Les listes de réputation et de blocage (RBL) représentent un moyen de défense habituel contre les contenus nuisibles et indésirables sur Internet. Ces listes contiennent les adresses de protocole Internet, les noms de domaine ou les adresses universelles complètes de sources de spam connues, de pages d’hameçonnage, de sites malveillants ou d’autres contenus indésirables. Nous utilisons ces sources de données pour établir des indicateurs dans des systèmes tels que le système de signalement des cas d’utilisation malveillante des noms de domaine (DAAR) de l’ICANN, à des fins de recherche. Nous nous en servons également, entre autres, pour créer des modules d’apprentissage utilisés pour entraîner des modèles d’apprentissage automatique. Les organisations peuvent utiliser des RBL pour bloquer l’accès entrant ou sortant à des noms de domaine, filtrer des spams, signaler des cas d’hameçonnage ou autres activités, ce qui permet de protéger les utilisateurs contre des menaces en ligne.
Les fournisseurs de ces listes sont multiples et beaucoup d'entre eux ont des priorités, des méthodes de collecte, des mécanismes de diffusion, etc. différents et spécifiques. C’est pourquoi les fournisseurs de RBL ont des points forts différents. De plus, les données des RBL ayant de nombreux usages, nous constatons que toutes les RBL ne conviennent pas idéalement à tous les utilisateurs. Une récente publication du bureau du directeur de la technologie (OCTO) ainsi que notre nouveau rapport, présenté et publié lors du Sommet technique 2023 du Groupe de travail antihameçonnage, examinent en détail cet aspect.
Pour évaluer si les caractéristiques d'une RBL conviennent à l'utilisation que nous envisageons, nous devons d'abord harmoniser toutes les données et métadonnées entrantes, puis les stocker dans un format unique et cohérent. Ce n’est qu’à ce moment-là que nous pouvons commencer à mesurer et à comparer le volume de données et les types de menaces traitées, à identifier les doublons dans les signalements, etc. Par ailleurs, nous pouvons également commencer à analyser des indicateurs moins tangibles tels que des éventuels faux positifs. Au fil du temps, ce processus d’harmonisation des données nous a permis de créer des ensembles d’indicateurs qui peuvent être utiles pour évaluer les RBL, individuellement et en combinaison les unes avec les autres.
Ainsi, nous constatons qu’il n’existe pas de RBL unique capable de répondre aux besoins de tous les cas d'utilisation. Le regroupement des RBL en une seule source de données s'avère extrêmement utile, car les points forts des unes compensent souvent les faiblesses des autres et vice-versa. En fait, nous avons systématiquement observé que le chevauchement entre les RBL est faible (moins de 5 % dans la plupart des cas). Cela signifie que les avantages associés sont souvent significatifs.
Dans notre nouveau rapport, nous affirmons que comprendre les forces et les faiblesses d'une RBL, ou d'une combinaison de plusieurs RBL, est essentiel pour trouver la bonne réponse à un cas d'utilisation particulier. Afin d’optimiser les avantages des RBL, nous suggérons d’en combiner au moins deux. Cela permet de disposer d'une vue d'ensemble plus complète et contextuelle de ce qui se passe, plutôt que de se fier à une seule RBL. Voici les points principaux de notre contribution dans cette publication :
- Pour l’évaluation des RBL, nous avons proposé une méthodologie systématique, basée sur une approche structurée qui permet d’évaluer leur efficacité et leur pertinence.
- Nous avons procédé à un examen minutieux des caractéristiques des RBL, en examinant des aspects tels que le volume, le double emploi, l'actualité, le renouvellement, la réactivité, la clarté et l'exactitude.
- Nous avons démontré l'application pratique des mesures proposées à l'aide de visualisations, offrant ainsi des orientations concrètes et accessibles aux chercheurs, aux praticiens et aux décideurs intervenant dans le domaine de la cybersécurité.
Pour en savoir plus sur nos méthodes et nos conclusions, veuillez consulter la publication 037 de l’OCTO.
