Lorsqu'un nouveau virus ou ver se déclare, il est marginalement acceptable que de nombreux utilisateurs et administrateurs système soient pris au dépourvu. Même les personnes assidues en matière de sécurité peuvent uniquement mettre à jour leur code malveillant qui commence à se propager et lorsque les éditeurs d’antivirus publient la mise à jour pour la détecter.
Mais est-il acceptable pour les utilisateurs ou les administrateurs système de continuer à être pris "par surprise" par cette même menace un an plus tard? Deux ans? Est-il acceptable qu'une bonne partie de la bande passante sur Internet et sur votre fournisseur d'accès Internet soit mâchée par un trafic de virus et de vers facilement évitable?
Laissons de côté pour le moment que les plus récents virus et vers majeurs se sont appuyés sur des vulnérabilités pour lesquelles des correctifs étaient disponibles des mois auparavant et que, si les utilisateurs corrigeaient les problèmes en temps voulu, le virus ne constituerait pas une menace. Oubliant ce fait, il semble toujours raisonnable qu’une fois la nouvelle menace détectée et les éditeurs d’antivirus et de systèmes d’exploitation publiés des correctifs et des mises à jour afin de corriger les vulnérabilités et de détecter et bloquer la menace, tous les utilisateurs doivent appliquer les mises à jour nécessaires pour se protéger et protéger les utilisateurs. nous qui partageons la communauté Internet avec eux.
Si un utilisateur, par ignorance ou par choix, n'applique pas les correctifs et les mises à jour nécessaires et continue à propager l'infection, la communauté a-t-elle le droit de répondre? Beaucoup le considèrent comme moralement et éthiquement faux. C'est du simple vigilantisme. Ceux qui se trouvent de ce côté-ci de la clôture diraient que prendre les choses en main pour exercer des représailles ou répondre automatiquement à la menace ne fait pas de vous une meilleure personne que la menace initiale d'un point de vue juridique.
Récemment, le ver W32 / Fizzer @ MM se répandait rapidement sur Internet. L'une des facettes du ver consistait à se connecter à un canal IRC spécifique pour rechercher des mises à jour du code du ver. Ce canal IRC a été arrêté afin que le ver ne puisse pas se mettre à jour. Certains opérateurs IRC ont pris sur eux d'écrire du code qui désactiverait automatiquement le ver et l'hébergerait depuis ce canal IRC. Ainsi, tout ordinateur infecté qui tenterait de se connecter pour mettre à jour le code du ver verrait automatiquement le ver désactivé. Le code a par la suite été supprimé jusqu'à ce qu'un complément d'enquête puisse être mené sur les aspects juridiques d'une telle stratégie.
Cela devrait-il être légal? Pourquoi pas? Dans ce cas particulier, il semble y avoir peu ou pas de chance d'affecter une machine non infectée. Ils n'ont pas exercé de représailles en diffusant leur propre anti-ver. Ils ont posté un code de «vaccination» sur un site recherché par le ver. On peut soutenir que seuls les appareils infectés auraient une raison de se connecter au site et auraient donc évidemment besoin du vaccin. Si les propriétaires de ces appareils ne savaient pas ou ne se souciaient pas que leur machine soit infectée, ne devrait-il pas être considéré comme un service que ces opérateurs ont fait pour essayer de les nettoyer?
Les périphériques de détection d’intrusion (IDS) ont tenté à un moment donné de mettre en œuvre une méthode de blocage des attaques appelée «contournement». Si un nombre de paquets non autorisés dépassant certains seuils établis était détecté, le périphérique créerait automatiquement une règle pour bloquer les futurs paquets de cette adresse. Le problème avec une telle technique est que les attaquants pourraient usurper l’adresse source sur les paquets IP. Fondamentalement, en forgeant les en-têtes de paquets pour leur donner l’impression que l’IP source était l’adresse IP du périphérique IDS, elle bloquerait sa propre adresse IP et arrêterait le capteur IDS.
Un problème similaire entre en jeu lorsque nous essayons de réagir aux virus transmis par courrier électronique. La plupart des nouveaux virus ont tendance à usurper l'adresse électronique source. Par conséquent, toute tentative automatisée de réponse à la source pour lui faire savoir qu'elle est infectée serait malavisée.
Selon le Black's Law Dictionary, l'autodéfense est définie comme "ce degré de force qui n'est pas excessif et qui convient pour protéger soi-même ou ses biens. Lorsque cette force est utilisée, une personne est justifiée et n'est pas pénalement responsable, ni responsable délit. »Sur la base de cette définition, il semble qu’une réponse« raisonnable »est justifiée et légale.
Une différence, cependant, est qu’avec les virus et les vers, nous parlons généralement des utilisateurs qui ne savent pas qu’ils sont infectés. Donc, ce n’est pas tellement comme de répliquer avec une force raisonnable à un agresseur qui vous attaque. Un meilleur exemple serait une personne qui stationne sa voiture sur une colline et ne serre pas le frein de stationnement. Quand ils s'éloignent de leur voiture et que celle-ci commence à dévaler la colline en direction de votre maison, avez-vous le droit d'intervenir et de l'arrêter ou de la détourner selon la méthode «raisonnable» que vous pouvez? Seriez-vous poursuivi (e) en justice pour vol avec effraction ou destruction délibérée de biens si vous détourniez la voiture pour qu'elle s'écrase sur autre chose? C'est douteux.
Lorsque nous parlons du fait que Nimda voyage toujours activement sur Internet pour infecter des utilisateurs non protégés, cela affecte toute la communauté. L’utilisateur peut avoir la souveraineté sur son ordinateur, mais il n’a pas ou ne devrait pas avoir la souveraineté sur Internet. Ils peuvent faire ce qu’ils veulent avec leur ordinateur dans leur propre monde, mais une fois qu’ils se connectent à Internet et ont un impact sur la communauté, ils devraient être soumis à certaines attentes et directives pour participer à la communauté.
Ce n’est pas une bonne idée pour les utilisateurs individuels d’agir en représailles, tout comme les citoyens ne devraient pas traquer les criminels.Malheureusement, nous avons des forces de police et d'autres organismes chargés de l'application de la loi responsables de la traque des criminels dans le monde réel, mais nous n'avons pas d'équivalent Internet. Il n’existe aucun groupe ni aucune agence ayant le pouvoir de contrôler Internet et de réprimander ou de sanctionner ceux qui enfreignent les directives de la communauté. Essayer de créer une telle organisation serait décourageant en raison de la nature mondiale d'Internet. Une règle qui s'applique aux États-Unis ne peut pas s'appliquer au Brésil ou à Singapour.
Même en l'absence d'une "force de police" habilitée à appliquer des règles ou des directives sur Internet, devrait-il exister une ou plusieurs organisations habilitées à créer des vaccins anti-vers ou virus qui rechercheraient de manière proactive les ordinateurs infectés et tenteraient de les nettoyer? Ethiquement, envahir un ordinateur avec l’intention de le nettoyer serait-il meilleur que le virus ou le ver qui a envahi l’ordinateur en premier lieu?
Il y a plus de questions que de réponses en ce moment et c'est un peu une pente glissante pour commencer. La contre-attaque semble tomber dans une large zone grise entre la légitime défense et se baisser au niveau du développeur de code malveillant d'origine. La zone grise doit cependant être étudiée et des indications doivent être données sur la manière de gérer les membres de la communauté Internet qui continuent d'être vulnérables aux menaces et / ou qui propagent des menaces pour lesquelles des correctifs sont facilement et librement disponibles.
