Internet : un énorme danger qui ne repose sur aucune faille
Débranchez vos câbles Ethernet, désactivez votre Wi-Fi
Depuis des années, de nombreuses sociétés commercialisent des solutions de sécurité pour compenser les dangers inhérents à l’utilisation d’Internet aujourd’hui. Antivirus certes, mais également pare-feu, anti-spyware, filtre contre les spams. Des protections qui sont le plus souvent très efficaces, mais également en bout de...
Depuis des années, de nombreuses sociétés commercialisent des solutions de sécurité pour compenser les dangers inhérents à l’utilisation d’Internet aujourd’hui. Antivirus certes, mais également pare-feu, anti-spyware, filtre contre les spams. Des protections qui sont le plus souvent très efficaces, mais également en bout de chaine. Le véritable problème se trouve entre les extrémités, et l’exemple du spam est révélateur : si vous ne recevez pas de spam grâce à votre filtre, cela ne signifie pas pour autant qu’Internet en est débarrassé. Bien au contraire.
Il n'y a rien à corriger
Et c’est l’essence même de cette histoire de sécurité : on peut investir des centaines d’euros dans des solutions performantes de sécurité, mais si l’un des principaux protocoles utilisés pour l’acheminement des données sur Internet permet de dévier un flux d’informations, tous vos outils ne vous serviront à rien. Et c’est bien ce que permettrait le BGP (Border Gateway Protocol), selon deux hommes qui en ont fait la démonstration récemment.
« Il ne s’agit pas d’une faille ou de la défaille d’un logiciel », prévient Anton Kapela, directeur réseau et centre de données chez 5Nines Data. Avec Alex Pilosov, PDG de Pilosoft, ils ont démontré lors de la dernière DefCon que le BGP pouvait être utilisé pour détourner le trafic de sa destination vers une nouvelle choisie arbitrairement. La démonstration a été réalisée en direct, en détournant le trafic de la conférence pour le renvoyer vers une machine installée à New York, avant de le faire revenir à Las Vegas.
Un changement dans les fondations à prévoir ?
Le BGP est en fait utilisé pour déterminer le meilleur chemin pour aller d’un point à un autre à travers les routeurs des fournisseurs d’accès principalement. Le problème avec ce protocole c’est qu’une fois le chemin trouvé, les routeurs font intrinsèquement confiance à ce qu’indique le protocole. Or, c’est justement cette confiance qui est la faille, sans en être une réellement.
À chaque fois qu’un utilisateur a besoin de quelque chose, comme la consultation d’un site web, le serveur DNS traduit l’adresse de ce site en une adresse IP. Chez le fournisseur d’accès de l’utilisateur, un routeur consulte une table BGP pour déterminer quel est le plus court chemin jusqu’à la destination. Les tables sont constituées à partir de déclarations d’autres fournisseurs d’accès qui indiquent les plages d’adresses IP vers lesquelles ils pourront envoyer des données.
Les deux attaquants ont publié une plage d’adresses IP considérées comme « plus proches » par les routeurs. La publication de ces données est très rapide et n’a besoin que de quelques minutes pour faire le tour de la planète. De fait, toutes les demandes adressées à ces adresses ont été réorientées vers une nouvelle cible. Ensuite, le flux peut être renvoyé vers sa destination initiale.
En silence messieurs
La technique est parfaitement silencieuse, contrairement à toutes les redirections d’adresses IP qui avaient été utilisées jusqu’à présent. Car c’est justement parce que les précédentes techniques faisaient du « bruit » qu’elles ont été détectées, car elles devaient systématiquement « casser » quelque chose à un moment donné : « Si rien n’est cassé, qui le remarquera ? », s’interroge Anton Kapella.
Les deux hommes ont expliqué que les fournisseurs d’accès peuvent en théorie arriver à différencier un trafic normal d’un dévié. Le plus gros souci sera que le travail demandé sera énorme et donc très coûteux. Une autre solution serait de se tourner vers le SBGP pour Secure BGP, qui demande alors aux routeurs concernés de signer par une clé numérique toutes les publications d’adresses IP qu’ils propagent. Une solution idéale, certes, mais qui demande que les routeurs disposent d’une mémoire et d’une puissance supérieures à ce que possèdent nombre d’entre eux.
Le Conseil National de Sécurité américain ainsi que des instances officielles telles que la NSA (National Security Agency) ont été informés de la situation dans ses moindres détails. En attendant, il va falloir patienter, et les deux hommes espèrent simplement que pour l’instant personne ne trouvera la technique. Un vœu pieux ?
Depuis des années, de nombreuses sociétés commercialisent des solutions de sécurité pour compenser les dangers inhérents à l’utilisation d’Internet aujourd’hui. Antivirus certes, mais également pare-feu, anti-spyware, filtre contre les spams. Des protections qui sont le plus souvent très efficaces, mais également en bout de chaine. Le véritable problème se trouve entre les extrémités, et l’exemple du spam est révélateur : si vous ne recevez pas de spam grâce à votre filtre, cela ne signifie pas pour autant qu’Internet en est débarrassé. Bien au contraire.Il n'y a rien à corriger
Et c’est l’essence même de cette histoire de sécurité : on peut investir des centaines d’euros dans des solutions performantes de sécurité, mais si l’un des principaux protocoles utilisés pour l’acheminement des données sur Internet permet de dévier un flux d’informations, tous vos outils ne vous serviront à rien. Et c’est bien ce que permettrait le BGP (Border Gateway Protocol), selon deux hommes qui en ont fait la démonstration récemment.
« Il ne s’agit pas d’une faille ou de la défaille d’un logiciel », prévient Anton Kapela, directeur réseau et centre de données chez 5Nines Data. Avec Alex Pilosov, PDG de Pilosoft, ils ont démontré lors de la dernière DefCon que le BGP pouvait être utilisé pour détourner le trafic de sa destination vers une nouvelle choisie arbitrairement. La démonstration a été réalisée en direct, en détournant le trafic de la conférence pour le renvoyer vers une machine installée à New York, avant de le faire revenir à Las Vegas.
Un changement dans les fondations à prévoir ?
Le BGP est en fait utilisé pour déterminer le meilleur chemin pour aller d’un point à un autre à travers les routeurs des fournisseurs d’accès principalement. Le problème avec ce protocole c’est qu’une fois le chemin trouvé, les routeurs font intrinsèquement confiance à ce qu’indique le protocole. Or, c’est justement cette confiance qui est la faille, sans en être une réellement.
À chaque fois qu’un utilisateur a besoin de quelque chose, comme la consultation d’un site web, le serveur DNS traduit l’adresse de ce site en une adresse IP. Chez le fournisseur d’accès de l’utilisateur, un routeur consulte une table BGP pour déterminer quel est le plus court chemin jusqu’à la destination. Les tables sont constituées à partir de déclarations d’autres fournisseurs d’accès qui indiquent les plages d’adresses IP vers lesquelles ils pourront envoyer des données.
Les deux attaquants ont publié une plage d’adresses IP considérées comme « plus proches » par les routeurs. La publication de ces données est très rapide et n’a besoin que de quelques minutes pour faire le tour de la planète. De fait, toutes les demandes adressées à ces adresses ont été réorientées vers une nouvelle cible. Ensuite, le flux peut être renvoyé vers sa destination initiale.
En silence messieurs
La technique est parfaitement silencieuse, contrairement à toutes les redirections d’adresses IP qui avaient été utilisées jusqu’à présent. Car c’est justement parce que les précédentes techniques faisaient du « bruit » qu’elles ont été détectées, car elles devaient systématiquement « casser » quelque chose à un moment donné : « Si rien n’est cassé, qui le remarquera ? », s’interroge Anton Kapella.
Les deux hommes ont expliqué que les fournisseurs d’accès peuvent en théorie arriver à différencier un trafic normal d’un dévié. Le plus gros souci sera que le travail demandé sera énorme et donc très coûteux. Une autre solution serait de se tourner vers le SBGP pour Secure BGP, qui demande alors aux routeurs concernés de signer par une clé numérique toutes les publications d’adresses IP qu’ils propagent. Une solution idéale, certes, mais qui demande que les routeurs disposent d’une mémoire et d’une puissance supérieures à ce que possèdent nombre d’entre eux.
Le Conseil National de Sécurité américain ainsi que des instances officielles telles que la NSA (National Security Agency) ont été informés de la situation dans ses moindres détails. En attendant, il va falloir patienter, et les deux hommes espèrent simplement que pour l’instant personne ne trouvera la technique. Un vœu pieux ?
Source :
Wired
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 28 août 2008 à 10:38
(47 640
lectures)
Soutenez l'indépendance de PC INpact en devenant Premium
- Tout le contenu de PC INpact sans pub
- Et bien plus encore...
Il y a 114 commentaires
INpactien
"It's a huge issue. It's at least as big an issue as the DNS issue, if not bigger," said Peiter "Mudge" Zatko, noted computer security expert and former member of the L0pht hacking group, who testified to Congress in 1998 that he could bring down the internet in 30 minutes using a similar BGP attack, and disclosed privately to government agents how BGP could also be exploited to eavesdrop. "I went around screaming my head about this about ten or twelve years ago.... We described this to intelligence agencies and to the National Security Council, in detail."
en gros traduction -> "problème énorme.... "raconte Peiter "Mudge" Zakto anciens membre d'un groupe de hacking qui devant le congres (Américain) en 1998 qu'il pouvait faire tomber internet en 30min avec un type d'attaque similaire par BGP et en avait parler discrètement avec des agents du gouvernement que la technique pouvait aussi être utiliser pour écouter les connexion.
"ça fait 10 ou 12 ans que je gueule la dessus, on a décrit le problème aux agences de securite (contre espionnage toussa) dans les details"
Edité par Alexor85 le jeudi 28 août 2008 à 12:42
INpactien
CaptainDangeax
Le jeudi 28 août 2008 à 12:49:30
#62
Inscrit
le mercredi 7 juin 06
-
2910
commentaires
C'est pas nouveau. Il n'est pas rare pour nous français, quand on contacte un site anglais, qu'on voyage par les états-unis. Un traceroute suffit pour s'en convaindre, et un xtraceroute (pour ceux qui ont la chance d'être sous Linux) dessine même une petite planète avec les emplacements des routeurs.
INpactien
en gros traduction -> "problème énorme.... "raconte Peiter "Mudge" Zakto anciens membre d'un groupe de hacking qui devant le congres (Américain) en 1998 qu'il pouvait faire tomber internet en 30min avec un type d'attaque similaire par BGP et en avait parler discrètement avec des agents du gouvernement que la technique pouvait aussi être utiliser pour écouter les connexion.
"ça fait 10 ou 12 ans que je gueule la dessus, on a décrit le problème aux agences de securite (contre espionnage toussa) dans les details"
Bah, ils ont dû l'écouter, non ?
INpactien
Sur France Info ils n'ont pas arrêté de dire que c'était une faille. Bien qu'un conseiller en TIC leur ai bien dit qu'il s'agissait du fonctionnement même d'Internet, et que ce n'est en rien une faille, seulement les créateurs ont encore une fois oublié le facteur humain... 
Donc merci pour cette clarté
Edité par l0gin_ le jeudi 28 août 2008 à 12:50
Donc merci pour cette clarté
Edité par l0gin_ le jeudi 28 août 2008 à 12:50
INpactien
C'est dingue ça. Encore un qui veut faire parler de lui !
Régulièrement un cabinet, un mec ressort un truc vieux de 10 ou 20 ans. C'est cool, ça lui fait de la promo.
A vos moteurs de recherche ! Recherchez une faille, une erreur de conception que tout le monde a oubliée et hop !
db
Régulièrement un cabinet, un mec ressort un truc vieux de 10 ou 20 ans. C'est cool, ça lui fait de la promo.
A vos moteurs de recherche ! Recherchez une faille, une erreur de conception que tout le monde a oubliée et hop !
db
INpactien
JulienCFH
Le jeudi 28 août 2008 à 12:58:13
#66
Inscrit
le mercredi 22 novembre 06
-
856
commentaires
oui c'est vrai que réussi à rerouter sans que personne ne s'en apercoive tout un flux, c'est découvrir le web hein 
d'ailleurs je le fais tous les matins pour faire chier les voisins
et c'est aussi pour ca que la NSA s'y intéresse d'ailleurs, parce que c'est de la merde...
d'ailleurs je le fais tous les matins pour faire chier les voisins
et c'est aussi pour ca que la NSA s'y intéresse d'ailleurs, parce que c'est de la merde...
Laisse-le donc faire son blasé, tu vas perdre ton temps avec un guignol pareil.
INpactien
Un truc m'a choqué dans l'article... sans préciser de nom ou de marque, il est quand même dit à propos des suites de sécurité en bout de chaine:
"Des protections qui sont le plus souvent très efficaces"
Sic... je ne pensais pas trouver cela sur PCInpact. Mais bon si un jour un garagiste vous propose un frein qui dans des reviews complaisants vous indique une efficacité de 99/100 vous allez avoir confiance en prenant le volant ? Avec le 100me freinage qui ne marchera pas ? Je n'appelle pas cela "efficace".
"Des protections qui sont le plus souvent très efficaces"
Sic... je ne pensais pas trouver cela sur PCInpact. Mais bon si un jour un garagiste vous propose un frein qui dans des reviews complaisants vous indique une efficacité de 99/100 vous allez avoir confiance en prenant le volant ? Avec le 100me freinage qui ne marchera pas ? Je n'appelle pas cela "efficace".
INpactien
Sam LAYBRIZ
Le jeudi 28 août 2008 à 13:16:28
#68
Inscrit
le dimanche 7 décembre 03
-
8710
commentaires
J'ai pensé exactement la même chose!!
Chérie fait tes valises on part!!!
Euh on va ou????
Hum....DTC ?
Edité par Sam LAYBRIZ le jeudi 28 août 2008 à 13:17
INpactien
Génial, cette article ça donne encore une excuse pour matter des site porno en douce.
...
Edité par exmachina le jeudi 28 août 2008 à 13:26
- ah tu etait là cherie , ben j'ai voulu consulter le solde de notre compte et y'a eu un détournement BGP (routeur pirate tout ça...), et je me suis retrouvé sur un site bizarre avec des femmes nues et des animaux, elle ont d'ailleurs une façon fort curieuse de faire du cheval c dingue ce que peuvent faire les hackers de nos jour , mais que fais la police tu as l'air faché ? tu veux un thé ?, un café ? un massage ?
, ben j'ai voulu consulter le solde de notre compte et y'a eu un détournement BGP (routeur pirate tout ça...), et je me suis retrouvé sur un site bizarre avec des femmes nues et des animaux, elle ont d'ailleurs une façon fort curieuse de faire du cheval c dingue ce que peuvent faire les hackers de nos jour , mais que fais la police tu as l'air faché ? tu veux un thé ?, un café ? un massage ? ...
Edité par exmachina le jeudi 28 août 2008 à 13:26
INpactien
Génial, cette article ça donne encore une excuse pour matter des site porno en douce.
...
...
Ah parce que vous croyez que madame acceptera une excuse meme si c'est vrai ?
Naifs que vous etes ^^
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Libération annonce l'arrivée de son nouveau site
(12)
Le paywall dans la foulée -
Facebook dévoilera sa nouvelle « grande idée » le 20 juin
(23)
On espère que ce sera mieux que Home -
SVOD : Jook Video pour 3 € pendant 3 mois sur Vente Privée
(9)
De la VoD illimitée pour pas cher... -
Tout est vrai (ou presque) : la vie de Kim Dotcom en trois minutes
(15)
Impossible de faire moins
Comment profiter du nouveau Google Maps sans invitation
Les chats gouvernent Internet, cela passe donc par les cookies
434ème édition des LIDD : Liens Idiots Du Dimanche
Java, Batman, Hobbit et GoT au menu, et aussi un ours
-
99,90 € pour un disque dur Toshiba de 3 To en S-ATA 6 Gb/s
Valable jusqu'au 20 juin -
Une GeForce GTX 680 avec le jeu Metro Last Light pour 299,90 €
Valable jusqu'au 21 juin -
Un iPad 2 blanc de 16 Go pour 349 €
Valable jusqu'au 23 juin -
DVD, Blu-ray et série TV : 45 € de réduction à partir de 90 € d'achat
Valable jusqu'au 14 juillet
