Ben, bof.
Je pourrais te faire un REX complet de ce que j'ai pensé du débat, mais disons qu'entre le DSI d'une grosse entreprise qui n'avait pas grand chose a voir avec les opérateurs (a mon sens la cible de la task force) et les mecs de l'ANSSI qui n'étaient pas vraiment là pour débattre, ça a été compliqué de pouvoir en placer une.
Moi, j'ai une position très simple :
Mettre un firewall, c'est une rupture du principe de bout-en-bout d'internet, et ça va forcément limiter de futurs usages.
Oui actuellement, vu qu'on est IPv4-Centric, madame michu n'a pas besoin d'ouvrir de ports, parce que c'est un tel calvaire à faire que personne ne développe d'usage qui se sert de ça.
Maintenant, sur la "faille de sécu" que ça apporte :
- Va falloir me prouver qu'on peut compromettre en masse des réseaux "michu like" parce qu'ils ont un firewall ouvert
- Actuellement, en v4, c'est causé par les scans d'IP, un truc plus possible en v4
- Pour le risque de doxage de l'IP en utilisant des log d'un serveur compromis : Les Privacy Extensions permettent d'éviter ce relai d'attaque
- À part les DDOS Sortants en exploitant des trucs qui se font amplifier (et ça, ça se filtre les doigts dans le pif coté opérateur, même en sortant, surtout avec le SDN Cloud qu'on nous survend), y'a un vrai risque à laisser sa machine (avec un firewall) ou son iOT Shit ouvert ?
Comme les mecs de l'ANSSI, j'attends des cas concrets où la compromission vient d'un firewall d'un routeur désactivé.
Parce que bon, suffit que l'attaquant te fasse DL une merde pour télécharger des films gratos, et ça y'est, il a accès à tout ton réseau local, a ton IOT, à ta friteuse connectée, etc...