Les nouvelles recommandations en matière de meilleures pratiques pour
les FSI, fournies par LACNOG et M3AAWG ce mois-ci définissent
les critères de sécurité de base des routeurs familiaux et d’autres
équipements à l’abonné (Customer Premise Equipment, CPE), et devraient
contribuer à protéger l’Internet contre les attaques courantes, en
particulier les attaques DoS résultant de l’abus de ces périphériques.
Les lignes directrices renforceront les efforts de sécurité des
fournisseurs de services Internet, en identifiant les exigences pour les
périphériques matériels connectés à leurs réseaux qui sont susceptibles
d’être exploités lorsque les sauvegardes de base sont ignorées.
Ce communiqué de presse contient des éléments multimédias. Voir le communiqué complet ici :
https://www.businesswire.com/news/home/20190602005015/fr/
Le document sur les meilleures pratiques, « LACNOG-M3AAWG
Joint Best Current Opérational Practices on Minimum Security
Requirements for Customer Premises Equipment (CPE) Acquisition »
(Meilleures pratiques opérationnelles courantes conjointes LACNOG-M3AAWG
sur les exigences minimales en matière de sécurité, pour l’acquisition
d’équipements à l’abonné [CPE]), est en cours de traduction en plusieurs
langues pour être utilisé par les FSI du monde entier. Il a été publié
par le Latin American and Caribbean Network Operators Group (Groupe
d’opérateurs de réseau, d’Amérique latine et des Caraïbes) et le
Messaging, Malware and Mobile Anti-Abuse Group (Groupe contre l’abus de
messagerie, maliciel et mobile), et est disponible sur www.lacnog.net/docs/lac-bcop-1
et sur www.m3aawg.org/CPESecurityBP
ou dans les traductions actuelles sur https://www.m3aawg.org/published-documents.
Les paramètres de sécurité et la fonctionnalité recommandés sont basés
sur l’expérience du secteur et sont essentiels pour prévenir les
attaques de déni de service (Denial of Service, DoS), qui ciblent les
périphériques d’infrastructure de réseau, les périphériques de
l’Internet des Objets (IdO) vulnérables, et les infections malicielles.
Un Tableau des exigences est fourni pour aider les FSI à personnaliser
les recommandations de sécurité pour leurs réseaux, dans un format
concis qu’ils peuvent fournir aux fabricants de CPE.
Efforts mondiaux visant à renforcer la protection en ligne
Le document est en cours de traduction en portugais, espagnol, français,
allemand et japonais et d’autres langues devraient suivre. Les
meilleures pratiques traduites seront utiles dans le monde entier comme
outil permettant aux FSI d’établir des exigences de réglages par défaut,
sécurisés, sur les équipements à l’abonné, qu’ils connecteront à leurs
réseaux, selon l’éditrice du document, Lucimara Desiderá, présidente du
Latin American and Caribbean Anti-Abuse Working Group (LAC-AAWG), et
analyste de sécurité, chez CERT.br (l’équipe d’intervention d’urgence
informatique nationale brésilienne).
« Les équipes de réponse aux incidents de sécurité informatique,
d’Amérique latine ont identifié le manque de sécurité CPE comme étant un
problème grave dans les attaques au cours des dernières années. Ces
nouvelles meilleures pratiques permettront aux FSI de négocier plus
facilement avec les fournisseurs CPE pour faire en sorte que
l’équipement qu’ils connectent à leur réseau réponde aux exigences de
sécurité minimales, ce qui permettra de réduire globalement le nombre et
l’intensité des attaques sur l’Internet et, par conséquent, l’impact
négatif qu’elles exercent sur les opérations des FSI », a déclaré
Mme Desiderá.
Les lignes directrices couvrent la documentation et les coordonnées des
fournisseurs, la sécurité logicielle, les mises à jour à distance et la
fonctionnalité de gestion des périphériques, les préférences de
configuration par défaut, et les politiques de soutien, liées aux
interventions de sécurité. Parmi les recommandations :
-
Les mots de passe ne doivent pas être codés en dur dans le
micrologiciel, doivent être modifiables, et les fournisseurs ne
doivent pas utiliser le même mot de passe par défaut pour tous les
périphériques. -
Un mécanisme doit être en place pour assurer des mises à jour de
logiciel, à distance, notamment une méthode permettant de vérifier
l’authenticité d’un fichier de mise à jour téléchargeable. -
L’équipement doit être configuré de manière restrictive et non pas de
manière permissive.
À titre d’exemple de l’étendue du problème, le maliciel Mirai
responsable de plusieurs attaques importantes de sites Web contient un
tableau de plus de 60 noms d’utilisateur et mots de passe courants
réglés par défaut en usine, auquel il se réfère pour se connecter et
infecter des caméras de sécurité à domicile, des routeurs familiaux et
d’autres périphériques IdO. Les nouvelles lignes directrices rendraient
le nouveau tableau de connexion inopérant, d’après Severin Walker,
président du conseil d’administration de M3AAWG.
M. Walker a déclaré, « La collaboration de M3AAWG
avec LACNOG et son Groupe de travail LAC sur ce document était une
priorité, en partie en raison de notre travail en cours avec des groupes
d’opérateurs de réseau et de réponse aux incidents régionaux, dans le
but de répondre aux menaces mondiales auxquelles font face les
communications sécurisées. Elle était également importante, dans la
mesure où nous devons continuer de faire évoluer la focalisation de nos
membres, sur la sécurité de l’IdO, des périphériques mobiles et autres
périphériques grand public afin d’éviter les attaques de plus en plus
importantes qui proviennent d’eux. »
Le document sur les meilleures pratiques a été développé par LACNOG
et M3AAWG,
et lancé lors du congrès LACNIC 31 en République dominicaine le 8 mai.
Il est basé sur l’expertise des groupes de travail de LACNOG LAC-AAWG
et le Groupe
de travail BCOP, en coopération les membres de M3AAWG,
ses conseillers techniques seniors, et le Comité technique de M3AAWG.
À propos de LACNOG
LACNOG (www.lacnog.net),
le Latin American and Caribbean Network Operators Group, est structuré
autour d’un conseil d’administration, d’un comité chargé des programmes,
et de groupes de travail. Il fournit un environnement permettant aux
opérateurs de réseau et aux parties intéressées d’échanger leurs
expériences et leurs connaissances par le biais de listes de diffusion,
de groupes de travail, et de réunions annuelles. LACNOG promeut
également des groupes d’opérateurs de réseaux locaux
(Network Operators Groups, NOG), et des forums d’appairage, le
développement et l’adoption de meilleures pratiques, ainsi que des
activités et des tutoriels de formation technique.
À propos du Messaging, Malware and Mobile Anti-Abuse Working Group
(M3AAWG)
Le Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG)
est le lieu où l’industrie se réunit pour lutter contre les bots,
maliciels, pourriels, virus, attaques de déni de service, et autres
exploitations en ligne. Les membres de M3AAWG (www.m3aawg.org)
représentent plus de deux milliards de boîtes à lettres provenant de
certains des plus grands opérateurs de réseau au monde. Il met à profit
la profondeur et l’expérience de ses adhérents mondiaux pour lutter
contre les abus sur les réseaux existants et sur les nouveaux services
émergents par le biais de la technologie, de la collaboration, et de la
politique publique. Il œuvre également pour former les décideurs
politiques à l’échelle mondiale sur les problèmes techniques et
opérationnels liés aux abus et à la messagerie en ligne. M3AAWG,
dont le siège est situé à San Francisco, en Californie, est axé sur les
besoins du marché et soutenu par d’importants opérateurs de réseau et
fournisseurs de messagerie.
Conseil d’administration et promoteurs de M3AAWG : 1
& 1 Internet SE ; Adobe Systems Inc. ; AT&T Comcast ;
Endurance International Group ; Facebook ; Google, Inc. ; LinkedIn ;
Mailchimp ; Marketo, Inc. ; Microsoft Corp. ; Orange ; Proofpoint ;
Rackspace ; Return Path, Inc. ; SendGrid, Inc. ; Vade Secure ;
Valimail ; VeriSign, Inc. ; et Verizon Media (Yahoo & AOL).
Membres à part entière de M3AAWG : Agora,
Inc. ; Broadband Security, Inc. ; Campaign Monitor ; Cisco Systems,
Inc. ; CloudFlare, Inc. ; dotmailer ; eDataSource Inc. ;
ExactTarget, Inc. ; IBM ; iContact ; Internet Initiative Japan (IIJ) ;
Liberty Global ; Listrak ; Litmus ; McAfee ; Mimecast ; Oracle Marketing
Cloud ; OVH ; Spamhaus ; Splio ; Symantec ; USAA ; et Wish.
Une liste complète des membres est disponible sur http://www.m3aawg.org/about/roster.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière
être considéré comme officiel. La seule version du communiqué qui fasse
foi est celle du communiqué dans sa langue d’origine. La traduction
devra toujours être confrontée au texte source, qui fera jurisprudence.
Consultez la version source sur businesswire.com : https://www.businesswire.com/news/home/20190602005015/fr/