Re: [HS] sobig et Kmail
Pascal Eisele a écrit :
[...]
Oui mais... Ca peux etre une solution, le seul truc c'est que c'est
difficile à gerer pour les FAI. En plus, il faut etre bien certain que
la personne est infecté et pas que ce n'est pas quelqu'un qui se fait
passer pour lui (comme beaucoup de vers/virus actuels). Pour cela, il
faut se servir de l'IP et non de l'adresse email de source des messages.
Oui, l'idée est séduisante... Mais, comment être sûr que les champs sont
authentiques ? Parce que l'IP aussi peut être forgée (cf. les spams
dont c'est la grande spécialité). Or, perso, je ne connais aucun soft
permettant de déterminer si un champ quelconque est légitime ou forgé :(
De plus, la plupart du temps, les IP concernées sont des IP dynamiques :
donc beaucoup plus de travail de la part le l'ISP pour déterminer leur
provenance réelle (savoir qui est connecté, à quel moment et avec quelle
IP => on en revient à la surveillance permanente et à une conservation
des logs que pour ma part, je me refuse à considérer comme une bonne
chose, que ce soit pour l'internaute - flicage - ou pour le FAI -
gestion des logs = énormes capacités de traitement ie. espace disque et
personnel).
Là où il y aurait moyen d'agir, c'est au niveau des admins et de la
config de certains firewalls/passerelles AV : quand je vois que depuis
3/4 jours je me prends 70 à 80 Sobig par jour, je râle un peu, mais,
compte-tenu de ce que je dis ci-dessus, je n'y peux pas grand-chose. Par
contre, quand je vois des mailer-daemon m 'aviser que je suis infecté,
ou pire me demander de renvoyer le message zippé avec copie du virus en
prime, là y'a quand même de quoi s'inquiéter sur la formation desdits
admins et la configuration (probablement par défaut) de leurs AV :( Je
précise que, j'en reçois 10 à 20 par jours aussi (donc qui viennent
s'ajouter aux autres - puisque dans le tas, la plupart ont le virus en PJ)).
Claude
Reply to: