans protection contre l’hameçonnage). On pourrait imaginer un troisième DNS avec protection contre l’hameçonnage et en plus qui bloque les sites interdits au moins de 18 ans. Bonus: la possibilité de choisir le type de DNS à envoyer en fonction de l'adresse mac des équipements qui se connectent à la box.
J'ai peur que tu t'enflammes un peu sur la faisabilité d'une telle solution : sur l'Internet fixe, je pense que l'immense majorité des utilisateurs de box des opérateurs utilise un seul DNS, distribué sur tout le réseau local en DHCP = la box elle-même. Ta solution impliquerait d'offrir une interface utilisateur pour que la box sélectionne ses propres resolvers DNS selon une option de blocage DNS ou pas, ce qui complique les softs / la configuration / les procédures de support et augmente les risques d'incidents. Je ne pense pas que les opérateurs souhaitent aller dans cette direction. Par ailleurs, la granularité supplémentaire que tu évoques (à l'adresse MAC) ajoute encore une couche de complexité.
-
La box fait relais DNS, mais elle connait les IP des serveurs DNS et certains box mesures le temps de réponse en envoyant la même requête DNS sur le DNS primaire et le DNS secondaire afin d'envoyer les requêtes suivantes au DNS qui est le plus rapide à répondre. Si vous analysez le trafic WAN d'une Bbox, vous pourrez voir ce petit jeu.
Bref, on peut développer un code pour qu'une box puisse choisir un couple de serveur DNS en fonction de sa configuration.
J’imagine de mon côté 3 DNS distinct mis en place pour chaque opérateur pour 3 niveaux de protection :
• Protection contre l’hameçonnage et les sites pornographiques
• Protection contre l’hameçonnage uniquement
• Pas de protection (on reste dans le cadre actuel des DNS actuels)
Pourquoi le blocage des sites pornographiques ? L’article 23 de la loi du 30 juillet 2020 contre les violences conjugales demande que les sites X ne se contentent pas d’une simple déclaration d’âge sur leur page d’accueil, or faute de solution technique, l’Arcom semble contraint mettre en demeure plusieurs dizaines de milliers de sites pornographiques, puis de les bloquer. Une solution de configuration du blocage ou non via la box (pour les accès fixes) ou l'espace client (pour les mobiles) parais donc une solution de sortie par le haut.
Pour information, Orange, Orange Caraïbe, Free, Free Mobile, Bouygues Télécom, Colt Technologies Services, SFR, SFR Caraïbe doivent se rentre le 24 mai prochain, pour une audience au tribunal judiciaire de Paris pour bloquer l’accès à cinq sites pornographiques : Pornhub, Xnxx, Xvidéos, Tukif et xHamster. La loi ne permet plus qu'un accès soit possible avec une simple déclaration d’âge "j'ai plus de 18 ans", or, il n'y a pas de solution technique pour un site gratuit pour vérifier l'âge du visiteur de manière fiable.
-
La box fait relais DNS, mais elle connait les IP des serveurs DNS et certains box mesures le temps de réponse en envoyant la même requête DNS sur le DNS primaire et le DNS secondaire afin d'envoyer les requêtes suivantes au DNS qui est le plus rapide à répondre.
Si vous analysez le trafic WAN d'une Bbox, vous pourrez voir ce petit jeu.
Tu parles des DNS "resolvers" des opérateurs que la box utilise comme forwarders? Ou bien la box entreprend-elle directement la résolution ? Désolé pour cette question bête, je n'ai pas l'occasion d'observer le trafic côté WAN de ma box.
Bref, on peut développer un code pour qu'une box peut choisir un couple de serveur DNS en fonction de sa configuration.
Comment gères-tu les réponses différentes (si configurations de protection multiples comme évoqué dans le bonus de ton post précédent) qui seront mises dans le cache DNS de la box ?
J’imagine de mon côté 3 DNS distinct mis en place pour chaque opérateur pour 3 niveaux de protection :
• Protection contre l’hameçonnage et les sites pornographiques
• Protection contre l’hameçonnage uniquement
• Pas de protection (on reste dans le cadre actuel des DNS actuels)
x 2 : au moins 2 serveurs DNS pour chaque "vue" pour des questions évidentes de résilience. On arrive déjà à 6 serveurs à configurer
Pourquoi le blocage des sites pornographiques ? L’article 23 de la loi du 30 juillet 2020 contre les violences conjugales demande que les sites X ne se contentent pas d’une simple déclaration d’âge sur leur page d’accueil, or faute de solution technique l’Arcom semble contraint mettre en demeure plusieurs dizaines de milliers de sites pornographiques, puis de les bloquer. Une solution de configuration du blocage ou non via la box (pour les accès fixe) ou l'espace client (pour les mobiles) semble donc une solution de sortie par le haut.
Pour information Orange, Orange Caraïbe, Free, Free Mobile, Bouygues Télécom, Colt Technologies Services, SFR, SFR Caraibe doivent se rentre le 24 mai prochain, pour une audience au tribunal judiciaire de Paris pour bloquer l’accès à cinq sites pornographiques : Pornhub, Xnxx, Xvidéos, Tukif et xHamster. La loi ne permet plus qu'un accès soit possible avec une simple déclaration d’âge "j'ai plus de 18 ans", or il n'y a pas de solution technique pour un site gratuit pour vérifier l'age du visiteur de manière fiable.
Quid des autres OC / FAI ?
-
Tu parles des DNS "resolvers" des opérateurs que la box utilise comme forwarders? Ou bien la box entreprend-elle directement la résolution ? Désolé pour cette question bête, je n'ai pas l'occasion d'observer le trafic côté WAN de ma box.
La box ne fait pas directement la résolution, ce serait lent et cela surchargerait les serveurs des sites web.
La box transmet la demande aux serveurs du FAI, qui sont presque toujours la réponse en cache.
On aurait donc 3 pools distincts de serveurs DNS avec différents niveaux de blocage (un pool est généralement constitué par plus de deux serveurs, étant donné le niveau de disponibilité très élevé demandé pour les DNS)
Quid des autres OC / FAI ?
Les autres FAI ne bloquent pas et ont interdiction de bloquer, car les opérateurs ont interdiction de bloquer sauf ce qu'ils ont l'obligation de bloquer. Cela ne me choque pas trop pour ce type de blocage.
Ce qui est plus choquant, c'est que des opérateurs alternatifs ne bloquent pas les sites web provoquant à des actes de terrorisme ou en faisant l’apologie ainsi que des sites contenant des représentations de mineurs à caractère pornographique et ont donc la neutralité du net leur interdit de bloquer ces sites...
-
Je ne vois pas de AAAA sur baps.ccb.belgium.be.
Quid d'un domaine IPv6 bloqué ?
-
Il aura uniquement une IPv4, même si à l'origine le site web est IPv6 only (il ne gardera pas son IPv6).
Cela n'apporte pas grand-chose, mais ils auraient dû mettre de l'IPv6, le cloud Microsoft Azure doit le gérer.
La Belgique est pourtant un des premiers pays en terme d'IPv6, grâce à la volonté du gouvernement qui a poussé tôt les opérateurs à mettre de l'IPv6. Le taux d'IPv6 est stable depuis plusieurs années et donc la Belgique s'est fait doubler par l'inde et la Malaisie, mais reste en 3ᵉ position devant la France en 8ᵉ position, qui est handicapée par SFR sur le fixe et Free sur le mobile.
-
Maitre Alexandre Archambault, juriste spécialisé dans les télécoms, a donné son avis sur le Belgian Anti Phishing Shield :
Dans ce dispositif qui s'appuie sur des DNS menteurs, l'ANSSI 🇧🇪 identifie des noms de domaines suspects dont elle transmet la liste aux FAIs, qui doivent alors faire pointer les noms de domaine en question vers une IP étatique (52.149.77.208 hébergée par… Azure)
Sauf qu'en renvoyant sur une autre IP que celle renseignée dans les DNS racine, cela ne permet pas d'afficher le fameux message d'avertissement souhaité par les pouvoirs publics : car le certificat présenté par le site de renvoi ne correspond pas, donc le navigateur bloque. Du coup, pour afficher la fameuse page d'avertissement officielle des pouvoirs publics, il faut outrepasser les mécanismes de protection du navigateur, nécessitant selon les OS d'avoir à s'authentifier de nouveau. Pas vraiment à la portée de tout le monde. Notons enfin que lorsqu'on parvient à afficher la page d'information (dont rappelons-le l'affichage est bloqué par défaut par tous les navigateurs, car le certificat présenté n'est pas le bon), les autorités 🇧🇪 expliquent comment utiliser d'autres fournisseurs DNS.
On le voit donc, si ce système a le mérite d'exister en complément de ce qui est mis en œuvre au niveau des navigateurs qui peuvent aller plus finement dans l'analyse (car le navigateur / client mail, contrairement au DNS, a accès à l'URL), il reste fonctionnellement en retrait.
D'une part parce que le DNS ne sait pas (parce qu'il n'a pas été conçu pour se substituer à un serveur de contenus) faire dans la finesse chirurgicale de l'URL : le terminal ne transmet aux DNS que des FQDN (http://grande.arnaque.com), pas des URL (/remboursement_impots.html)
Du coup, ce dispositif est sans effet sur le phishing exploitant des vulnérabilités dans des sites tout ce qu'il y a de + légitimes (coucou les sites commerciaux tournant sur des WP non à jour)
D'autre part parce qu'avec le développement du chiffrement, y compris par les sites de phishing, les navigateurs bloquent l'affichage de la page renvoyée par le serveur désigné par le DNS menteur, y compris lorsque celle-ci est légitime. Cela s'appelle la #netneutrality
Enfin, relevons une tendance croissante des sites malveillants à désigner leur porte d'entrée non plus sous un nom de domaine (qui comme on l'a vu peut se faire bloquer via le DNS) mais directement sous une adresse IP renvoyant sur un frontal en partage de charge.
C'est en train de se répandre comme une trainée de poudre en matière de streaming pirate de contenus sportifs : la plupart des streams pirates sont désormais codées de manière où le nom de domaine est remplacé par une IP.
Et le phishing commence à s'y mettre
Source : Twitter @AlexArchambault (https://twitter.com/AlexArchambault/status/1507278020385685511), le 25 mars 2022.
-
Il me semble que l'intégralité du sujet esquive ce qui est "souverain" dans la source/collecte des informations conduisant à l'établissement de ces filtres.
Il serait étrange de parler de souveraineté si, par exemple, le fournisseur des données était Harbor Networks.
Par ailleurs, renvoyer vers les DNS des américains clouflare/google/IBM en cas de contournement voulu, je pense qu'en terme de souveraineté, on partirait de bien bas.
-
Par ailleurs, renvoyer vers les DNS des américains clouflare/google/IBM en cas de contournement voulu, je pense qu'en terme de souveraineté, on partirait de bien bas.
C'est sûr que les "Américains" pourraient s'amuser à des exercices de DNS Analytics (ex : https://blog.cloudflare.com/dns-analytics/), ou à des activités plus "interventionnistes" sur le DNS si besoin (mais peu de risques que ça arrive).
-
Belgique : L'année dernière, 25 millions d'euros ont été volés via des escroqueries en ligne : il n'y a qu'un seul opérateur télécom qui bloque immédiatement les sites de phishing
Proximus est toujours le seul opérateur à bloquer immédiatement tous les sites de phishing reçus par le CCB.
CCB = Équivalent en France de l'ANSSI
En 2021, les cybercriminels en Belgique ont volé 25 millions d'euros via le phishing, selon les chiffres de la fédération du secteur financier Febelfin. C'est environ 9 millions de moins que l'année précédente, mais les cybercriminels ne restent pas immobiles et proposent constamment de nouvelles façons d'escroquer en ligne. Où pouvez-vous signaler un message de phishing ? Et que font les opérateurs télécoms pour éviter le phishing ? Mijntelco.be l'a découvert.
La cybersécurité commence par vous en étant attentif aux e-mails, SMS, appels téléphoniques ou messages WhatsApp ou Messenger provenant d'expéditeurs inconnus. Dans les escroqueries par hameçonnage, essayez d'obtenir des informations confidentielles, telles que des mots de passe, des coordonnées bancaires ou des données personnelles. Ils prétendent être quelqu'un d'une banque, du gouvernement ou d'un service de colis, ou ils prétendent être un membre de la famille, une connaissance ou un collègue. L'utilisation de faux sites Web fait également partie de la boîte à outils du cybercriminel.
N'oubliez pas que les entreprises ne demandent jamais d'informations sensibles telles que des coordonnées bancaires, un numéro d'identification, des mots de passe, des codes PIN, etc. Si quelqu'un le fait, la sonnette d'alarme devrait se déclencher immédiatement. Si vous avez transmis des informations personnelles, bloquez immédiatement votre carte ou modifiez vos mots de passe.
Filtres anti-spam
La lutte contre le phishing et les autres formes de cybercriminalité est non seulement une priorité pour l'Union européenne et la Belgique, mais aussi les opérateurs télécoms montrent la voie en améliorant constamment les outils capables de détecter les tentatives de phishing et autres formes de fraude sur Internet. Ils le font sur la base de nombres récurrents et de paramètres tels que la fréquence et les nombres.
Plus les filtres anti-spam disposent de données, mieux ils sont équipés pour reconnaître et bloquer les messages frauduleux. C'est pourquoi les opérateurs échangent des informations entre eux, mais aussi avec des autorités telles que le Centre pour la Cybersécurité Belgique (CCB) et la GSMA, la fédération sectorielle mondiale des opérateurs de réseaux mobiles.
Devoir civique
Les utilisateurs jouent un rôle important dans la lutte contre le phishing, en signalant les tentatives de phishing aux opérateurs ou à Safeonweb.be, l'initiative du gouvernement belge pour informer les citoyens de manière rapide et correcte sur la cybersécurité, les principales menaces numériques actuelles et la sécurité en ligne. Vous pouvez vous y rendre en envoyant vos e-mails ou SMS de phishing à 'verdacht@safeonweb.be'. Le projet a reçu le nom de Belgian Anti-Phishing Shield (BAPS).
Après analyse, les opérateurs sont informés des sites Web qui ont été confirmés comme sites de phishing, après quoi ils les bloquent. Plus les utilisateurs signalent de cas de cybercriminalité, mieux c'est. Proximus est actuellement le seul opérateur à bloquer immédiatement tous les sites de phishing reçus par le CCB.
Arrêtez l'hameçonnage
Avec son programme « Stop Phising », une initiative de la ministre des Télécommunications Petra De Sutter, le gouvernement veut faire plus dans la lutte contre le phishing. Une approche coordonnée et un meilleur échange d'informations devraient assurer une plus grande efficacité. Mais la législation actuelle en matière de télécommunications ne permet pas aux opérateurs de scanner les SMS.
Sensibilisation
La meilleure façon de réduire le risque de cyberattaques est de sensibiliser. Les opérateurs avertissent les utilisateurs, par exemple via les réseaux sociaux, lorsque de nouvelles attaques de phishing circulent. Safeonweb.be mène également des campagnes de sensibilisation.
En termes d'investissements dans la cybersécurité, nous pouvons sans risque qualifier Proximus de pionnier parmi les opérateurs de notre pays. L'équipe de réponse aux incidents de cybersécurité (CSIRT) de l'entreprise surveille en permanence les alertes de sécurité pour détecter de nouvelles attaques de phishing. En 2020, par exemple, dans 742 000 cas, les utilisateurs ont été empêchés d'accéder à des sites Web malveillants.
Source : hln.be (https://www.hln.be/tech/vorig-jaar-werd-er-25-miljoen-euro-gestolen-via-online-oplichting-er-is-maar-een-telecomoperator-die-phishingsites-meteen-blokkeert~af22f2c6/) Article de Felix Ferret, en collaboration avec Mijntelco.be, publié le 24 aout 2022. Traduit via Google.
-
La cybersécurité commence par vous en étant attentif aux e-mails, SMS, appels téléphoniques ou messages WhatsApp ou Messenger provenant d'expéditeurs inconnus. Dans les escroqueries par hameçonnage, essayez d'obtenir des informations confidentielles, telles que des mots de passe, des coordonnées bancaires ou des données personnelles. Ils prétendent être quelqu'un d'une banque, du gouvernement ou d'un service de colis, ou ils prétendent être un membre de la famille, une connaissance ou un collègue. L'utilisation de faux sites Web fait également partie de la boîte à outils du cybercriminel.
Saura-t-on un jour si l'attaque contre l'hôpital de Corbeil-Essonnes (http://CHSF.fr) (qui fonctionne en mode très dégradé depuis plus d'une semaine) a été rendue possible par la crédulité ou le défaut de formation / sensibilisation d'un utilisateur interne pour faire entrer un ransomware sur le réseau de l'établissement ?
-
J'ai déplacé les messages liés au dispositif « anti-arnaques » de la France (qui devait être à l'origine une copie du Belgian Anti Phishing Shield, mais c'est de moins en moins le cas).
⇒ Filtre anti-arnaque français: blocage des sites frauduleux ou dangereux (https://lafibre.info/attaques/filtre-anti-arnaque-francais/)