NSpy - Journal du Freenaute

(version 4.0 Beta - 18 juillet 2010)


Path: news.free.fr!xref-2.proxad.net!spooler2c-2.proxad.net!cleanfeed1-a.proxad.net!nnrp1-2.free.fr!not-for-mail
Path: news.free.fr!xref-2.proxad.net!spooler2c-2.proxad.net!cleanfeed1-a.proxad.net!nnrp1-2.free.fr!not-for-mail
Path: news.free.fr!xref-2.proxad.net!spooler2c-2.proxad.net!cleanfeed1-a.proxad.net!nnrp1-2.free.fr!not-for-mail
Path: news.free.fr!xref-2.proxad.net!spooler2c-2.proxad.net!cleanfeed1-a.proxad.net!nnrp1-2.free.fr!not-for-mail
Afficher/cacher les entêtes complets
Path: news.free.fr!xref-2.proxad.net!spooler2c-2.proxad.net!cleanfeed1-a.proxad.net!nnrp1-2.free.fr!not-for-mail
MIME-Version: 1.0
X-Received-Newsgroup: proxad.free.services.messagerie
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
NNTP-Posting-Date: 30 Mar 2020 18:04:33 CEST
NNTP-Posting-Host: 213.36.7.27
X-Complaints-To: abuse@proxad.net


On Fri, 27 Mar 2020 18:58:23 +0100, LaLibreParole wrote:
>>Une grosses partie des incidents proviennent de classe d'IPs utilisées
>>pour de l'hébergement. Les serveurs compromis ont depuis de nombreuses
>>années été utilisés pour relayer les attaques des pîrates (quand il ne
>>s'agit pas de serveurs loués avec une carte bleue volée). Il s'agit
>>clairement d'une classe d'IPs utilisables par des pirates.
> Pourquoi ne pas les bloquer lorsque vous les détectez ?

Quel est le but recherché ? Bloquer l'utilisation des comptes par des
pirates ou avoir l'impression d'empecher les pirates d'utiliser ces
comptes ? Quel est l'intérêt de bloquer des IPs alors que les pirates
peuvent très/trop facilement en changer ?

>>Et la question sous-jacente est de savoir ce que vous proposez pour
>>gérer les comptes compromis. Si votre réponse est de bloquer les IPs en
>>question, vous vous contentez de cacher les symptomes et d'espérer que
>>rien de trop méchant ne sera fait sur les comptes en question.
> Ce qui n'est déjà pas si mal au demeurant puisque vous auriez ainsi
> empêché des blocages pour des compromissions possiblement inexistantes.

Admettons qu'il y ai eu 1% de comptes bloqués pour de mauvaises raisons
(VPN, réseaux publics hébergeant des terminaux compromis, etc.). Je n'ai
pas le pourtcentage exact et il me semble compliqué d'en avoir une idée
précise.

Ce que vous demandez revient à ignorer 99% des cas, dont une partie non
négligeable n'est plus utilisée par leur propriétaire et/ou a été volée
par un pirate (mot de passe changé) et qui peut être abusée depuis
n'importe quelle IP que je n'aurais pas été capable d'identifier.

À titre de comparaison, l'été dernier, lorsque les algorithmes de
détection ont été changés, je suis tombé sur des comptes qui étaient
utilisés pour envoyer du spam (moins de 1 par jour) depuis plus de deux
ans. Quand un pirate détient quelques dizaines/centaines de milliers de
comptes, ça fait quand même un volume tout à fait respectable en envoi.

Je n'aurais certainement pas la prétention d'identifier de manière
exhaustive toutes les IPs utilisables par des pirates.

> Amha, ce qui pourrait être amélioré pour éviter ces cas traumatisants
> pour M. lambda ou mme Michu:
> 1) bloquer les attaques provenant des classes d'IPs utilisées pour de
> l'hébergement et non par la quasi totalité de vos utilisateurs légitimes

Et qu'est-ce que vous faites des attaques depuis des VPNs ? Depuis des
connexions de particuliers ? Depuis des entreprises ?

> 2) bloquer les connexions au compte de messagerie, mais laissez le
> compte actif afin que les messages légitimes puissent continuer à
> arriver et ainsi minimiser la gêne lors de la réouverture effective du
> compte.

Là, vous me demandez d'accepter des mails alors que je n'ai aucun moyen de
savoir si l'utilisateur va récupérer l'accès à sa boite mail.

> 3) mettre en place une authentification a double facteur(*) ou/et une
> adresse de secours.
> En cas de suspension pour un compte orphelin ou FAG, ça peut servir ;)

Il est déjà question d'ajouter quelques éléments dans la base abonnés pour
faciliter le déblocage des comptes. Maintenant, je n'ai pas trop
d'illusion sur l'efficacité de ce type de changement (soit l'utilisateur a
déjà eu un problème et il est facile de trouver les conseils pour éviter
que ce problème se reproduise, soit l'utilisateur n'a jamais eu de
problème et il ne se pose pas de question et n'ira pas renseigner les
informations en question).

François




 

43878 posts enregistrés
(dont 68 sont cachés suite à la demande de l'auteur)

- Si un de vos posts apparait dans le NSpy du Journal du Freenaute et que vous souhaitez qu'il soit supprimé : -
contactez nous par mail ( ** Pensez à mettre le NUMERO DU POST en question ** )

Page générée en 0.001 secondes. - Pages du NSpy consultées 5 334 756 fois

Valid XHTML 1.0!  Valid CSS! Copyright 2005-2020 Journal du Freenaute - NSpy - Script par LiloBzH - Design de Mat Free en copyleft :-)