NSpy - Journal du Freenaute

(version 4.0 Beta - 18 juillet 2010)



Date: 27 Mar 2020 01:30:41 GMT
Path: news.free.fr!xref-2.proxad.net!spooler2c-2.proxad.net!cleanfeed3-a.proxad.net!nnrp1-1.free.fr!not-for-mail
Newsgroups: proxad.free.services.messagerie
Subject: Re: Informations relatives au blocage des comptes de la mi-mars
Afficher/cacher les entêtes complets
Path: news.free.fr!xref-2.proxad.net!spooler2c-2.proxad.net!cleanfeed3-a.proxad.net!nnrp1-1.free.fr!not-for-mail
X-Received-Newsgroup: proxad.free.services.messagerie
Newsgroups: proxad.free.services.messagerie
NNTP-Posting-Host: 213.36.7.27
Date: 27 Mar 2020 01:30:41 GMT
Content-Type: text/plain; charset=ISO-8859-1
Message-ID: <5e7d5741$0$21612$426a74cc@news.free.fr>
NNTP-Posting-Date: 27 Mar 2020 02:30:41 CET
Xref: news.free.fr proxad.free.services.messagerie:108538
To: nspy@journaldufreenaute.fr
Subject: Re: Informations relatives au blocage des comptes de la mi-mars


X-Newsreader: PROGRAME
User-Agent: Pan/0.144 (Time is the enemy; 28ab3ba git.gnome.org/pan2)
Organization: Guest of ProXad - France
X-Mailer: Perl5 Mail::Internet v2.18

On Fri, 27 Mar 2020 00:09:38 +0100, LaLibreParole wrote:
>>mais force est de constater que ça ne va pas plus loin que ça.
> Oui j'avais remarqué que vous n'y étiez que moyennement ouvert ;)

Pensez-vous ?

>>J'avais des connexions qui ne provenaient clairement pas des
>>utilisateurs eux-même et l'incident a été traité comme le sont tous les
>>incidents concernant des comptes compromis.
> Mais n'est-ce pas le vrai problème ?
> Traiter des connections qui viennent d'ip ne pouvant correspondrent a
> des utilisateurs comme d'autres incidents venant d'adresses pouvant
> clairement être utilisé par un utilisateur ou un pirate.

Une grosses partie des incidents proviennent de classe d'IPs utilisées
pour de l'hébergement. Les serveurs compromis ont depuis de nombreuses
années été utilisés pour relayer les attaques des pîrates (quand il ne
s'agit pas de serveurs loués avec une carte bleue volée). Il s'agit
clairement d'une classe d'IPs utilisables par des pirates.

> Et l'on en revient au point précédent sur la méthode de blocage utilisé
> qui abouti a cette situation pour des comptes pas forcément compromis.
> Comme pour les blocages de comptes de messageries utilisés via des VPN
> et qui n'étaient pas forcément compromis non plus.
> Et la question (sans réponse) que je posais alors est toujours valable:
> comment font les autres FSI pour éviter cette situation ?

J'ai eu cette discussion au mois de février avec des opérateurs nord-
américains et, pour ceux qui analysaient le comportement des connexions,
les comptes sont bloqués y compris lorsque les comportements provenaient
d'IPs sur lesquels il y avait un risque de collision entre un pirate et un
utilisateur légitime (ie les VPN).

Et la question sous-jacente est de savoir ce que vous proposez pour gérer
les comptes compromis. Si votre réponse est de bloquer les IPs en
question, vous vous contentez de cacher les symptomes et d'espérer que
rien de trop méchant ne sera fait sur les comptes en question.


François




 

43879 posts enregistrés
(dont 68 sont cachés suite à la demande de l'auteur)

- Si un de vos posts apparait dans le NSpy du Journal du Freenaute et que vous souhaitez qu'il soit supprimé : -
contactez nous par mail ( ** Pensez à mettre le NUMERO DU POST en question ** )

Page générée en 0.002 secondes. - Pages du NSpy consultées 5 335 037 fois

Valid XHTML 1.0!  Valid CSS! Copyright 2005-2020 Journal du Freenaute - NSpy - Script par LiloBzH - Design de Mat Free en copyleft :-)