Bonsoir, Je viens de lire un post sur le blog de l'ISC (Internet Systems Consortium) à propos d'une annonce faite au Black Hat avant hier et à la DefCon hier : l'introduction d'un système de notation de la réputation des noms de domaines : DNS RPZ.
Voici le post: https://www.isc.org/community/blog/201007/taking-back-dns-0
Je me permets de contacter la liste pour relayer l'information d'une part, et que nous puissions discuter de cette technologie et de son intérêt (ou plutôt l'absence d'intérêt, à mes yeux) d'autre part.
J'ai beau me torturer, je ne vois pas le moindre intérêt à cette idée : les DNSBL n'ont jamais réussi à juguler le Spam (causant plus de problèmes qu'autre chose (cf. http://www.mail-archive.com/frnog@frnog.org/ conversation sur les antispams), sans parler de la déléguation de sa politique d'email à des inconnus), et pourtant, ils veulent reprendre cette idée afin de permettre la notation des noms de domaines et ainsi limiter les méfaits des "bad guys".
Dans la série des problèmes adressés par cette techno, je vois, de prime abord le contenu reconnu universellement illicite (13yo.xxx et autres sites contenant des images que nous ne souhaitons pas voir (?)) et également le phising.
Concernant les sites à caractères innopportuns (oui, je tourne autour du pot, mais je ne compte pas prononcer ce mot, affiché trop souvent comme porte-étendard, voire seul mal sur Internet (avec le piratage, évidemment) (http://www.cleanternet.org/ )), nous le savons tous, bloquer le nom de domaine ou la récursion n'est pas une solution pour stopper la diffusion (pour peu que des noms de domaine soient utilisés, ce dont rien n'est moins sur) ; déjà que bloquer les IP ne sert à rien puisque les sysadm s'occupant de ce genre de réseaux sont tout aussi capables que nous de mettre en place des solutions d'hébergement multi-site robustes, avec l'avantage d'utiliser des botnets, donc autant dire des milliers de sites (Tiens d'ailleurs, personne a envisagé de tenter l'hébergement de son site sur un botnet ? ^^ ca coute certainement moins cher qu'un rps/kimsufi/dedibox/digicube).
Concernant le phishing – même si je ne suis pas spécialement d'accord avec son approche, puisqu'il arrivera bien un jour où, acculés, ils y viendront – Stéphane Bortzmeyer a publié un billet sur son blog à propos du typosquatting (en l'occurence avec des IDN) et de son manque totale de nécessité vis à vis du phishing ( http://www.bortzmeyer.org/idn-et-phishing.html ) . En effet, M. Michu, en bon luser, ne vérifie pas le nom de domaine employé avant de saisir ses informations personnelles. La solution globale au phishing n'a pas encore été trouvée (HTTPS ne résout rien ; M Michu ne regarde pas plus son certificat que son URL ; du moment que la barre est verte (!) avec le petit cadenas, c'est bon, il met son numéro de CB), mais plusieurs technologies s'occupent déjà de cela, comme elles peuvent ; rajouter une autre technologie ne sert réellement qu'à justifier le temps passé en réunion improductive.
On voit donc bien que ce genre de technologie n'apportera rien : le problème est ailleurs ; à mon sens, il se situe au niveau des registrars ; mais ça, ce n'est peut être pas politiquement correct de l'annoncer ouvertement de leur part.
"Oh, mon dieu ! Mon nom de domaine à 5 euros a une mauvaise réputation ! Foutu DNS RPZ ! Je vais encore devoir en acheter un autre ! Ils viennent de me faire perdre 1/10000 de mon chiffre d'affaire ! Trop dur !" se diront les hameçonneurs, exactement comme les spammeurs le disent depuis que le domain-tasting a été supprimé.
Une solution qui me parait viable serait tout simplement de renforcer le contrôle identitaire à la délégation d'un nom de domaine (notez l'emploi du terme délégation et non achat), par injonction de l'IANA et consort auprès des TLD. Si une personne physique ne peut plus enregistrer de nom de domaine pendant une période de X années après un abus constaté et que l'ensemble de ses noms de domaines sont repris par les registres en cas de faute, mathématiquement le nombre de domaines malicieux va être appelé à descendre. Afin d'empêcher la réservation massive (pour une campagne de spam, au hasard), la limite serait également imposée sur la quantité de noms de domaines réservables sur une période donnée.
On résoudrait par ailleurs en parti le problème du Spam, si l'on forcait l'emploi des solutions anti-spoofing comme SPF (avec limitation du nombre de cibles maximum) ou DKIM reposant toutes les deux sur l'emploi de DNS. Si je spam, on me reprend mes domaines et je ne peux plus en demander d'autre => je ne peux plus spammer puisque je n'ai pas la possibilité de configurer des records DNS et qu'ils sont indispensables à la livraison de mes courriers. Si les grands webmail (plouf plouf live, gmail, yahoo) se mettent à appliquer ce genre de politique, on peut être sur de voir une adoption assez rapide et radicale.
Bref, après cette digression sur le spam, et pour en revenir au sujet initial, ai-je manqué une étape ? Quel est votre avis sur DNS RPZ ?
Cordialement, Florian MAURY
Bonjour,
Le 31/07/2010 01:39, Florian MAURY a écrit :
J'ai beau me torturer, je ne vois pas le moindre intérêt à cette idée [...] On voit donc bien que ce genre de technologie n'apportera rien : le problème est ailleurs ; à mon sens, il se situe au niveau des registrars ; mais ça, ce n'est peut être pas politiquement correct de l'annoncer ouvertement de leur part.
Remarque inutile, mais je suis entièrement d'accord avec toi.
Une solution qui me parait viable serait tout simplement de renforcer le contrôle identitaire à la délégation d'un nom de domaine (notez l'emploi du terme délégation et non achat), par injonction de l'IANA et consort auprès des TLD. Si une personne physique ne peut plus enregistrer de nom de domaine pendant une période de X années après un abus constaté et que l'ensemble de ses noms de domaines sont repris par les registres en cas de faute, mathématiquement le nombre de domaines malicieux va être appelé à descendre. Afin d'empêcher la réservation massive (pour une campagne de spam, au hasard), la limite serait également imposée sur la quantité de noms de domaines réservables sur une période donnée.
+1 Quel est le frein pour mettre ce système en place ? Les coûts de gestion administrative ? Face aux coûts du SPAM et autres systèmes de sécurité, ça me parait dérisoire, mais ce ne sont pas les mêmes personnes qui payent.
Si je spam, on me reprend mes domaines et je ne peux plus en demander d'autre => je ne peux plus spammer puisque je n'ai pas la possibilité de configurer des records DNS et qu'ils sont indispensables à la livraison de mes courriers.
Il reste la technique du kebab: une fois chopé, on change de noms de propriétaire: ma sœur, cousine, mes frères, ma grand-mère.... Mais ça limite quand même énormément les possibilités. J'aurais bien aimé avoir l'avis de Bortzmeyer mais il n'est pas membre de la liste.