Hackfest Communication Blog

Nouvelles et opinions de la communauté de sécurité informatique

Blocage des botnets: pas de consensus chez les FAI

24 March 2021

crtc

La période pour déposer ses observations sur le projet de blocage des botnets par le CRTC (Conseil de la radiodiffusion et des télécommunications canadiennes) est terminée. À la lecture des interventions, on voit que les fournisseurs d’accès à Internet (FAI) ne voient pas tous la situation du même œil. Certains vont même jusqu’à mettre en doute la légitimité du CRTC à mettre en place un tel programme.

Blocage obligatoire, transparence non requise

Dans un document signé par M. Dennis Béland, Vice-Président, Affaires réglementaires, chez Vidéotron, on peut lire qu’« il est possible pour le Conseil d’encadrer le blocage à l’échelle des réseaux en se basant sur un [sic] série de règles simples et uniformes. »

Vidéotron préconise une approche de blocage de domaine. Avec cette approche, une entité qui reste à définir devra maintenir une liste de noms de domaines malicieux à bloquer. Selon M. Béland, cette méthode est à préconiser « car elle est déjà déployée dans notre réseau, ce qui permettra le déploiement du cadre à moindre coût et une mise en œuvre rapide. Cette technique concilie efficacité et facilité de déploiement et n’entraînera pas de coûts supplémentaires pour les abonnés des services Internet. »

La filiale de Québecor Média propose un blocage universel, sans option de retrait. Il n’est pas souhaitable pour elle qu’un tel système soit optionnel. Vidéotron considère que n’étant pas optionnel, « des mesures de transparence ne sont pas requises. »

FAI contre le blocage

Le principal compétiteur de Vidéotron au Québec prend une position aux antipodes. Dans son document, Bell Canada conteste la légitimité du CRTC de mettre en place un tel programme. Elle considère qu’un cadre centralisé imposé par le Conseil est « en opposition avec l’approche coopérative et collaborative adoptée par le gouvernement »([^1]:Traduit de l’anglais par l’auteur) en matière de cybersécurité. Bell fait référence aux parties prenantes identifiées dans la Stratégie Nationale de Cybersécurité, publiée en 2010, et semble se faire un malin plaisir de souligner que le CRTC n’y figure pas.

Bell ne voit pas d’un bon œil la supervision d’un programme de blocage par une entité indépendante. « Le délai entre la détection d’un botnet malicieux et l’application de solutions de mitigations peut parfois être très court ». La nécessité d’aviser et d’obtenir l’approbation d’une entité externe nuirait à sa capacité de répondre efficacement aux menaces.

Bell se prononce contre la possibilité d’un système de retrait du programme de blocage, mais pour des raisons très différentes de Vidéotron. Actuellement, le blocage d’un domaine considéré dangereux se fait sans connaître l’identité de la personne qui le demande. Instaurer un choix pour le client ou la cliente implique donc la collecte de données personnelles supplémentaires que ce qui est requis actuellement.

Telus, dans son rapport au CRTC considère que le blocage des botnets ne fait rien pour régler le problème à la racine. Il s’agit d’une solution réactive qui est appliquée une fois que des appareils ont été infectés. La compagnie considère que le gouvernement devrait mettre plus d’effort à établir et appliquer des normes de sécurité pour les manufacturiers d’appareils connectés à Internet. « Adopter une approche proactive aura un impact plus significatif sur la réduction des attaques de botnets que la proposition d’un blocage à l’échelle du réseau ».

Cogeco se positionne clairement en faveur de la neutralité du réseau. La compagnie basée à Montréal s’inquiète que l’imposition gouvernementale de règles de blocage supplémentaires pourrait éroder la neutralité du réseau et a le potentiel de diminuer la protection de la vie privée.

Du côté des indépendants

Xplornet fait part de ses réserves sur le projet du CRTC. Pour la compagnie spécialisée en couverture des régions rurales, le blocage ne sera pas efficace, car il ne fait que s’attaquer au problème une fois que le mal est fait. Elle préconise donc une approche de prévention pour protéger la population. Elle s’inquiète qu’un tel cadre donnerait un faux sentiment de sécurité.

Teksaavy, l’un des principaux FAI indépendants au pays, s’oppose également au projet. La compagnie, qui est présente au Québec depuis 2020, considère que le blocage à l’échelle du réseau contrevient aux principes de base d’un Internet libre et ouvert. Elle considère qu’un tel cadre portera atteinte à la neutralité du réseau sans réellement augmenter la sécurité de l’Internet.

Plusieurs autres intervenants ont également déposé des avis. Le CRTC a maintenant la tâche d’analyser ces interventions. La tâche ne sera pas facile car le blocage ne fait nullement l’unanimité chez les fournisseurs d’accès à Internet qui seront responsables d’appliquer cette mesure si le Conseil décide de l’adopter.

crédit photo: Martin Abegglen - licence CC