Un filtre anti-arnaques pour avertir en temps réel les internautes « avant qu’ils ne se rendent sur un site potentiellement piégé ». Voilà ce qu’annonce le candidat Macron dans son programme. Le député Éric Bothorel (LREM) nous donne les premiers éléments de ce dispositif, reposant sur un DNS public.
Dans le volet numérique de son programme, le candidat Emmanuel Macron veut introduire l’enseignement du code informatique « à partir de la 5e ». Il souhaite également « transformer l’État par le numérique », non sans mentionner « TousAntiCovid [qui] a montré comment les procédures pouvaient ainsi être simplifiées ». Au menu encore, 20 000 accompagnateurs « pour aider les Français qui en ont besoin dans la maîtrise des outils numériques et leurs démarches quotidiennes ».
Sur le volet « cybercriminalité », il annonce surtout la mise en place d’« un filtre anti-arnaques [qui] avertira en temps réel tous les usagers d’Internet avant qu’ils ne se rendent sur un site potentiellement piégé ».
Cet outil, détaille le député Éric Bothorel, « filtrera préventivement les adresses Internet correspondant à des sites malveillants connus afin d’éviter qu’un internaute peu averti ne télécharge des logiciels infectés (rançongiciels, virus, spyware dispositifs de phishing) ou ne reçoive par la suite des emails piégés »
L’enjeu ? « Nous permettre de mieux nous protéger des activités cybercriminelles, dont on rappelle qu'elles rapportent à leurs auteurs près de 6 000 milliards par an, et qui n'épargnent en rien les particuliers ».
Un DNS public
Contacté ce matin, le député cite le précédent du Belgium Anti-Phishing Shield (BAPS) ou encore DNS4eu, actuellement concocté par la Commission européenne, et pour l’heure sous forme d’un appel à projet de 14 millions d'euros visant à déployer une « infrastructure de service de résolution DNS sécurisée et respectueuse de la vie privée ». Un résolveur DNS permet pour rappel d’associer un nom de domaine à l’adresse IP du serveur correspondant.
« Il y a un côté un peu insupportable à laisser les internautes ainsi, sans capacité de les prévenir », commente le député LREM. Une situation d’autant plus insupportable alors que « de multiples capteurs nous permettent aujourd’hui, de façon très réactive, d’avoir connaissance des sites corrompus ». Parmi ces sources ou ces capteurs, il cite CyberCampus, les FAI, les CSIRT régionaux, cybermalveillance, etc.
Pas de blocage, mais un avertissement
L’idée d’un tel filtrage reposerait donc sur un DNS public afin de « limiter considérablement le champ de la possible arnaque ».
Ce ne serait pas un blocage en ce sens que les internautes seraient simplement alertés de la dangerosité supposée de telle ou telle page. « On veut en effet prévenir que le site est potentiellement malveillant ».
S'agissant des modalités pratiques, si le projet est dans les esprits depuis longtemps, « on n’a pas encore été dans le détail », admet le parlementaire qui souhaite aussi mettre la société civile dans la boucle. Il suggère la piste d’une autorité indépendante, pourquoi pas un magistrat, qui aurait pour mission de qualifier les sites.
L’idée de ce DNS public est en tout cas « d’envoyer un signal à tous les cybercriminels : la France va devenir un terrain plus compliqué, allez faire vos affaires ailleurs. Si on empêche Monique 73 ans, ou Kévin 15 ans de se faire voler 500 euros, je trouve ça bien ». Et l’élu d’insister : « cet outil sera facultatif. Chacun sera libre d’y souscrire ou pas. Ce n’est pas du blocage, mais de l’avertissement ».
Et la Net-Neutralité ? « Si la neutralité du Net est de permettre aux cybercriminels de pouvoir faire leurs petites affaires sans que jamais on ne les en empêche, j’ai un petit problème avec ce principe ».
Commentaires (72)
#1
Je sens l’usine à gaz habituel.
#2
Respectueux de la vie privée, encore faut-il pouvoir réellement le prouver, cela reste très simple de cacher le renifleur …
Ensuite ce DNS public facultatif ne risque t’il pas de finir sa course chez les FAI ? C’est pour notre bine, c’est ça ?
#3
Donc ils veulent installer un DNS menteur sur le PC de chaque français?
Je ne vois pas comment ça peut mal se passer!
#4
Je ne vois pas comment un simple DNS peut avertir sans bloquer.
Deux solutions sont possibles :
A priori si cette solution est facultative et non activée par défaut, cela ne devrait pas entrer en conflit avec le régalement sur la neutralité de l’internet.
D’autres solutions avec interface dans les box des opérateurs grand public pourraient être envisagées, mais c’est bien plus lourd à implémenter et long à mettre en place.
Vvivien.
#4.1
Il me semble que c’est ultra simple : redirection vers un page qui affiche l’avertissement + l’URL demandée.
Free a tenté ce genre de chose il y a longtemps pour afficher des pubs en tête de page.
#5
Un filtrage par DNS ? Et comment ça marche quand l’arnaqueur est sur ebay, sur le boncoin, ou sur une marketplace quelconque ? (cas le plus courant, il me semble)
#6
Creer un DNSpublique si pas celui fournis par les FAI ne servira a rien pour justement Monique et Kevin.
En plus pourquoi avertir ? Si c’est une arnaque, c’est blocage directement et via tous les FAI.
Encore un truc inutile.
#6.1
c’est aussi ce que je pense*, pour éviter que ‘certains’ cliquent
(allez, soyons gentil) ‘par mégarde’ sur ces liens vérolés !
mais, au nom de la sacro-sainte “Neut. du Net’………………..
#7
Je vois pas comment avertir sans bloquer côté DNS, surtout pour des places de marché.
#8
Dans un pays qui n’essaierai pas trop régulièrement de rogner sur la vie privée, qui ne détournerai pas les outils mis en place et qui ne renierai pas les promesses initiale quasi a chaque fois, oui ca pourrait avoir du sens, mais ici ce n’est pas le cas.
#9
J’avoue ne pas comprendre techniquement le cheminement.
Le DNS en lui-même ne permet pas l’affichage d’un message. Imaginons le site “super-arnaque.truc”.
Pour afficher un message, il faut :
Bref, sans me prononcer sur le fond, techniquement, je ne vois pas comment c’est faisable…
#9.1
Cf mes 2 cents ici
#9.2
Non, ça ne marche pas, car il faut dans ce cas là modifier le lien d’origine. Ici, on parle quand même de mettre en place un DNS public pour faire un DNS menteur.
Sauf qu’avec un DNS menteur, tu rediriges TOUT le trafic d’un serveur à un autre, puisque le nom a été résolu vers le serveur X au lieu du serveur Y.
Du coup, une fois ça fait, comment rediriger vers le “bon” serveur, puisque l’idée n’est pas de bloquer mais d’afficher un message d’avertissement.
#9.3
Pour de l’http le DNS menteur t’envoies vers une page avec un bouton de redirection vers une URL modifiée ou l’IP réelle se substitue au fqdn. Sauf que ça ne marche bien que si le site contient une seule page monolithique. Ce qui n’existe plus depuis 30 ans.
Pour l’HTTPS c’est mort.
Faire ce qu’ils veulent avec du DNS ce n’est pas possible. Il faut un MitM (proxy). C’est une gabegie sécuritaire et opérationnelle.
#10
Ça pu du cul. Étape suivante : les FAI se voient imposé de retourner le DNS d’État à leurs box et derrière, au réseau local de l’abonné. Ensuite, le DNS d’Etat préviens, filtre, interdit au bon vouloir de son altesse.
Pi-Hole devient un must
Suivi d’une config pour être encore moins dépendant, comme expliqué ici
A l’aide de Unbound
#11
Tout à fait avec https et les certificats, il n’est plus souhaitable d’afficher une page web sur un DNS bloqué.
Pour moi un DNS peut boquer mais pas avertir.
#11.1
Question pour les experts:
Es-ce qu’une modification du DNS pour rajouter des codes erreur comme celle de http 451 est possible (en proposant un RFC) ou bien un tel système d’erreur dans le DNS est en contradiction avec la logique du DNS et des couches OSI??
#12
il pourrait pas faire un WOT public avec ouverture des avis aux français + des avertissements du gouv mis en avant ? Ça serait à la fois efficace et non intrusif
#13
Le meilleur des filtres anti arnaques ?
L’urne !?
#14
Aye confiance … aye confiance ….
Comment dire ce que j’en pense …
#15
Comme certains l’ont dit, je ne vois pas non plus comment avertir sur de l’https avec juste des DNS, à part bloquer, ou mettre en place un Proxy avec un certificat racine, etc…
#16
OK, vu comment l’impunité règne sur les arnaques au CPF, au TELEPHONE, c’est bien beau de vouloir s’attaquer aux Internets, mais qu’ils commencent sérieusement à faire fonctionne Bloctel comme il se doit.
Ensuite on pourra s’attaquer à ça aux alentours de 2050, c’est une bonne deadline.
#17
J’hésite entre rigoler et prendre peur quand je vois ça. … Ils peuvent pas s’empêcher de vouloir faire du solutionisme technologique pour tout et n’importe quoi…
#18
Ya que moi qui trouve intéressante l’idée du “WOT” ? Ça serait une simple extension de navigateur, ou même une fonctionnalité standard des navigateurs, qui seraient connecté par API à la plateforme public d’un pays ou de l’UE. Ça ouvrirait des popup d’avertissement à l’utilisateur. On pourrait même imaginer que la connexion se fasse par TOR (pour éviter de tracker l’historique de navigation). Ça serait standard, non intrusif, on pourrait également l’enlever, et il n’y aurait pas besoin de procédures techniques ou judiciaires couteuses à mettre en place, et longue.
#19
“le candidat Emmanuel Macron veut introduire l’enseignement du code informatique « à partir de la 5e ».
Bof, déjà que le niveau en math et en français n’est pas folichon, ça sert vraiment de rajouter ça?
Je peux me tromper mais je soupçonne que ça ne va pas plaire à la majorité des élèves. Et que la minorité que ça va intéresser s’y serait mis avec un club info au collège (souvenirs souvenirs, TO7 pour moi au collège :) )
#19.1
Je serais pour simplifier la langue française pour gagner du temps dans l’enseignement des math et de l’informatique
#19.2
A tkt, la sainplification est en cour avec Twitter et otre rezo sosio.
hashtag je saigne des yeux souvent :)
#19.3
Alors je parlais pas d’une nouvelle complexification XD mais par exemple, pourquoi ne dirait-on pas des chevals ?
#19.4
par exemple le mot “faisan” qu’un étranger, qui apprend le ‘Français’
DOIT prononcer “feuzan”—>pas très logique ‘tout-ça’ !!!!!
#19.5
C’est pas faux.
Et en grammaire il n’y a qu’une loi : aucune règle sans exceptions :)
#19.6
Ouais, du coup y a plein de truc par cœur à apprendre, qui sont finalement une perte de temps…
Faudrait mathématiser la langue française, et supprimer toutes les exceptions
#19.7
la fameuse règle apprise à l’école : “en générale c’est….
mais il y-a une* exception–>blablabla” !
#20
Ces codes d’erreur étendus existent déjà dans le DNS (RFC 8914 https://www.bortzmeyer.org/8914.html). Le problème est que le client DNS dans la machine de M. Michu n’en tient typiquement aucun compte.
#21
Les trois tweets d’Éric Bothorel ne mentionnent pas un résolveur DNS menteur, contrairement à l’article de NextInpact. Il en a parlé ailleurs, peut-être ?
#22
Un DNS menteur qui affiche un avertissement ? On va avoir de gros problèmes avec les certificats https.
#22.1
Les DNS menteurs sont déjà en place. Il y a quelques sites où les DNS redirigent vers un site en http affichant un avertissement du ministère de l’intérieur. Le navigateur ne bronche pas donc.
En revanche pour pouvoir rendre cet avertissement non bloquant, je ne sais pas comment ils peuvent faire oui… À moins d’encapsuler le site via les serveurs du ministère de l’intérieur…
#23
D’ailleurs quand les navigateurs passeront en DNS over HTTPS par défaut, on appellera ça du gâchis d’argent public
#24
Tout le monde doit apprendre le Lojban ! https://www.bortzmeyer.org/what-is-lojban.html
#25
Rah je ne connaissais pas, c’est exactement ça qu’il faudrait !
#26
Si c’est du http, en effet. Mais, aujourd’hui où presque tout le monde est en https, si, ça bronche.
Vous pouvez tester : https://interieur1.eu.org/ va timeouter (pas de HTTPS disponible, logique, il n’aurai pas de certificat à présenter) alors que http://interieur1.eu.org/ va marcher.
#27
Décidément. Ce pauvre banquier eurofasciste ne sait vraiment plus quoi inventer pour tenter de sauver son fauteuil… Il a quand même réussi l’exploit de faire exploser notre dette de +25% en 5 ans - soit 600 milliards d’€ ! Mais il n’avait pas un rond pour les gilets jaunes qu’il a massacré dans nos rues et qu’il continue de nasser avec son préfet chaque samedi, dont le nom seul est une boutade à l’euroreich !
Sérieux : si vous croyez encore aux sornettes de ce serpent, qui est un pro pour adapter son discours à la souris qu’il a en face, vous aimez vraiment perdre votre temps.
Pour ma part, j’en déduis juste qu’il a un copain informaticien à placer quelque part dans la machine. On connaît bien sa technique de renvoi d’ascenseur avec Drahi en 2017. Pas la peine de chercher plus loin. Les français, il s’en tape ! Il l’a prouvé pendant 5 ans, avec un sadisme jamais vu. La marionnette de Bruxelles n’est là que pour son seul profit.
#28
Sans connaître trop les détails technique (ce qu’annonce le député Bothorel peut changer) ça ne me semble pas une mauvaise idée.
Ça sera évidemment proposé aux personnes qui n’y connaissent rien en informatique, les autres continueront à utiliser le darkeu waibeu comme avant.
Je ne sais pas si vous en avez dans votre entourage mais nombre de personnes sont particulièrement vulnérables aux arnaques. Pas que sur Internet d’ailleurs.
#29
Le site en question est de base en https, c’est le dns qui redirige vers un site en http du ministère de l’intérieur.
#30
Désolé, mais ce que vous écrivez ne veut rien dire. Si l’URL de départ (celui choisi par l’utilisateur), était https, la réponse DNS, quelle qu’elle soit, ne va pas le changer en http. (HTTPS protège, entre autres, contre les résolveurs menteurs.)
#31
Oui je me suis mal expliqué. En effet si on tapes la requête en https, on ne peut pas se faire avoir. D’ailleurs le site en question ne répond pas dans ce cas. Ce que je voulais dire, c’est que le site est disponible en https (par défaut), en revanche lorsque l’on tape l’adresse : lesite.web (sans préciser le protocole https), ça redirige bien vers un site http. Pardon de l’imprécision.
Sinon le sujet est pas encore sur la table, mais on pourrait très bien imaginer des CA (autorités de certifications) menteuses non ? C’est déjà arrivé, il y a eu une mise à jour de Windows en Tunisie pour bypasser les certificats. À mon avis c’est la prochaine étape. (Je dis pas que je soutiens cette «solution»)
#32
“Au menu encore, 20 000 accompagnateurs « pour aider les Français qui en ont besoin dans la maîtrise des outils numériques et leurs démarches quotidiennes ».”
Je suppose que le public visé est lié à l’évolution démographique du pays, et donc ce chiffre de 20 000 me parait dérisoire.
“Sur le volet « cybercriminalité », il annonce surtout la mise en place d’« un filtre anti-arnaques [qui] avertira en temps réel tous les usagers d’Internet avant qu’ils ne se rendent sur un site potentiellement piégé ». ”
Je pense que c’est encore le même public qui est visé.
Ce public qui en général ne lit rien d’aucune alerte affichée sur son écran, voire panique, et ne lit toujours pas.
L’idée est louable mais vouée à l’échec.
#33
#34
Le rêve !
#35
En dehors de la technique, sachant à quoi sert un serveur DNS, je n’aime pas vraiment l’idée que l’Etat pourrait avoir la main mise sur ce genre de serveur. Je ne dis pas que les FAI sont complètement innocents et que l’Etat n’a pas déjà des possibilités d’actions ou de traçage au niveau des serveurs DNS des FAI mais dans le cas où ce serait un serveur DNS d’Etat, le gouvernement pourrait faire ce qu’il veut, quand il le veut : traçabilité, DNS menteurs, blocage de sites “ne plaisant pas”.
#36
Pas possible, fdorin a bien détaillé la question.
Un DNS résout un nom de domaine, il ne peut peut pas rediriger une requète http vers n’importe quel site comme il veut.
Si je vais sur bidule.fr, le DNS peut mentir et indiquer une autre serveur pour afficher une page d’avertissement au lieu d’afficher la vrai page bidule.fr.
Sauf que maintenant la plupart des sites sont en HTTPS, donc si le DNS ment pour afficher un avertissement sur la page bidule.fr, le navigateur va bloquer la page en affichant une alerte de sécurité dans ce genre là : https://i.stack.imgur.com/oyP3d.png
En effet, le “faux” serveur indiqué par le DNS n’a pas la clé privé pour présenter un certificat valide pour la page bidule.fr.
Le HTTPS est justement pensé pour éviter ce genre d’attaque type “man in the middle”.
Le seul moyen pour contourner ce problème, c’est d’installer installer un certificat racine sur les postes des utilisateurs.
C’est ce que font certaines entreprises. C’est aussi ce qu’a fait Lenovo a une époque sur certains PC pour pouvoir afficher ses propres publicités sur n’importe quel page.
https://www.nextinpact.com/article/17141/93164-laffaire-superfish-revele-probleme-securite-plus-vaste-avec-certificats
#37
PS: Il y a peut etre des solutions techniques quand même.
J’imagine que la redirection vers un autre nom de domaine pour afficher l’avertissement est possible au niveau DNS avec un simple CNAME.
Et si on décide de passer l’avertissement, le serveur peut sauvegarder la décision pour mon adresse IP, et la fois d’après le DNS ne va pas rediriger.
S’il y a un expert DNS dans le coin qui en sait plus …
#37.1
Ca ne marchera pas non plus. DNS et HTTP/S sont deux protocoles différents qui n’ont rien à voir.
Un CNAME, au niveau du DNS va juste dire que l’adresse IP associée à X est la même que l’adresse IP associée à Y (qui potentiellement est la même que l’adresse IP associée Z et ainsi de suite).
Grosso modo, quand dans un navigateur tu souhaites accéder à un site, le navigateur utilise HTTP pour communiquer avec le serveur. Mais avant de pouvoir communiquer avec le serveur, il a besoin de connaitre l’adresse IP du serveur (et c’est là que rentre en jeu le DNS).
La requête DNS est faite sans contexte (on sait qu’on recherche l’adresse d’un hôte, mais on ne sait pas pourquoi, cela peut être pour du mail, de la navigation web, une connexion SSH, un SMTP etc…). Et le résultat est mis en cache (le protocole DNS définie des durées de vie pour les enregistrements).
Donc la seule “possibilité” que je vois, ce serait d’avoir un navigateur qui procéderait lui-même à la résolution (sans la déléguer à l’OS) et qui ferait ce travail :
Mais cela nécessite donc une adaptation des navigateurs (qui me semble illusoire).
Ou alors il faudrait définir des enregistrements au niveau des DNS (genre un TXT) permettant de dire attention, pour un premier accès, il faut aller par ici et non par là.
Mais là encore, une adaptation des navigateurs est nécessaire, sans parler du risque qu’il pourrait y avoir pour la sécurité.
Et sans compter que la sécurisation des DNS (DNSSec, DNS over HTTPS, etc…) feraient de toutes façon tomber tout cela à l’eau…
#38
Personne pour se poser la question de la définition d’un site “connu” ? Connu par qui au juste ? La justice ? L’Etat ? Un député ? Url ou nom de domaine demandé à être retiré ? Juridiction administrative ? C’est plus ça qui me fait peur que l’approche technique (qui est non faisable avec juste un DNS)
#39
Mais, est-ce que ce filtre fonctionnera aussi pour toutes les fausses promesses des élections ?…
Quoique, peut-être pas, sinon aucun site des candidats ne serait accessible…
#39.1
#40
Non, ça ne marchera pas, en tout cas pas en HTTPS. La vérification du certificat se fait, heureusement, en utilisant le nom original.
#41
Ca ne marche même pas, puisque :
Et même si ça marchait, le site cible, s’il contient une URL qui utilise son nom de domaine (par exemple http://mon.site.fr/mentions-legales) va renvoyer vers… le site d’avertissement puisque son nom de domaine est résolu vers le serveur d’avertissement !
On est d’accord. Et un MitM gérer par un Etat (qu’il soit démocratique ou non), c’est une très mauvaise idée.
#42
Quand on voit comment ce gouvernement a pris à bras le corps le spam téléphonique pour l’isolation et le droit à la formation, ça fait très peur…
#43
Ce truc est voué à l’échec. C’est tellement évident.
Ça filera du boulot très bien payé au copains.
#44
“Contacté ce matin, le député cite” ;)
#45
Heu… on peut pas juste réutiliser ce qui existe déjà dans les navigateurs avec la “safe browsing API” ?
#46
Inefficace, merci au revoir.
En parlant du Google Safe Browsing, Edge a depuis peu une option pour renforcer la sécurité avec la sécurité améliorée où JIT est désactivé et les atténuations telles que ACG, CIG, CFG et CET sont toutes activées dans le processus de rendu, c’est très bien comme option, ça s’active dans “Confidentialité, recherche et services”.
#47
Anti-arnaque et Macron dans la même phrase? C’est une arnaque? :)
ps: je blague
#48
si c’est comme bloctel, vla l’efficacité :-)
#49
#50
C’est impossible : seul le HTTP peut être manipulé, HTTPS va être bloqué avec une erreur de certificat.
Seul les sites accédés en http s’afficheraient. Or les navigateurs ont modifié leur comportement, avant quand tu tapais “site.com”, ton navigateur chargeait “http://site.com” qui faisait généralement une redirection vers “https://www.site.com”. Depuis quelques années en tappant “site.com”, la navigateur tente d’accéder directement à “https://site.com”.
C’est visible sur les portails captif d’hôtel, précédemment tu tapais n’importe quoi et t’avais la page de connexion au wifi de l’Hotel. Maintenant tout est bloqué et c’est ton navigateur (ou l’OS) qui détecte le portail captif (en interrogeant en arrière-plan une url HTTP bien connu), et t’ouvre une invite de connexion. (Il est aussi possible d’indiquer explictement une adresse http “http://perdu.com” par ex.
Bref il est totalement impossible de modifier le contenu d’internet avec un simple DNS menteur, comme le dit Vivien c’est Bloqué / Accessible mais pas modifié.
#50.1
Ah non j’ai écrit une connerie c’est “Ctrl + Entrée” qui ajoute “https://www.” et “.com”. Si on tappe un domaine inconnu ça appelle toujours la version http par défaut.
Ce qui est sûr c’est que ça va pousser les phishing à passer en HTTPS :)
#50.2
comme quoi “Internet” ça bouge toutletemps
faut pas s’endormir ‘sur ses acquis !!!’
#51
Exactement ! le fond du debat se trouve la.. La techno de blocage/avertissement/redirection on s’en branle un peu…
Le surf internet certifié Macronie , ca fait rever. Sans compter le dévoiement de tout cela a la première occasion ( comme le fichier ADN, et toutes ces choses..)
#52
Encore un truc inutile sur le thème du blocage et qui va nous coûter un fric fou
#53
Encore une fois du grand n’importe quoi défendu avec une belle hypocrisie. Laissez-nous nous faire arnaquer, vous n’êtes pas nos tuteurs, pas touche à la neutralité du Net. Vous dites n’importe quoi, vous nous dépouillez aussi, et beaucoup d’autres choses sont encore plus “insupportables” de votre part.
#54
C’est ce que je pensais, pourquoi réinventer la roue ?