MONTEVIDEO, Uruguay & SAN FRANCISCO--(BUSINESS WIRE)--Les nouvelles recommandations en matière de meilleures pratiques pour les FSI, fournies par LACNOG et M3AAWG ce mois-ci définissent les critères de sécurité de base des routeurs familiaux et d’autres équipements à l’abonné (Customer Premise Equipment, CPE), et devraient contribuer à protéger l’Internet contre les attaques courantes, en particulier les attaques DoS résultant de l’abus de ces périphériques. Les lignes directrices renforceront les efforts de sécurité des fournisseurs de services Internet, en identifiant les exigences pour les périphériques matériels connectés à leurs réseaux qui sont susceptibles d’être exploités lorsque les sauvegardes de base sont ignorées.
Le document sur les meilleures pratiques, « LACNOG-M3AAWG Joint Best Current Opérational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition » (Meilleures pratiques opérationnelles courantes conjointes LACNOG-M3AAWG sur les exigences minimales en matière de sécurité, pour l’acquisition d’équipements à l’abonné [CPE]), est en cours de traduction en plusieurs langues pour être utilisé par les FSI du monde entier. Il a été publié par le Latin American and Caribbean Network Operators Group (Groupe d’opérateurs de réseau, d’Amérique latine et des Caraïbes) et le Messaging, Malware and Mobile Anti-Abuse Group (Groupe contre l’abus de messagerie, maliciel et mobile), et est disponible sur www.lacnog.net/docs/lac-bcop-1 et sur www.m3aawg.org/CPESecurityBP ou dans les traductions actuelles sur https://www.m3aawg.org/published-documents.
Les paramètres de sécurité et la fonctionnalité recommandés sont basés sur l’expérience du secteur et sont essentiels pour prévenir les attaques de déni de service (Denial of Service, DoS), qui ciblent les périphériques d’infrastructure de réseau, les périphériques de l’Internet des Objets (IdO) vulnérables, et les infections malicielles. Un Tableau des exigences est fourni pour aider les FSI à personnaliser les recommandations de sécurité pour leurs réseaux, dans un format concis qu’ils peuvent fournir aux fabricants de CPE.
Efforts mondiaux visant à renforcer la protection en ligne
Le document est en cours de traduction en portugais, espagnol, français, allemand et japonais et d’autres langues devraient suivre. Les meilleures pratiques traduites seront utiles dans le monde entier comme outil permettant aux FSI d’établir des exigences de réglages par défaut, sécurisés, sur les équipements à l’abonné, qu’ils connecteront à leurs réseaux, selon l’éditrice du document, Lucimara Desiderá, présidente du Latin American and Caribbean Anti-Abuse Working Group (LAC-AAWG), et analyste de sécurité, chez CERT.br (l’équipe d’intervention d’urgence informatique nationale brésilienne).
« Les équipes de réponse aux incidents de sécurité informatique, d’Amérique latine ont identifié le manque de sécurité CPE comme étant un problème grave dans les attaques au cours des dernières années. Ces nouvelles meilleures pratiques permettront aux FSI de négocier plus facilement avec les fournisseurs CPE pour faire en sorte que l’équipement qu’ils connectent à leur réseau réponde aux exigences de sécurité minimales, ce qui permettra de réduire globalement le nombre et l’intensité des attaques sur l’Internet et, par conséquent, l’impact négatif qu’elles exercent sur les opérations des FSI », a déclaré Mme Desiderá.
Les lignes directrices couvrent la documentation et les coordonnées des fournisseurs, la sécurité logicielle, les mises à jour à distance et la fonctionnalité de gestion des périphériques, les préférences de configuration par défaut, et les politiques de soutien, liées aux interventions de sécurité. Parmi les recommandations :
- Les mots de passe ne doivent pas être codés en dur dans le micrologiciel, doivent être modifiables, et les fournisseurs ne doivent pas utiliser le même mot de passe par défaut pour tous les périphériques.
- Un mécanisme doit être en place pour assurer des mises à jour de logiciel, à distance, notamment une méthode permettant de vérifier l’authenticité d’un fichier de mise à jour téléchargeable.
- L’équipement doit être configuré de manière restrictive et non pas de manière permissive.
À titre d’exemple de l’étendue du problème, le maliciel Mirai responsable de plusieurs attaques importantes de sites Web contient un tableau de plus de 60 noms d’utilisateur et mots de passe courants réglés par défaut en usine, auquel il se réfère pour se connecter et infecter des caméras de sécurité à domicile, des routeurs familiaux et d’autres périphériques IdO. Les nouvelles lignes directrices rendraient le nouveau tableau de connexion inopérant, d’après Severin Walker, président du conseil d’administration de M3AAWG.
M. Walker a déclaré, « La collaboration de M3AAWG avec LACNOG et son Groupe de travail LAC sur ce document était une priorité, en partie en raison de notre travail en cours avec des groupes d’opérateurs de réseau et de réponse aux incidents régionaux, dans le but de répondre aux menaces mondiales auxquelles font face les communications sécurisées. Elle était également importante, dans la mesure où nous devons continuer de faire évoluer la focalisation de nos membres, sur la sécurité de l’IdO, des périphériques mobiles et autres périphériques grand public afin d’éviter les attaques de plus en plus importantes qui proviennent d’eux. »
Le document sur les meilleures pratiques a été développé par LACNOG et M3AAWG, et lancé lors du congrès LACNIC 31 en République dominicaine le 8 mai. Il est basé sur l’expertise des groupes de travail de LACNOG LAC-AAWG et le Groupe de travail BCOP, en coopération les membres de M3AAWG, ses conseillers techniques seniors, et le Comité technique de M3AAWG.
À propos de LACNOG
LACNOG (www.lacnog.net), le Latin American and Caribbean Network Operators Group, est structuré autour d’un conseil d’administration, d’un comité chargé des programmes, et de groupes de travail. Il fournit un environnement permettant aux opérateurs de réseau et aux parties intéressées d’échanger leurs expériences et leurs connaissances par le biais de listes de diffusion, de groupes de travail, et de réunions annuelles. LACNOG promeut également des groupes d’opérateurs de réseaux locaux (Network Operators Groups, NOG), et des forums d’appairage, le développement et l’adoption de meilleures pratiques, ainsi que des activités et des tutoriels de formation technique.
À propos du Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG)
Le Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG) est le lieu où l’industrie se réunit pour lutter contre les bots, maliciels, pourriels, virus, attaques de déni de service, et autres exploitations en ligne. Les membres de M3AAWG (www.m3aawg.org) représentent plus de deux milliards de boîtes à lettres provenant de certains des plus grands opérateurs de réseau au monde. Il met à profit la profondeur et l’expérience de ses adhérents mondiaux pour lutter contre les abus sur les réseaux existants et sur les nouveaux services émergents par le biais de la technologie, de la collaboration, et de la politique publique. Il œuvre également pour former les décideurs politiques à l’échelle mondiale sur les problèmes techniques et opérationnels liés aux abus et à la messagerie en ligne. M3AAWG, dont le siège est situé à San Francisco, en Californie, est axé sur les besoins du marché et soutenu par d’importants opérateurs de réseau et fournisseurs de messagerie.
Conseil d’administration et promoteurs de M3AAWG : 1 & 1 Internet SE ; Adobe Systems Inc. ; AT&T Comcast ; Endurance International Group ; Facebook ; Google, Inc. ; LinkedIn ; Mailchimp ; Marketo, Inc. ; Microsoft Corp. ; Orange ; Proofpoint ; Rackspace ; Return Path, Inc. ; SendGrid, Inc. ; Vade Secure ; Valimail ; VeriSign, Inc. ; et Verizon Media (Yahoo & AOL).
Membres à part entière de M3AAWG : Agora, Inc. ; Broadband Security, Inc. ; Campaign Monitor ; Cisco Systems, Inc. ; CloudFlare, Inc. ; dotmailer ; eDataSource Inc. ; ExactTarget, Inc. ; IBM ; iContact ; Internet Initiative Japan (IIJ) ; Liberty Global ; Listrak ; Litmus ; McAfee ; Mimecast ; Oracle Marketing Cloud ; OVH ; Spamhaus ; Splio ; Symantec ; USAA ; et Wish.
Une liste complète des membres est disponible sur http://www.m3aawg.org/about/roster.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.
