14h15 emday 2014 - antiphishing et nouveautés signal spam 2014
DESCRIPTION
Antiphishing et nouveautés Signal Spam 2014 Présenté par Thomas Fontvieille - Signal SpamTRANSCRIPT
![Page 1: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/1.jpg)
EMDay20 mai 2014
![Page 2: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/2.jpg)
Introduction
Application Signal Spam à date
• Application Signal Spam à date• Stats et chiffres d’activité
Procédure de signalement des abus sur noms de domaines (Benjamin)
• Solving Procing• Abuse reporting process• Analysing Reports
Intervenants : Benjamin Billon (Splio), Thomas Fontvielle (Secrétaire Général)
![Page 3: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/3.jpg)
Application Signal Spam à date et projets en cours
![Page 4: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/4.jpg)
Stats et chiffresCourbe mensuelle des signalements depuis janvier 2012
![Page 5: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/5.jpg)
Stats et chiffresPerception du spam par les internautes français
![Page 6: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/6.jpg)
Stats et chiffresLe baromètre Signal Spam T1 2014
![Page 7: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/7.jpg)
Services et développementFonctionnement de l’application à date
Signalement par formulaire web
Signalement par plugins messagerie
Statistiques de plaintes FAI par IP
Spamtrap Orange
Rapports DMARC
Signalement de noms de domaines usurpés
Application Signal SpamEnrichissement / Qualification / Redistribution
FBL Routeurs
FBL FAI + Statistiques IP Plaintes
Rapport CNIL
Rapport TOP 10 plaintes webmail pour FAI
Flux botnet vers ACDC et Gendarmerie
Flux phishing vers ACDC
Flux phishing par mots clef Paypal
Flux ARF par paysCanada / Pays-Bas / Nouvelle-Zélande / Luxembourg /
SuisseEn étude pour US
En étude pour Japon
Flux URLLexsi
EBAY/PaypalReturnPath
Flux ARF sur N°AS & Mot clés pour le réseau Interpol
![Page 8: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/8.jpg)
Services et développementFBL & Flux Signal Spam
Nombre de boucles de rétroaction : 31• Membres de Signal Spam : 21• Membres du SNCD : 10
Accès au flux Stats IP FAI (déclaration de conformité validée): 25
Top 30 CNIL et alertes sur les sociétés dont les campagnesgénèrent le plus de plaintes
TOP 30 des « domainfrom »
Exploitation des données issues de spamtraps
![Page 9: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/9.jpg)
Nouveautés Signal SpamLogos et stickers
Nouveaux logos « mascottes » Signal Spam utilisables par toute la communauté des utilisateurs Signal Spam
Logo « FBL » pour mettre en valeur l’usage des boucles de rétroaction Signal Spam
Des logos distincts pour les différents membres de l’association
![Page 10: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/10.jpg)
Procédure de signalements des noms de domaine ursurpés
![Page 11: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/11.jpg)
Services et développementAutres chantiers techniques
Identification des sociétés émettrices pour le Top 30 CNIL (Splunk)
Identification par campagnes de spam (afin de pouvoir agir sur une campagne et non plus seulement un émetteur)
Advanced Cyber Defense Center Feeds & Support Center (alimentation de la Centralized Clearing House européenne et participation au projet d’établissement d’un « support center » national)
![Page 12: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/12.jpg)
Procédure de signalements des abus sur noms de domaines
Constat :
Efficacité des protections basées sur la réputation, mais danger croissant pour lesmarques de voir leurs noms de domaines usurpés pour émettre des campagnes despam/phishing/scam.
Objectifs de la procédure :
Assurer la meilleure transmission possible de l’information auprès de l’ensemble de lacommunauté en capacité de remédier à l’attaque en cours. Mieux protéger l’internaute. Proposer des outils et des recommandations aux sociétés victimes.
Fonctionnement :
Procédure pour les membres de Signal Spam. Alerte soumise à un comité de validation. Information de confiance poussée vers les partenaires.
![Page 13: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/13.jpg)
Procédure de signalements des abus sur noms de domainesGestion actuelle d’un abus sur nom de domaine
La protection des noms de domaines bute actuellement sur deux écueils:• Les noms de domaines
dérivés approximatifs• La non-implémentation
de DMARC
![Page 14: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/14.jpg)
Procédure de signalements des abus sur noms de domainesProcessus de notification de l’incident
Un membre de Signal Spam peut déposer un rapport d’incident poussé sans délai vers les blacklists, les antispam, et les organismes de réputation
![Page 15: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/15.jpg)
Procédure de signalements des abus sur noms de domainesAnalyse du signalement par un comité de validation
![Page 16: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/16.jpg)
Procédure de signalements des abus sur noms de domainesProchaines étapes : passages à la phase opérationnelle
Travaux techniques• Relecture du cahier des charges techniques pour le projet• Conception des tables mysql• Création du formulaire de signalement sur le forum• Premières VM et BDD
Partenariats• Distribution du cahier des charges auprès des partenaires intéressés• SURBL, Spamhaus, Return Path, Vade Retro, Cloudmark• Confirmer le modèle csv + rsync avec VadeRetro• Tests sur échantillons de scam et phishing (quels URI/domaines en tirer?)• PoC
Établissement d’un comité de validation des signalements • Membres de Signal Spam exclusivement• Entre 5 et 10 personnes• Alertes par e-mail / SMS
Communication autour du projet• Schéma simplifié grand public• Communication relayée par les membres de Signal Spam• Présentations événements (EMDay, MAAWG)
![Page 18: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/18.jpg)
Projet de migration de l’application
![Page 19: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/19.jpg)
Web01
Acc01
Internet
App01 Splk01 Piv01Dev01
BdD01
VLAN Privé
ip1 ip2ip3
ip4
ip5
CMS Drupal
ApplicationsSignal Spam
Splunk/Analyse
EnvironnementPre-prod et Dev Machine de
rebond Admin
Bases de données
Admin
Adressage Internet IPV4 et IPV6
Site web www.signal-spam.fr
Flux entrants
Flux sortants
VMVMVMVMVM
VM
VM
Services et développementProjet de migration : Infra Gandi
L’application actuelle doit supporter des flux de plus en plus nombreux et volumineux. Il est impératif de repenser notre infrastructure.
![Page 20: 14h15 EMDay 2014 - Antiphishing et nouveautés Signal Spam 2014](https://reader034.vdocuments.mx/reader034/viewer/2022052623/559a6abb1a28abcc348b4827/html5/thumbnails/20.jpg)
janvier septembre
février mars avril mai juin juillet août
Étude faisabilité/choix techno
et budgétaire
GO
Consolidation choix
avec Gandi
Mise en place infra&
l’ensemble des applications
Expression besoin
mise en place site
Conception plan
de migrationMigration données et services
FaitEn cours
Services et développementPlanning de migration