Une énorme faille Internet permettrait le détournement massif du trafic ?

5
87

D’après des chercheurs en sécurité, l’aiguillage des flux sur la Toile serait faillible. Pour la première fois, des détournements massifs permettant de siphonner des données en toute impunité auraient été observés, mais leur origine reste mystérieuse.

Une énorme faille d’Internet permettrait, à des organisations malveillantes d’aiguiller n’importe quelles données de telle manière à ce qu’elles passent par des routeurs espions, avant qu’elles n’arrivent à destination. Un bref détournement avant qu’elles ne reprennent leur destination initiale.

Cette faille a été décrite en 2008 par les deux chercheurs en sécurité MM. Pilosov et Kapela, mais n’était jusqu’à présent que théorique. De récentes observations tendent à prouver qu’elle est désormais exploitée de manière active… et inquiétante. Dans un article de blog datant de novembre, la société Renesys, spécialisée dans l’analyse réseau, a montré pour la première fois de vrais détournements de trafic, avec à la clé une quantité importante de données apparemment siphonnées. Parmi les victimes: des organisations gouvernementales, des institutions financières, des fournisseurs de services, etc.

Ainsi, en février 2013, des flux de données ont été détournés presque quotidiennement pour passer par l’opérateur biélorusse GobalOneTel avant d’arriver à destination. En mai 2013, la société observe une série de détournements où les données passent systématiquement par un opérateur islandais, alors qu’une telle route ne devrait pas exister dans la pratique.
 
En effet, le routage des données Internet est basé sur le protocole BGP. Son principe est simple : un routeur informe les autres quelles destinations il est capable de desservir rapidement, en diffusant des messages appelés « annonces BGP ». Le problème, c’est que ce système n’est pas du tout sécurisé, mais uniquement basé sur une confiance réciproque. Si quelqu’un falsifie les annonces BGP d’un routeur, les routeurs voisins ne s’en inquiètent pas : les données sont bêtement transférées selon la nouvelle route indiquée.
 
Mais usurper les annonces BGP n’est pas suffisant. Pour réaliser un « bon détournement », il faut également faire en sorte que les données siphonnées arrivent à bon port, pour ne pas éveiller des soupçons côté destinataire. Et ça, c’est beaucoup plus compliqué. « Ce n’est pas à la portée du premier lycéen venu. Il faut une équipe de spécialistes et un certain budget pour pouvoir réaliser cette opération », explique Stéphane Bortzmeyer, ingénieur réseau.
 
«  Pas la peine d’être un génie, mais c’est un travail long et ennuyeux. C’est facile à faire pour un état. C’est également à la portée d’une entreprise si elle dispose des compétences adéquates », ajoute Stéphane Bortzmeyer. Pour une organisation telle que la NSA, ce serait certainement un jeu d’enfant. On sait d’ailleurs, depuis quelques semaines, que le service secret américain dispose d’une carte mondiale de l’Internet, appelée « Treasure Map ».

 
Toutefois, la communauté des ingénieurs réseau reste divisée sur la réelle malveillance des détournements observés par Renesys. Aucune preuve n’a été mise en évidence permettant de dire que les annonces BGP ont été intentionnellement modifiées. Cela pourrait être aussi le résultat d’une erreur configuration, estiment certains, même si la probabilité est faible. Et même si on arrive à démontrer une malveillance, il n’est pas du tout certain que l’on puisse remonter aux auteurs, qui pourraient très bien avoir trouvé un moyen pour trafiquer le routeur BGP d’un fournisseur parfaitement innocent.  
 
Dans ce cas, comment peut-on se prémunir contre ce type d’attaque ? En tant qu’utilisateur d’Internet, le seul moyen actuel est de chiffrer ses échanges de données, par exemple au travers d’un VPN. Même détournées, elles resteraient illisibles. Quant à l’élimination de la faille elle-même, c’est beaucoup plus compliqué. Pour empêcher l’usurpation des annonces BGP, il faudrait introduire un système d’authentification à base de signature électronique. Ce qui suppose une coordination assez poussée entre les différents acteurs de l’Internet. Il n’est pas certain que cela arrive un jour.
 
 
Sources : 01Net, Stéphane Bortzmeyer, Renesys

Les commentaires sont fermés.