Index des SCIENCES -> INFORMATIQUE 
   
 
Internet : au Bord de l'Explosion

Internet : au Bord de l'Explosion

Vu le succès du net, on pourrait croire que tout va bien sur le réseau. Erreur ! Car faute d'avoir été conçue pour croître tout azimuts, son architecture révèle des failles de plus en plus béantes ! À le clé : une aubaine pour les hackers et une hypothèse sur les applications futures. Retour sur la fin d'un âge d'or.

L'année 2008 aura été traumatisante pour l'Internet. Et l'avenir ne s'annoce guère plus brillant...Traumatisante ? Le terme n'est pas trop fort pour qualifier les failles béantes révélées ces derniers mois dans la sécurité dans des protocoles fondamentaux du réseau des réseaux. Cet été, deux de ces vulnérabilités faisaient la une des journaux. Et pour cause : c'est comme si l'on apprenait que le dispositif de contrôle des horaires et des aiguillages du TGV pouvait être à tout moment piratés. Alors même que la cybercriminalité atteint des sommets...
Mardi 8 juillet 2008, la plupart des propriétaires d'une connexion Internet dans le monde recevaient sur leur poste une urgente mise à jour. Une première à cette échelle, qui mobilisa tous les géants de l'informatique, de Microsoft à Cisco en passant par Apple. La raison ? La découverte faite six mois plus tôt par un jeune chercheur en sécurité de la société IO Active : par hasard, Dan Kaminsky trouva le moyen de tromper le fonctionnement du Domain Name System (DNS). Le DNS, c'est-à-dire le mécanisme opérant la correspondance entre le nom d'un site tel qu'un utilisateur le tape (par exemple www.science-et-vie.com) et sa véritable adresse informatique, trop difficile à mémoriser (sur le modèle de 87.106.130...) !

UN JUMEAU MALVEILLANT

Le but de la tromperie ? Répondre à la légitime requête de l'internaute... par une fausse adresse numérique. En clair, l'internaute voulant se connecter à S&V se fera aiguiller silencieusement vers un faux site appartenant à un hacker. Site affichant la même adresse, voire un aspect en tout point identique à celui du vrai site de S&V ! Appliquée à d'autres sites plus sensibles, l'imposture promet vol de codes confidentiels, de coordonnées bancaires, d'identité... Bref, de remplacer ni plus ni moins le Web par un jumeau malveillant, sans que quiconque le soupçonne ! Certes, la vulnérabilité du DNS, reposant sur le manque d'authentification de ses réponses, était connue. Mais la méthode Kaminsky - réalisable en seulement dix minutes - en facilite considérablement la pratique et élargit son impact.

FAILLE DNS, les données sont volées : La démonstration d'attaque, cet été, sur l'annuaire d'Internet a montré qu'il est possible de créer un Web semblable à l'actuel, mais façonné pour nous escroquer. Pensé en 1983, soit huit ans avant la naissance du Web et la déferlante d'usagers - et de hackers -, le DNS s'avère très peu sécurisé.
FAILLE BGP, le trafic est espionné : Le 16 août dernier, deux chercheurs démontraient un piratage exploitant une faille des aiguilleurs du net : il st possible pour des hackers d'intercepter des données, puis de les réémettre, eventuellement modifiées, à l'insu du destinataire...
CONTREFAÇON : Parce qu'Internet permet à chacun d'envoyer, à tout moment, n'importe quoi à n'importe qui, des hackers peuvent asphyxier des serveurs sous l'afflux de requêtes. Ou se livrer à la contrefaçon, qui consiste à orienter les internautes vers un site contrefait (c'est le "hameçonnage").

UNE DEUXIÈME BRÈCHE S'OUVRE...

"Il faut savoir que le DNS n'est pas seulement le chef d'orchestre du Web : c'est tout le fonctionnement d'lntemet qui est ici menacé", s'alarme Stanislas de Maupeou, chef du Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (CEKTA), à Paris. Des services mails aux systèmes de mises à jour automatiques de logiciels, en passant par le protocole crypté SSL garant de la sécurité de l'envoi des numéros de carte bancaire... Vertigineux ! Le correctif envoyé dès le 8 juillet aux internautes est censé restreindre les possibilités d'attaque. Mais ce n'est qu'un palliatif temporaire, qui engage depuis une course folle entre industriels et hackers. Et s'il n'y avait que le DNS ! Car au même moment s'ouvrait une autre brèche impliquant, là encore, un protocole crucial du Net : le Border Gateway ProtoCol (BGP). Grâce à lui, les routeurs des fournisseurs de service (FN) s'échangent des conseils sur le meilleur chemin à suivre pour acheminer un flux de données vers sa destination. Le plus gros défaut de BGP est de notoriété publique : par conception, il ne v érifie pas la véracité des informations qu'il transporte et n'authentifie personne. Ce qui n'est pas sans poser problème. Exemple, le dimanche 24 février 2008, lorsque Pakistan Telecom voulut censurer l'accès de ses clients au site de partage de vidéo YouTube : alors qu'il suffisait à Pakistan Telecom d'annoncer via son routeur qu'il était le plus court chemin pour arriver à l'adresse du site blasphématoire, même si c'était faux, un étourdi d'ingénieur fit la chose pour... tout Internet ! Une commande que le BGP enregistra sans sourciller... Résultat : Pakistan Telecom aspira tout le trafic mondial qui était destiné à YouTube ! Ennuyeux, mais pas dramatique, car la faute, évidente, fut réparée en deux heures. Seulement voilà : mi-août, deux habiles techniciens, Anton Kapela et Alex Pilosov, ont marqué les esprits en démontrant qu'il est possible d'aspirer un flux de données destiné à un internaute ou à un site... tout en passant inaperçu. L'astuce ? Elle consiste à dérouter au niveau d'un routeur BGP un flux de données pour l'enregistrer, voire le modifier, avant de le rediriger ni vu ni connu vers son destinataire légitime. Un rêve de services secrets, et une menace pour nos cyber-échanges non cryptés.

UNE NAÏVETÉ CONFONDANTE...

Et les failles ne se limitent pas au système des horaires des trains - le DNS - ou à l'aiguillage - le BGP ! Le numéro du train est encore plus facile à modifier. L'IP (Internet Protocol), responsable de l'acheminement des données à la bonne adresse, n'a aucun système d'authentification. Ce qui signifie que la triche sur l'identité de l'expéditeur des données est un jeu d'enfant... À vrai dire, toutes ces failles révèlent une naïveté confondante du réseau. Mais ce n'est guère étonnant. Car il faut se rappeler que le Net est issu du réseau expérimental ARPAnet, lancé en 1969 entre quatre universités américaines et grâce auquelles les chercheurs pouvaient enfin communiquer entre eux avec une rapidité inédite. Or, ARPAnet considérait que ses utilisateurs étaient dignes de confiance. Pas un regard pour la sécurité, donc. Or, depuis ces temps héroïques, le nombre et le profil des utilisateurs ont bien changé... sans que soient corrigées les vulnérabilités natives du réseau. Conséquence : à la portée de tous, la cyber-délinquance se répand désormais avec une facilité désarmante. "Les hypothèses de base du fonctionnement de l'e-mail, fondées sur la confiance aveugle, ne sont plus raisonnables aujourd'hui", reconnaît l'architecte réseaux Olivier Bonaventure de l'université Catholique de Louvain. Sinon, comment expliquer que 80 à 90 % du volume de courriels échangés dans le monde soient... du spam ! La lutte contre ce fléau devrait coûter, en 2008, 140 milliards de dollars aux entreprises, selon l'Institut Ferris Research. Mais là n'est pas le plus ennuyeux. Car si l'on n'entend plus parler de grandes épidémies de virus informatiques (type "I love You", qui toucha 3 millions de PC en 2000) et qui n'avaient d'autre intérêt que d'asseoir la réputation de leurs auteurs, c'est que les pirates sont passés au stade supérieur : leurs programmes visent désormais, non plus forcément à endommager les PC, mais à créer un accès ultra-discret vers un maximum d'entre eux pour récupérer leur puissance et l'exploiter à des fins malhonnêtes. Comment ? D'abord, grâce à un recrutement permanent et massif : l'éditeur russe Eugène Kaspersky, fondateur de l'antivirus éponyme, s'attend pour 2008 à l'injection, au total, de 20 millions de nouveaux codes malicieux (variantes comprises) sur le Net, soit dix fois plus qu'en 2007 ! Une croissance jamais vue.
Preuve de l'efficacité des hackers, un quart des ordinateurs connectés dans le monde aurait déjà été enrôlé dans ces armées de zombies, sans que leur propriétaire ne s'en rende compte - c'est le but - tant la puissance prélevée individuellement est minime. Le dernier spécimen d'un tel kidnapping informatique - "Storm Botner" - aurait réuni, suivant les sources, entre 15 et 50 millions de machines. De quoi former de terrifiants supercalculateurs, mobilisés pour l'envoi de spams, l'escroquerie par hameçonnage (routage vers des numéros surfacturés), le craquage de codes secrets... Surtout, ces concentrés de puissance distribuée sont à l'origine d'un fléau qui se produit actuellement 50.000 fois par jour : le déni de service. L'opération consiste à asphyxier le serveur d'un site, voire un routeur, en le bombardant d'une foultitude de requêtes - apparemment légitimes - émanant de ces millions d'ordinateurs. Assommé, un réseau s'effondre, un site devient inaccessible...

Les cybercriminels peuvent frapper n'importe où : le ver MSblaster aurait contribué au black-out de 2003 en Amérique du Nord. Chez Boeing, on s'est aperçu que le réseau wi-fi donnait accès à des systèmes de navigation du futur 787 Dreamliner ! En mars 2007, aux États-Unis, des chercheurs font la démonstration d'une cyber-attaque sur un générateur électrique.

QUI DIRIGE INTERNET : À dire vrai, personne et tout le monde à la fois ! En effet, aucune autorité globale ne coordonne les 30.000 réseaux qui constituent l'Internet... mais un joyeux bazar d'une centaine d'organisations, d'influence très variable, se mêle des affaires d'Internet. La principale étant l'ICANN : cette société californienne, placée sous la tutelle du département du Commerce américain, gère en effet l'annuaire DNS et l'attribution des adresses IP. Plus étonnant, les nouveautés techniques d'Internet sont définies par un groupe informel ouvert à toute personne intéressée : l'Internet Engineering Task Force (IETF). Seules restrictions ici, savoir parler anglais et avoir les moyens d'aller assister aux trois réunions annuelles où tout se décide. Les travaux préparatoires se faisant via 130 groupes de discussion sur le Web. Ainsi va le réseau : "Les nouveaux protocoles sont adoptés par "consensus approximatif" de l'assemblée : en fonction du nombre de mains levées dans la salle ou du niveau de bruit !, raconte sans rire Guy Pujolle, chercheur à Paris-VI et membre de l'IETF. Ce système ouvert, souple et prolifique, a contribué à l'expansion d'lnternet. Mais au détriment de la rigueur et, donc, de la sécurité : on ne compte plus les standards truffés de vulnérabilités !"

LA TÉLÉPHONIE, PROCHAINE CIBLE

Et le plus perfide, c'est que ces attaques signent la réussite même de l'architecture d'Internet : "Le déni de service est intrinsèque à la nature ouverte du Net : quand le réseau délivre un million de paquets à la seconde, cela veut tout simplement dire qu'il fait son travail à la perfection", constate Brian Carpenter, l'une des figures de l'Internet, chercheur à l'université d'Auckland. Peu importe que le destinataire souhaite recevoir ces paquets ou non : ici, aucune permission d'envoi n'est requise ! Partant de tels principes architecturaux, les chercheurs ont évidemment toutes les peines à concevoir des mécanismes de protection, sauf à imaginer un réseau surveillé par un administrateur central et, de ce fait, aux connexions ralenties, sur le modèle du... Minitel. Remonter jusqu'au coupable n'est pas plus simple : le hacker se cache derrière l'identité de tous ces ordinateurs "responsables mais pas coupables" ! Ces constats n'ont rien de rassurant. Non seulement pour les sites d'e-commerce ou de paris en ligne régulièrement visés pour en soutirer une substantielle rançon - tant la moindre minute en ligne compte pour ces entreprises. Mais également pour les États, car les serveurs gouvernementaux sont aussi des cibles de choix (voir encadré) ! C'est ainsi qu'au printemps 2007, l'Estonie a été, un mois durant, la proie de telles attaques menées sur tous ses organes informatiques - sites officiels, banques, médias... "Cet exemple prête à réfléchir : on ne devrait pas demander plus aux protocoles d'Internet que ce qu'ils peuvent assumer en termes de sécurité", assène Stanislas de Maupeou.
Or, c'est le mouvement inverse qui se produit ! En témoigne l'ambitieux plan "France Numérique 2012" lancé par le président Sarkozy presque simultanément au piratage de son compte bancaire ! Sur les fondations branlantes d'Internet fleurissent de plus en plus de services offrant toujours plus de prises au piratage. À commencer par la téléphonie (ou VoIP), que tous les experts désignent comme la prochaine cible privilégiée des pirates. Plus grave, "il est inadmissible que le logiciel malveillant Slammer lancé sur Internet en janvier 2003 ait pu pénétrer ensuite les systèmes de la centrale nucléaire américaine de Davis-Besse !", s'insurge le lieutenant-colonel Eric Filiol, directeur du Laboratoire de virologie et cryptologie opérationnelles basé à Laval.

DES ÉTATS CYBER-ATTAQUES PAR D'AUTRES ÉTATS ?
La question se pose depuis que, au printemps 2007, des sites estoniens (gouvernementaux, bancaires, de médias) ont été rendus inaccessibles. C'est que l'Estonie venait de déplacer un monument hommage à l'armée soviétique. L'Estonie a accusé le gouvernement russe, avant d'être plus prudent devant le manque de preuves, remarque Stanislas de Maupeou, du CERTA. Incriminer ainsi un État parait illusoire, tant l'attaquant peut utiliser de machines "innocentes" comme relais..." Même confusion en Géorgie, attaquée cet été. Ces assauts informatiques sont-ils le fait du Kremlin ou de hackers à la fibre nationaliste ? Les Américains soupçonnent, eux, l'armée chinoise d'avoir provoqué, en février dernier, un black-out en Floride ! Autre pays à incriminer les officiels chinois : la France, qui a essuyé en novembre 2007 moult tentatives d'intrusion via des courriels piégés envoyés à des diplomates. Une seule chose est sûre : chacun fourbit ses cyber-armes ! Y compris la France, qui considère depuis cette année Internet comme une infrastructure vitale, et encourage le développement de capacités offensives.

LE RÉSEAU DÉDIÉ EST TROP CHER

Ce code malicieux, capable de se propager de façon autonome sur un réseau, neutralisa pendant cinq heures le panneau d'affichage de sûreté de ce réacteur... heureusement à l'arrêt. Un milieu pourtant réputé isolé d'Internet. En cause ici ? Les services de télémaintenance... opérant à distance via Internet.
De fait, passer par le réseau est bien moins coûteux que de mettre en place un réseau dédié et des protocoles spécifiques et sécurisés. Résultat, nombre d'infrastructures critiques utilisent les protocoles standard d'Internet. Ce qui ouvre d'affolantes perspectives pour les cybercriminels : systèmes de distribution d'eau, d'électricité, de gaz, signalisation ferroviaire, raffinerie et autres usines chimiques, ligne de production d'usine automobile... Pour l'anecdote, "il est apparu que le réseau wi-fi du futur Boeing 787 Dreamliner assurait un accès à des systèmes de navigation de l'appareil", s'étonne Eugène Kaspersky. N'irait-on pas un peu trop loin dans la paranoïa ? Difficile, en tout cas, de ne pas y céder devant la démonstration apportée en mars 2007 par les laboratoires du Department of Homeland Security (États-Unis) ! Une vidéo montre un générateur du type de ceux utilisés dans les centrales électriques américaines vibrer, fumer, puis caler après une cyber-attaque ! Une vulnérabilité (nom de code "Aurora") qui n'a toujours pas été colmatée par tous les opérateurs. Au passage, on soupçonne le ver MSblaster, en s'infiltrant dans les systèmes de la compagnie d'électricité First Energy, d'avoir contribué au black-out historique qui frappa l'Amérique du Nord (50 millions de personnes touchées) le 14 août 2003. "Et il n'y a a priori aucune raison pour que la France soit à l'abri, les pratiques de nos industriels évoluant aussi vers le tout Internet", remarque Stanislas de Maupeou.

UN MÉLI-MÉLO DE PATCHS

Si le réseau est si "naïf', nos ordinateurs ne pourraient-ils pas mieux se protéger, en aval ? "Des systèmes d'exploitation bien sécurisés, tels que BREW, existent, mais ils offrent de ce fait moins d'options et de souplesse et les gens ne les achètent donc pas !", remarque Eugène Kaspersky, dont l'entreprise engrangerait toutes les 80 heures 100.000 nouveaux clients... Quant à miser sur un logiciel d'antivirus, cela reste illusoire, même si c'est mieux que rien. "Un théorème fondamental, établi en 1986 par le chercheur américain Fred Cohen, montre que le problème général de la détection virale est si difficile qu'un programmeur pourra toujours contourner un anti-virus", rappelle Eric Filiol. Et puis, les éditeurs d'antivirus sont submergés, avec 200 à 250 souches injectées chaque jour sur le réseau et dont les plus coriaces demandent 24 heures d'analyse. Le rythme est infernal, les analystes humains viennent à manquer. Tout ce qui peut être détecté ne peut être forcément soigné. Et l'on n'a sûrement encore rien vu : "Le niveau des attaques détectées jusqu'ici est encore peu élevé, note Eric Filiol. Or, en l'état actuel des connaissances, il est déjà possible de fabriquer des codes malveillants bien plus virulents." D'aucuns préconisent donc de mettre en quarantaine les secteurs contaminés du réseau. Mais c'est oublier l'énorme gêne occasionnée sur les infrastructures critiques et autres "call centers" qui en dépendent ! Tout n'est pas perdu cependant. Car l'ampleur de la "faille Kaminsky" a provoqué le début d'une salutaire prise de conscience. Ainsi, la Maison Blanche vient d'accélérer le passage de ses domaines officiels ".gov" vers un système de DNS mieux sécurisé (DNSsec), authentifiant les demandes par une signature chiffrée. Solution que la France pourrait bientôt adopter. Oui, mais" les solutions cryptographiques comme le DNSsec et autres IPsec ne sont que des rustines au-dessus de rustines, déplore John Day, un des ingénieurs pionniers d'ARP Anet, puis d'Internet. À la fin des années 1970, il avait été pourtant démontré que la sécurité ne pouvait être ajoutée, après coup, sur un système complexe !" De fait, Internet ressemble désormais à un méli-mélo de patchs de sécurité, apposés sans coordination. Quant à leur efficacité : "Lorsque vous colmatez une fuite dans un seau, l'eau trouve toujours un moyen de s'échapper aux bords de la rustine ; c'est ce qui se produit ici, poursuit l'architecte. La seule solution : changer de seau ! Autrement dit, tant que l'on continuera sur cet héritage architectural, cela fera le jeu des hackers. "Dans l'idéal, il faudrait donc revoir toute l'ossature du Net, en repartant d'une page blanche ! Objectif : proposer, dès le départ, une politique globale de sécurité. Ne serait-ce que pour limiter les dégâts... Mais l'argument suffira-t-il à remettre aussi durement en question l'une des plus grandes réussites du XXe siècle ?

V.N. - SCIENCE & VIE > Décembre > 2008
 

   
 C.S. - Maréva Inc. © 2000 
 charlyjo@laposte.net