Commerce électronique au Canada

PremièrePrécédenteSuivante

3. Gérer les réseaux pour contrer le pourriel

Freinons le pourriel : Créer un Internet plus fort et plus sécuritaire
Rapport du Groupe de travail sur le pourriel
Mai 2005

Le défi

Toute mesure visant à protéger la sécurité des communications Internet de menaces comme les pourriels, les virus et les logiciels espions doit s'appuyer sur autre chose que des démarches gouvernementales. De plus en plus d'intervenants reconnaissent que les FSI et les autres exploitants de réseaux (par exemple les grandes entreprises, les universités et les ministères gouvernementaux) peuvent adopter plusieurs mesures pour rétablir la confiance à l'égard des communications Internet.

Certaines de ces mesures portent sur la mise au point et l'application de la technologie, d'autres sur la mise en œuvre de pratiques exemplaires et de Politiques d'utilisation acceptable interdisant le pourriel au sein du secteur industriel. Elles sont fondées sur un objectif commun : veiller à ce que le courriel reste un outil valable pour les communications d'affaires et personnelles légitimes.

De par sa conception et son architecture, Internet est un « réseau de réseaux » ouvert qui permet la libre circulation de l'information. L'élaboration et la mise en œuvre de nouvelles normes techniques pour améliorer la sécurité et éliminer les abus se poursuivront pendant de nombreuses années.

Certaines pratiques connues de gestion des réseaux peuvent cependant favoriser le pourriel et d'autres formes d'abus du réseau. Par exemple, en laissant les serveurs ouverts pour relayer ou envoyer des messages, on permet que des systèmes informatiques soient la proie de ceux qui les transforment en serveurs mandataires pour le pollupostage. Plusieurs organismes ont entrepris d'avertir les entreprises et les gestionnaires de réseaux de l'importance d'assurer la sécurité des systèmes et des réseaux, mais l'adoption des pratiques proposées reste inégale.

Bien que le problème du pourriel, à l'instar d'Internet, soit un phénomène mondial, des démarches en matière de gestion des réseaux adoptées au Canada peuvent contribuer à le résoudre. Les propriétaires et les gestionnaires de réseaux doivent envisager et adopter des pratiques de gestion qui mettront un frein au pourriel et aux menaces connexes.

Les intervenants du secteur industriel canadien peuvent se mettre d'accord sur des pratiques de base d'exploitation des réseaux qui mettront un frein au pourriel et faire preuve de leadership en exigeant l'adoption de ces pratiques par les installations et réseaux établis au Canada.

Activités du Groupe de travail

La création du Groupe de travail sur le pourriel représente le tout premier effort de collaboration entre un vaste éventail d'organisations, y compris la plupart des plus grands et plus petits FSI à large bande et par réseau commuté, d'autres exploitants de réseaux, les grandes entreprises qui utilisent Internet, les concepteurs de logiciels, les groupes de lutte contre le pourriel et le gouvernement. L'accord des intervenants, en matière de collaboration à l'élaboration et à la mise en œuvre de solutions au problème du pourriel à l'échelle de tout le secteur industriel, représente un énorme accomplissement. Cependant, ce n'est que le début d'un engagement à long terme à l'égard de l'adoption des mesures nécessaires pour mettre fin au pourriel.

Encadré 3 — Pratiques exemplaires recommandées pour les FSI et autres exploitants de réseaux

  • Tous les registraires et hôtes canadiens de noms de domaine devraient publier des renseignements sur Sender Policy Framework dans les fichiers de leur zone respective de serveur de nom de domaine le plus tôt possible.
  • Les FSI et autres exploitants de réseaux devraient limiter, par défaut, l'utilisation du port 25 par les utilisateurs finaux. Au besoin, la capacité d'envoyer ou de recevoir du courriel au moyen du port 25 devrait être limitée aux ordinateurs hôtes du réseau du fournisseur. L'utilisation du port 25 par les utilisateurs finaux devrait être permise au besoin ou être conforme à l'entente entre le fournisseur et l'utilisateur final et aux modalités de service.
  • Les FSI et autres exploitants de réseaux devraient bloquer les pièces jointes aux courriels dont les extensions sont connues pour transporter des virus ou filtrer les pièces jointes en fonction des propriétés du contenu.
  • Les FSI et autres exploitants de réseaux devraient surveiller étroitement le volume de courriels entrants et sortants afin de repérer les activités inhabituelles dans le réseau et leur source, et prendre des mesures en conséquence.
  • Les FSI et autres exploitants de réseaux devraient établir et maintenir de façon continue des processus efficaces et rapides pour la gestion et l'élimination des éléments de réseau infectés constituant une source de pourriel.
  • Les FSI et autres exploitants de réseaux devraient établir des processus interentreprises pertinents afin de réagir aux rapports d'incidents des autres exploitants de réseaux.
  • Les FSI et autres exploitants de réseaux ainsi que les fournisseurs de service de courrier électronique devraient communiquer leurs politiques et procédures en matière de sécurité à leurs abonnés.
  • Les FSI et autres exploitants de réseaux devraient adopter la validation du courriel sur tous leurs serveurs Simple Mail Transfer Protocol (SMTP) (c'est-à-dire entrée, sortie, relais).
  • Les avis de non-remise (NDN) ne devraient être envoyés que dans les cas de courriels légitimes.
  • Les FSI et autres exploitants de réseaux devraient veiller à ce que tous les noms de domaine, les fichiers de systèmes de noms de domaine (DNS) et les fichiers d'enregistrement d'adresse IP applicables (WHOIS/SWIP/RWHOIS) soient maintenus à jour à l'aide de renseignements corrects, complets et courants. Ces renseignements devraient comprendre les points de contact responsables de résoudre les questions d'abus et inclure, sans toutefois s'y limiter, les adresses postales, les numéros de téléphone et les adresses de courriel.
  • Les FSI et autres exploitants de réseaux devraient veiller à ce que leurs adresses routables publiques et visibles sur Internet aient des fichiers DNS avant et inversés appropriés et mis à jour ainsi que des entrées WHOIS et SWIP. Tous les exploitants de réseau local d'entreprise (RLE) devraient se conformer au document Request for Comments (RFC) 1918 — « Address Allocation for Private Internets ». Les RLE, plus particulièrement, ne devraient pas utiliser l'espace IP enregistré globalement à quelqu'un d'autre ou l'espace IP non enregistré à quelqu'un, à titre d'espace IP privé.
  • Les FSI et autres exploitants de réseaux devraient interdire l'envoi de courriels renfermant des en-têtes frauduleux ou contrefaits. L'en-tête de message devrait être exact et conforme aux documents RFC pertinents, notamment le RFC 822 et le RFC 2822, et les domaines de référence et les adresses IP devraient comporter des données d'enregistrement exactes et à jour.

Pratiques exemplaires recommandées pour les fournisseurs de service Internet et autres exploitants de réseaux

Le Groupe de travail a élaboré une série de pratiques exemplaires techniques recommandées pour aider à réduire le pourriel au Canada. L'encadré 3 ci-dessus présente les points saillants de ce document. L'adoption de ces pratiques servira en même temps à s'attaquer aux problèmes de sécurité associés au pourriel, puisque celui-ci est souvent le véhicule d'activités plus nuisibles. Les pratiques représentent une continuation des efforts et des progrès accomplis dans ce secteur depuis quelque temps au Canada et à l'échelle internationale. Le Groupe de travail a cependant amplifié ces travaux en établissant le premier consensus vraiment national sur des mesures techniques recommandées pour combattre le pourriel. Ces pratiques exemplaires dotent le Canada d'un modèle qu'il pourra partager à l'échelle internationale dans la lutte mondiale contre le pourriel. Il faudra, toutefois, actualiser continuellement ces pratiques afin qu'elles reflètent l'évolution constante des tendances et des techniques relatives au pourriel.

Le texte complet des pratiques exemplaires recommandées par le Groupe de travail se trouve à l'appendice B.

Mesurer la mise en œuvre et les répercussions

Un grand nombre de FSI canadiens, y compris plusieurs joueurs importants et autres exploitants de réseaux, ont commencé à mettre en œuvre la totalité ou une partie des pratiques techniques recommandées, notamment le blocage du port 25 et la mise à niveau de leurs techniques de filtrage.

L'expérience des autres pays a démontré que les FSI, particulièrement les leaders du marché, peuvent favoriser l'adoption de pratiques exemplaires techniques et commerciales anti-pourriel au sein du secteur industriel. En fait, certains FSI canadiens ont déjà mis en œuvre les pratiques exemplaires recommandées, et leur esprit d'initiative a encouragé d'autres FSI à faire de même.

Tout cela semble prometteur, mais il faudra surveiller systématiquement la mise en œuvre des pratiques exemplaires recommandées, afin d'en évaluer les répercussions et de repérer les nouveaux problèmes qui pourraient exiger des amendements ou des ajouts aux dispositions des pratiques exemplaires. À défaut de cela, le secteur industriel, les décideurs gouvernementaux et les autres intervenants auront de la difficulté à déterminer le niveau d'adoption des pratiques recommandées ou à évaluer leur contribution à la lutte anti-pourriel.

Le secteur industriel ayant fait valoir qu'il peut s'autoréglementer, le Groupe de travail encourage les principaux FSI et exploitants de réseaux à continuer à faire preuve de leadership par la mise en œuvre des pratiques exemplaires recommandées et à encourager les autres à suivre leur exemple.

Le Groupe de travail invite également les principaux joueurs et les associations concernées du secteur industriel à s'associer à l'organisme de coordination décrit au chapitre 7, pour élaborer un système efficace de mesure et de rapport public des répercussions des pratiques exemplaires recommandées.

Base de données canadienne sur les pourriels (« congélateur à pourriels »)

Le Groupe de travail a examiné la possibilité d'établir, dans le cadre d'un partenariat des secteurs public et privé, une base de données canadienne sur les pourriels ou « congélateur à pourriels », dont la conception serait semblable à la base de données « réfrigérateur à pourriels » que maintient et gère la Federal Trade Commission (FTC) des États-Unis.

La base de données canadienne servirait d'archivage des copies de pourriels arrivés dans les boîtes aux lettres électroniques. Un organisme canadien chargé de coordonner la lutte anti-pourriel inventorierait ces pourriels et les conserverait pour une période de temps donnée.

Ainsi, les organismes d'application de la loi du Canada et, éventuellement, des autres pays, les FSI, les autres exploitants de réseaux et les divers paliers de gouvernement auraient accès à des données à des fins d'analyse statistique et de collecte de preuves pour l'application des lois anti-pourriel.

Pourriel acheminé sur les appareils sans fil

Contrairement à Internet qui a été conçu comme un réseau ouvert et public, les technologies mobiles ont été originellement déployées sur des réseaux privés et fermés.

Cependant, vu la convergence des technologies et l'interaction accrue entre Internet et les technologies mobiles, certains problèmes qui, à l'origine, affectaient uniquement Internet, commencent à toucher les réseaux mobiles. Ces problèmes sont associés à la récupération du courriel (y compris du pourriel) au moyen d'appareils mobiles. Ils découlent également de la réception de nouvelles formes de pourriel émanant des réseaux sans fil et transmis par messagerie texte, messagerie multimédia et messagerie instantanée aux combinés sans fil. Applications réussies de la technologie mobile, ces services de messagerie ouvrent la voie à des services innovateurs, mais fournissent de nouvelles possibilités aux polluposteurs.

Le pourriel dit « mobile » ou « sans fil » peut poser des problèmes plus graves que le pourriel envoyé aux ordinateurs de bureau car il suit le client, et ce dernier paie parfois des frais pour chaque message reçu. Très gênant pour les abonnés des services mobiles, le pourriel sans fil pourrait devenir beaucoup plus dérangeant que le pourriel envoyé à un ordinateur personnel.

Le Groupe de travail a consulté le secteur des communications sans fil canadien pour discuter du problème et envisager des mesures aptes à empêcher le pourriel de devenir un problème majeur pour les réseaux sans fil. Lors de ces entretiens, il a appris que les exploitants des réseaux sans fil considèrent le pourriel émanant des réseaux sans fil comme une menace grave. Pour protéger ses clients, le secteur des communications sans fil est d'ailleurs en train de mettre en place des mesures techniques et il envisage également des recours juridiques et réglementaires qui pourraient contribuer à prévenir le pourriel mobile.

Le Groupe de travail et les représentants du secteur des communications sans fil ont convenu que toute mesure anti-pourriel adoptée par le gouvernement fédéral et autres parties concernées, suite aux travaux et aux recommandations du Groupe de travail, devrait être neutre quant aux techniques utilisées et visées, et s'appliquer au secteur des communications sans fil au moyen de mécanismes appropriés.

Partage des renseignements techniques entre les fournisseurs de services Internet et les autres exploitants de réseaux

Le secteur industriel a accompli beaucoup de travail pour endiguer le pourriel et ses efforts ont mené à des améliorations notoires, mais il reste encore beaucoup à faire sur le plan de la collaboration.

Un meilleur partage des renseignements entre les FSI et les autres exploitants de réseaux représente un facteur clé de succès. La lutte anti-pourriel repose sur une démarche concertée à l'égard des problèmes, axée notamment sur une communication rapide et efficace des questions et problèmes d'intérêt commun et sur l'établissement de procédures intersociétés appropriées pour répondre aux rapports d'incidents.

Recommandations

Les FSI et autres exploitants de réseaux sont aux premières lignes de la lutte anti-pourriel. Point de contact entre les expéditeurs et les destinataires du pourriel, ils sont dans une position unique pour combattre le pourriel.

En conséquence, nos recommandations sont les suivantes :

Recommandation 8 :

Les FSI et autres exploitants de réseaux devraient mettre en œuvre les pratiques exemplaires recommandées par le Groupe de travail sur le pourriel.

Recommandation 9 :

Les FSI et autres exploitants de réseaux, en coopération avec l'organisme de coordination établi par le ministre de l'Industrie (mentionné à la recommandation 5), devraient mesurer de façon continue l'ampleur du problème du pourriel au Canada et évaluer les répercussions des pratiques recommandées. Ils devraient continuer à cerner les questions qui pourraient mériter davantage d'examen et mener à la formulation de recommandations additionnelles.

Recommandation 10 :

Afin de faciliter de façon continue la surveillance des tendances du pourriel et l'élaboration de mesures et de techniques anti-pourriel, le gouvernement devrait jouer un rôle de leadership en créant une base de données canadienne sur les pourriels (« congélateur à pourriels »).

Recommandation 11 :

Les FSI et autres exploitants de réseaux devraient adopter et appliquer des Politiques d'utilisation acceptable interdisant clairement le pollupostage sur leurs réseaux.

PremièrePrécédenteSuivante