Auteur Sujet: Le dispositif DNS « anti-arnaques » de la Belgique: Belgian Anti Phishing Shield  (Lu 9805 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
La box fait relais DNS, mais elle connait les IP des serveurs DNS et certains box mesures le temps de réponse en envoyant la même requête DNS sur le DNS primaire et le DNS secondaire afin d'envoyer les requêtes suivantes au DNS qui est le plus rapide à répondre. Si vous analysez le trafic WAN d'une Bbox, vous pourrez voir ce petit jeu.

Bref, on peut développer un code pour qu'une box puisse choisir un couple de serveur DNS en fonction de sa configuration.

J’imagine de mon côté 3 DNS distinct mis en place pour chaque opérateur pour 3 niveaux de protection :
• Protection contre l’hameçonnage et les sites pornographiques
• Protection contre l’hameçonnage uniquement
• Pas de protection (on reste dans le cadre actuel des DNS actuels)

Pourquoi le blocage des sites pornographiques ? L’article 23 de la loi du 30 juillet 2020 contre les violences conjugales demande que les sites X ne se contentent pas d’une simple déclaration d’âge sur leur page d’accueil, or faute de solution technique, l’Arcom semble contraint mettre en demeure plusieurs dizaines de milliers de sites pornographiques, puis de les bloquer. Une solution de configuration du blocage ou non via la box (pour les accès fixes) ou l'espace client  (pour les mobiles) parais donc une solution de sortie par le haut.

Pour information, Orange, Orange Caraïbe, Free, Free Mobile, Bouygues Télécom, Colt Technologies Services, SFR, SFR Caraïbe doivent se rentre le 24 mai prochain, pour une audience au tribunal judiciaire de Paris pour bloquer l’accès à cinq sites pornographiques : Pornhub, Xnxx, Xvidéos, Tukif et xHamster. La loi ne permet plus qu'un accès soit possible avec une simple déclaration d’âge "j'ai plus de 18 ans", or, il n'y a pas de solution technique pour un site gratuit pour vérifier l'âge du visiteur de manière fiable.

pju91

  • Abonné Free fibre
  • *
  • Messages: 818
  • 91
La box fait relais DNS, mais elle connait les IP des serveurs DNS et certains box mesures le temps de réponse en envoyant la même requête DNS sur le DNS primaire et le DNS secondaire afin d'envoyer les requêtes suivantes au DNS qui est le plus rapide à répondre.
Si vous analysez le trafic WAN d'une Bbox, vous pourrez voir ce petit jeu.
Tu parles des DNS "resolvers" des opérateurs que la box utilise comme forwarders? Ou bien la box entreprend-elle directement la résolution ? Désolé pour cette question bête, je n'ai pas l'occasion d'observer le trafic côté WAN de ma box.

Bref, on peut développer un code pour qu'une box peut choisir un couple de serveur DNS en fonction de sa configuration.
Comment gères-tu les réponses différentes (si configurations de protection multiples comme évoqué dans le bonus de ton post précédent) qui seront mises dans le cache DNS de la box ?

J’imagine de mon côté 3 DNS distinct mis en place pour chaque opérateur pour 3 niveaux de protection :
• Protection contre l’hameçonnage et les sites pornographiques
• Protection contre l’hameçonnage uniquement
• Pas de protection (on reste dans le cadre actuel des DNS actuels)
x 2 : au moins 2 serveurs DNS pour chaque "vue" pour des questions évidentes de résilience. On arrive déjà à 6 serveurs à configurer

Pourquoi le blocage des sites pornographiques ? L’article 23 de la loi du 30 juillet 2020 contre les violences conjugales demande que les sites X ne se contentent pas d’une simple déclaration d’âge sur leur page d’accueil, or faute de solution technique l’Arcom semble contraint mettre en demeure plusieurs dizaines de milliers de sites pornographiques, puis de les bloquer. Une solution de configuration du blocage ou non via la box (pour les accès fixe) ou l'espace client  (pour les mobiles) semble donc une solution de sortie par le haut.

Pour information Orange, Orange Caraïbe, Free, Free Mobile, Bouygues Télécom, Colt Technologies Services, SFR, SFR Caraibe doivent se rentre le 24 mai prochain, pour une audience au tribunal judiciaire de Paris pour bloquer l’accès à cinq sites pornographiques : Pornhub, Xnxx, Xvidéos, Tukif et xHamster. La loi ne permet plus qu'un accès soit possible avec une simple déclaration d’âge "j'ai plus de 18 ans", or il n'y a pas de solution technique pour un site gratuit pour vérifier l'age du visiteur de manière fiable.
Quid des autres OC / FAI ?

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Tu parles des DNS "resolvers" des opérateurs que la box utilise comme forwarders? Ou bien la box entreprend-elle directement la résolution ? Désolé pour cette question bête, je n'ai pas l'occasion d'observer le trafic côté WAN de ma box.
La box ne fait pas directement la résolution, ce serait lent et cela surchargerait les serveurs des sites web.

La box transmet la demande aux serveurs du FAI, qui sont presque toujours la réponse en cache.

On aurait donc 3 pools distincts de serveurs DNS avec différents niveaux de blocage (un pool est généralement constitué par plus de deux serveurs, étant donné le niveau de disponibilité très élevé demandé pour les DNS)

Quid des autres OC / FAI ?
Les autres FAI ne bloquent pas et ont interdiction de bloquer, car les opérateurs ont interdiction de bloquer sauf ce qu'ils ont l'obligation de bloquer. Cela ne me choque pas trop pour ce type de blocage.

Ce qui est plus choquant, c'est que des opérateurs alternatifs ne bloquent pas les sites web provoquant à des actes de terrorisme ou en faisant l’apologie ainsi que des sites contenant des représentations de mineurs à caractère pornographique et ont donc la neutralité du net leur interdit de bloquer ces sites...

kazyor

  • Expert des Télécoms
  • Expert
  • *
  • Messages: 1 334
  • Lyon 7ème (69)
Je ne vois pas de AAAA sur baps.ccb.belgium.be.
Quid d'un domaine IPv6 bloqué ?

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Il aura uniquement une IPv4, même si à l'origine le site web est IPv6 only (il ne gardera pas son IPv6).

Cela n'apporte pas grand-chose, mais ils auraient dû mettre de l'IPv6, le cloud Microsoft Azure doit le gérer.

La Belgique est pourtant un des premiers pays en terme d'IPv6, grâce à la volonté du gouvernement qui a poussé tôt les opérateurs à mettre de l'IPv6. Le taux d'IPv6 est stable depuis plusieurs années et donc la Belgique s'est fait doubler par l'inde et la Malaisie, mais reste en 3ᵉ position devant la France en 8ᵉ position, qui est handicapée par SFR sur le fixe et Free sur le mobile.

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Maitre Alexandre Archambault, juriste spécialisé dans les télécoms, a donné son avis sur le Belgian Anti Phishing Shield :

Dans ce dispositif qui s'appuie sur des DNS menteurs, l'ANSSI 🇧🇪 identifie des noms de domaines suspects dont elle transmet la liste aux FAIs, qui doivent alors faire pointer les noms de domaine en question vers une IP étatique (52.149.77.208 hébergée par… Azure)

Sauf qu'en renvoyant sur une autre IP que celle renseignée dans les DNS racine, cela ne permet pas d'afficher le fameux message d'avertissement souhaité par les pouvoirs publics : car le certificat présenté par le site de renvoi ne correspond pas, donc le navigateur bloque. Du coup, pour afficher la fameuse page d'avertissement officielle des pouvoirs publics, il faut outrepasser les mécanismes de protection du navigateur, nécessitant selon les OS d'avoir à s'authentifier de nouveau. Pas vraiment à la portée de tout le monde. Notons enfin que lorsqu'on parvient à afficher la page d'information (dont rappelons-le l'affichage est bloqué par défaut par tous les navigateurs, car le certificat présenté n'est pas le bon), les autorités 🇧🇪 expliquent comment utiliser d'autres fournisseurs DNS.

On le voit donc, si ce système a le mérite d'exister en complément de ce qui est mis en œuvre au niveau des navigateurs qui peuvent aller plus finement dans l'analyse (car le navigateur / client mail, contrairement au DNS, a accès à l'URL), il reste fonctionnellement en retrait.
D'une part parce que le DNS ne sait pas (parce qu'il n'a pas été conçu pour se substituer à un serveur de contenus) faire dans la finesse chirurgicale de l'URL : le terminal ne transmet aux DNS que des FQDN (http://grande.arnaque.com), pas des URL (/remboursement_impots.html)
Du coup, ce dispositif est sans effet sur le phishing exploitant des vulnérabilités dans des sites tout ce qu'il y a de + légitimes (coucou les sites commerciaux tournant sur des WP non à jour)
D'autre part parce qu'avec le développement du chiffrement, y compris par les sites de phishing, les navigateurs bloquent l'affichage de la page renvoyée par le serveur désigné par le DNS menteur, y compris lorsque celle-ci est légitime. Cela s'appelle la #netneutrality
Enfin, relevons une tendance croissante des sites malveillants à désigner leur porte d'entrée non plus sous un nom de domaine (qui comme on l'a vu peut se faire bloquer via le DNS) mais directement sous une adresse IP renvoyant sur un frontal en partage de charge.
C'est en train de se répandre comme une trainée de poudre en matière de streaming pirate de contenus sportifs : la plupart des streams pirates sont désormais codées de manière où le nom de domaine est remplacé par une IP.
Et le phishing commence à s'y mettre


Source : Twitter @AlexArchambault, le 25 mars 2022.

pitalugue

  • Abonné Free fibre
  • *
  • Messages: 542
Il me semble que l'intégralité du sujet esquive ce qui est "souverain" dans la source/collecte des informations conduisant à l'établissement de ces filtres.
Il serait étrange de parler de souveraineté si, par exemple, le fournisseur des données était Harbor Networks.
Par ailleurs, renvoyer vers les DNS des américains clouflare/google/IBM en cas de contournement voulu, je pense qu'en terme de souveraineté, on partirait de bien bas.

pju91

  • Abonné Free fibre
  • *
  • Messages: 818
  • 91
Par ailleurs, renvoyer vers les DNS des américains clouflare/google/IBM en cas de contournement voulu, je pense qu'en terme de souveraineté, on partirait de bien bas.
C'est sûr que les "Américains" pourraient s'amuser à des exercices de DNS Analytics (ex : https://blog.cloudflare.com/dns-analytics/), ou à des activités plus "interventionnistes" sur le DNS si besoin (mais peu de risques que ça arrive).

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Belgique : L'année dernière, 25 millions d'euros ont été volés via des escroqueries en ligne : il n'y a qu'un seul opérateur télécom qui bloque immédiatement les sites de phishing

Proximus est toujours le seul opérateur à bloquer immédiatement tous les sites de phishing reçus par le CCB.
CCB = Équivalent en France de l'ANSSI

En 2021, les cybercriminels en Belgique ont volé 25 millions d'euros via le phishing, selon les chiffres de la fédération du secteur financier Febelfin. C'est environ 9 millions de moins que l'année précédente, mais les cybercriminels ne restent pas immobiles et proposent constamment de nouvelles façons d'escroquer en ligne. Où pouvez-vous signaler un message de phishing ? Et que font les opérateurs télécoms pour éviter le phishing ? Mijntelco.be l'a découvert.

La cybersécurité commence par vous en étant attentif aux e-mails, SMS, appels téléphoniques ou messages WhatsApp ou Messenger provenant d'expéditeurs inconnus. Dans les escroqueries par hameçonnage, essayez d'obtenir des informations confidentielles, telles que des mots de passe, des coordonnées bancaires ou des données personnelles. Ils prétendent être quelqu'un d'une banque, du gouvernement ou d'un service de colis, ou ils prétendent être un membre de la famille, une connaissance ou un collègue. L'utilisation de faux sites Web fait également partie de la boîte à outils du cybercriminel.

N'oubliez pas que les entreprises ne demandent jamais d'informations sensibles telles que des coordonnées bancaires, un numéro d'identification, des mots de passe, des codes PIN, etc. Si quelqu'un le fait, la sonnette d'alarme devrait se déclencher immédiatement. Si vous avez transmis des informations personnelles, bloquez immédiatement votre carte ou modifiez vos mots de passe.

Filtres anti-spam

La lutte contre le phishing et les autres formes de cybercriminalité est non seulement une priorité pour l'Union européenne et la Belgique, mais aussi les opérateurs télécoms montrent la voie en améliorant constamment les outils capables de détecter les tentatives de phishing et autres formes de fraude sur Internet. Ils le font sur la base de nombres récurrents et de paramètres tels que la fréquence et les nombres.

Plus les filtres anti-spam disposent de données, mieux ils sont équipés pour reconnaître et bloquer les messages frauduleux. C'est pourquoi les opérateurs échangent des informations entre eux, mais aussi avec des autorités telles que le Centre pour la Cybersécurité Belgique (CCB) et la GSMA, la fédération sectorielle mondiale des opérateurs de réseaux mobiles.

Devoir civique

Les utilisateurs jouent un rôle important dans la lutte contre le phishing, en signalant les tentatives de phishing aux opérateurs ou à Safeonweb.be, l'initiative du gouvernement belge pour informer les citoyens de manière rapide et correcte sur la cybersécurité, les principales menaces numériques actuelles et la sécurité en ligne. Vous pouvez vous y rendre en envoyant vos e-mails ou SMS de phishing à 'verdacht@safeonweb.be'. Le projet a reçu le nom de Belgian Anti-Phishing Shield (BAPS).

Après analyse, les opérateurs sont informés des sites Web qui ont été confirmés comme sites de phishing, après quoi ils les bloquent. Plus les utilisateurs signalent de cas de cybercriminalité, mieux c'est. Proximus est actuellement le seul opérateur à bloquer immédiatement tous les sites de phishing reçus par le CCB.

Arrêtez l'hameçonnage

Avec son programme « Stop Phising », une initiative de la ministre des Télécommunications Petra De Sutter, le gouvernement veut faire plus dans la lutte contre le phishing. Une approche coordonnée et un meilleur échange d'informations devraient assurer une plus grande efficacité. Mais la législation actuelle en matière de télécommunications ne permet pas aux opérateurs de scanner les SMS.

Sensibilisation

La meilleure façon de réduire le risque de cyberattaques est de sensibiliser. Les opérateurs avertissent les utilisateurs, par exemple via les réseaux sociaux, lorsque de nouvelles attaques de phishing circulent. Safeonweb.be mène également des campagnes de sensibilisation.

En termes d'investissements dans la cybersécurité, nous pouvons sans risque qualifier Proximus de pionnier parmi les opérateurs de notre pays. L'équipe de réponse aux incidents de cybersécurité (CSIRT) de l'entreprise surveille en permanence les alertes de sécurité pour détecter de nouvelles attaques de phishing. En 2020, par exemple, dans 742 000 cas, les utilisateurs ont été empêchés d'accéder à des sites Web malveillants.


Source : hln.be Article de Felix Ferret, en collaboration avec Mijntelco.be, publié le 24 aout 2022. Traduit via Google.

pju91

  • Abonné Free fibre
  • *
  • Messages: 818
  • 91
La cybersécurité commence par vous en étant attentif aux e-mails, SMS, appels téléphoniques ou messages WhatsApp ou Messenger provenant d'expéditeurs inconnus. Dans les escroqueries par hameçonnage, essayez d'obtenir des informations confidentielles, telles que des mots de passe, des coordonnées bancaires ou des données personnelles. Ils prétendent être quelqu'un d'une banque, du gouvernement ou d'un service de colis, ou ils prétendent être un membre de la famille, une connaissance ou un collègue. L'utilisation de faux sites Web fait également partie de la boîte à outils du cybercriminel.
Saura-t-on un jour si l'attaque contre l'hôpital de Corbeil-Essonnes (qui fonctionne en mode très dégradé depuis plus d'une semaine) a été rendue possible par la crédulité ou le défaut de formation / sensibilisation d'un utilisateur interne pour faire entrer un ransomware sur le réseau de l'établissement ?

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
J'ai déplacé les messages liés au dispositif « anti-arnaques » de la France (qui devait être à l'origine une copie du Belgian Anti Phishing Shield, mais c'est de moins en moins le cas).

Filtre anti-arnaque français: blocage des sites frauduleux ou dangereux