Internet : un énorme danger qui ne repose sur aucune faille
Débranchez vos câbles Ethernet, désactivez votre Wi-Fi
Depuis des années, de nombreuses sociétés commercialisent des solutions de sécurité pour compenser les dangers inhérents à l’utilisation d’Internet aujourd’hui. Antivirus certes, mais également pare-feu, anti-spyware, filtre contre les spams. Des protections qui sont le plus souvent très efficaces, mais également en bout de...
Depuis des années, de nombreuses sociétés commercialisent des solutions de sécurité pour compenser les dangers inhérents à l’utilisation d’Internet aujourd’hui. Antivirus certes, mais également pare-feu, anti-spyware, filtre contre les spams. Des protections qui sont le plus souvent très efficaces, mais également en bout de chaine. Le véritable problème se trouve entre les extrémités, et l’exemple du spam est révélateur : si vous ne recevez pas de spam grâce à votre filtre, cela ne signifie pas pour autant qu’Internet en est débarrassé. Bien au contraire.
Il n'y a rien à corriger
Et c’est l’essence même de cette histoire de sécurité : on peut investir des centaines d’euros dans des solutions performantes de sécurité, mais si l’un des principaux protocoles utilisés pour l’acheminement des données sur Internet permet de dévier un flux d’informations, tous vos outils ne vous serviront à rien. Et c’est bien ce que permettrait le BGP (Border Gateway Protocol), selon deux hommes qui en ont fait la démonstration récemment.
« Il ne s’agit pas d’une faille ou de la défaille d’un logiciel », prévient Anton Kapela, directeur réseau et centre de données chez 5Nines Data. Avec Alex Pilosov, PDG de Pilosoft, ils ont démontré lors de la dernière DefCon que le BGP pouvait être utilisé pour détourner le trafic de sa destination vers une nouvelle choisie arbitrairement. La démonstration a été réalisée en direct, en détournant le trafic de la conférence pour le renvoyer vers une machine installée à New York, avant de le faire revenir à Las Vegas.
Un changement dans les fondations à prévoir ?
Le BGP est en fait utilisé pour déterminer le meilleur chemin pour aller d’un point à un autre à travers les routeurs des fournisseurs d’accès principalement. Le problème avec ce protocole c’est qu’une fois le chemin trouvé, les routeurs font intrinsèquement confiance à ce qu’indique le protocole. Or, c’est justement cette confiance qui est la faille, sans en être une réellement.
À chaque fois qu’un utilisateur a besoin de quelque chose, comme la consultation d’un site web, le serveur DNS traduit l’adresse de ce site en une adresse IP. Chez le fournisseur d’accès de l’utilisateur, un routeur consulte une table BGP pour déterminer quel est le plus court chemin jusqu’à la destination. Les tables sont constituées à partir de déclarations d’autres fournisseurs d’accès qui indiquent les plages d’adresses IP vers lesquelles ils pourront envoyer des données.
Les deux attaquants ont publié une plage d’adresses IP considérées comme « plus proches » par les routeurs. La publication de ces données est très rapide et n’a besoin que de quelques minutes pour faire le tour de la planète. De fait, toutes les demandes adressées à ces adresses ont été réorientées vers une nouvelle cible. Ensuite, le flux peut être renvoyé vers sa destination initiale.
En silence messieurs
La technique est parfaitement silencieuse, contrairement à toutes les redirections d’adresses IP qui avaient été utilisées jusqu’à présent. Car c’est justement parce que les précédentes techniques faisaient du « bruit » qu’elles ont été détectées, car elles devaient systématiquement « casser » quelque chose à un moment donné : « Si rien n’est cassé, qui le remarquera ? », s’interroge Anton Kapella.
Les deux hommes ont expliqué que les fournisseurs d’accès peuvent en théorie arriver à différencier un trafic normal d’un dévié. Le plus gros souci sera que le travail demandé sera énorme et donc très coûteux. Une autre solution serait de se tourner vers le SBGP pour Secure BGP, qui demande alors aux routeurs concernés de signer par une clé numérique toutes les publications d’adresses IP qu’ils propagent. Une solution idéale, certes, mais qui demande que les routeurs disposent d’une mémoire et d’une puissance supérieures à ce que possèdent nombre d’entre eux.
Le Conseil National de Sécurité américain ainsi que des instances officielles telles que la NSA (National Security Agency) ont été informés de la situation dans ses moindres détails. En attendant, il va falloir patienter, et les deux hommes espèrent simplement que pour l’instant personne ne trouvera la technique. Un vœu pieux ?
Depuis des années, de nombreuses sociétés commercialisent des solutions de sécurité pour compenser les dangers inhérents à l’utilisation d’Internet aujourd’hui. Antivirus certes, mais également pare-feu, anti-spyware, filtre contre les spams. Des protections qui sont le plus souvent très efficaces, mais également en bout de chaine. Le véritable problème se trouve entre les extrémités, et l’exemple du spam est révélateur : si vous ne recevez pas de spam grâce à votre filtre, cela ne signifie pas pour autant qu’Internet en est débarrassé. Bien au contraire.Il n'y a rien à corriger
Et c’est l’essence même de cette histoire de sécurité : on peut investir des centaines d’euros dans des solutions performantes de sécurité, mais si l’un des principaux protocoles utilisés pour l’acheminement des données sur Internet permet de dévier un flux d’informations, tous vos outils ne vous serviront à rien. Et c’est bien ce que permettrait le BGP (Border Gateway Protocol), selon deux hommes qui en ont fait la démonstration récemment.
« Il ne s’agit pas d’une faille ou de la défaille d’un logiciel », prévient Anton Kapela, directeur réseau et centre de données chez 5Nines Data. Avec Alex Pilosov, PDG de Pilosoft, ils ont démontré lors de la dernière DefCon que le BGP pouvait être utilisé pour détourner le trafic de sa destination vers une nouvelle choisie arbitrairement. La démonstration a été réalisée en direct, en détournant le trafic de la conférence pour le renvoyer vers une machine installée à New York, avant de le faire revenir à Las Vegas.
Un changement dans les fondations à prévoir ?
Le BGP est en fait utilisé pour déterminer le meilleur chemin pour aller d’un point à un autre à travers les routeurs des fournisseurs d’accès principalement. Le problème avec ce protocole c’est qu’une fois le chemin trouvé, les routeurs font intrinsèquement confiance à ce qu’indique le protocole. Or, c’est justement cette confiance qui est la faille, sans en être une réellement.
À chaque fois qu’un utilisateur a besoin de quelque chose, comme la consultation d’un site web, le serveur DNS traduit l’adresse de ce site en une adresse IP. Chez le fournisseur d’accès de l’utilisateur, un routeur consulte une table BGP pour déterminer quel est le plus court chemin jusqu’à la destination. Les tables sont constituées à partir de déclarations d’autres fournisseurs d’accès qui indiquent les plages d’adresses IP vers lesquelles ils pourront envoyer des données.
Les deux attaquants ont publié une plage d’adresses IP considérées comme « plus proches » par les routeurs. La publication de ces données est très rapide et n’a besoin que de quelques minutes pour faire le tour de la planète. De fait, toutes les demandes adressées à ces adresses ont été réorientées vers une nouvelle cible. Ensuite, le flux peut être renvoyé vers sa destination initiale.
En silence messieurs
La technique est parfaitement silencieuse, contrairement à toutes les redirections d’adresses IP qui avaient été utilisées jusqu’à présent. Car c’est justement parce que les précédentes techniques faisaient du « bruit » qu’elles ont été détectées, car elles devaient systématiquement « casser » quelque chose à un moment donné : « Si rien n’est cassé, qui le remarquera ? », s’interroge Anton Kapella.
Les deux hommes ont expliqué que les fournisseurs d’accès peuvent en théorie arriver à différencier un trafic normal d’un dévié. Le plus gros souci sera que le travail demandé sera énorme et donc très coûteux. Une autre solution serait de se tourner vers le SBGP pour Secure BGP, qui demande alors aux routeurs concernés de signer par une clé numérique toutes les publications d’adresses IP qu’ils propagent. Une solution idéale, certes, mais qui demande que les routeurs disposent d’une mémoire et d’une puissance supérieures à ce que possèdent nombre d’entre eux.
Le Conseil National de Sécurité américain ainsi que des instances officielles telles que la NSA (National Security Agency) ont été informés de la situation dans ses moindres détails. En attendant, il va falloir patienter, et les deux hommes espèrent simplement que pour l’instant personne ne trouvera la technique. Un vœu pieux ?
Source :
Wired
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 28 août 2008 à 10:38
(47 640
lectures)
Soutenez l'indépendance de PC INpact en devenant Premium
- Tout le contenu de PC INpact sans pub
- Et bien plus encore...
Il y a 114 commentaires
INpactien
redirect pr0n > localhost 
INpactien
Y a un truc qui m'échappe...
Si on détourne tous le trafic destiné à cet IP, celui qui émet vers cet IP le remarquera tout de suite: en effet le trafic détourné n'ira jamais vers l'IP cible.
Et si le pirate retransmet vers l'IP cible ce qu'il a intercepté, ça ne servira à rien: son routeur étant toujours considéré comme le chemin le plus cours pour les autre routeurs, il récupérera son propre trafic.
Donc à part pour du phishing, ça sert à rien.
Ou alors il faut que le pirate soit directement branché à l'IP à surveiller, ce qui est un poil idiot.
Si on détourne tous le trafic destiné à cet IP, celui qui émet vers cet IP le remarquera tout de suite: en effet le trafic détourné n'ira jamais vers l'IP cible.
Et si le pirate retransmet vers l'IP cible ce qu'il a intercepté, ça ne servira à rien: son routeur étant toujours considéré comme le chemin le plus cours pour les autre routeurs, il récupérera son propre trafic.
Donc à part pour du phishing, ça sert à rien.
Ou alors il faut que le pirate soit directement branché à l'IP à surveiller, ce qui est un poil idiot.
Ca me parait pas complique de comprendre que ca peut aisement etre utilise a des fins d'espionnage.
Et il doit y avoir un paquet d'autres utilisations ...
INpactien
C'est quoi la phrase de circonstance déjà ?
"It's not a bug, it's a feature" ?
"It's not a bug, it's a feature" ?
INpactien
INpactien
Ca me parait pas complique de comprendre que ca peut aisement etre utilise a des fins d'espionnage.
Pas terrible comme espionnage... Imagine que tu passe un coup de fil: pour t'espionner avec cette technique, l'espion coupe ta communication. A part "allo? allo? tu m'entends", ce qui est d'un intérêt remarquable, il va pas entendre grand chose...
Edité par Sparv le jeudi 28 août 2008 à 10:50
INpactienne
Y a un truc qui m'échappe...
Si on détourne tous le trafic destiné à cet IP, celui qui émet vers cet IP le remarquera tout de suite: en effet le trafic détourné n'ira jamais vers l'IP cible.
Et si le pirate retransmet vers l'IP cible ce qu'il a intercepté, ça ne servira à rien: son routeur étant toujours considéré comme le chemin le plus cours pour les autre routeurs, il récupérera son propre trafic.
Donc à part pour du phishing, ça sert à rien.
Ou alors il faut que le pirate soit directement branché à l'IP à surveiller, ce qui est un poil idiot.
EDIT: 2 autre possibilité: traduction foireuse ou il manque des infos.
Si on détourne tous le trafic destiné à cet IP, celui qui émet vers cet IP le remarquera tout de suite: en effet le trafic détourné n'ira jamais vers l'IP cible.
Et si le pirate retransmet vers l'IP cible ce qu'il a intercepté, ça ne servira à rien: son routeur étant toujours considéré comme le chemin le plus cours pour les autre routeurs, il récupérera son propre trafic.
Donc à part pour du phishing, ça sert à rien.
Ou alors il faut que le pirate soit directement branché à l'IP à surveiller, ce qui est un poil idiot.
EDIT: 2 autre possibilité: traduction foireuse ou il manque des infos.
Je pense que le principe est de dérouter le flux vers un serveur espion et de le rerouter ensuite vers la vraie destination...
Attaque "Man in the Middle"...
Edité par mopt le jeudi 28 août 2008 à 10:50
INpactien
Mais quelle est l'utilité d'une telle attaque?
Détourner des données envoyées sur un site de banque par exemple?
Mais si les données sont crypté y peuvent quand même y avoir accès??
Détourner des données envoyées sur un site de banque par exemple?
Mais si les données sont crypté y peuvent quand même y avoir accès??
INpactien
Pour ceux que ca interesse :http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html
Visiblement, le fonctionnement de l'attaque est connu : Pilosov's innovation is to forward the intercepted data silently to the actual destination, so that no outage occurs.
Ordinarily, this shouldn't work -- the data would boomerang back to the eavesdropper. But Pilosov and Kapela use a method called AS path prepending that causes a select number of BGP routers to reject their deceptive advertisement. They then use these ASes to forward the stolen data to its rightful recipients.
Visiblement, le fonctionnement de l'attaque est connu : Pilosov's innovation is to forward the intercepted data silently to the actual destination, so that no outage occurs.
Ordinarily, this shouldn't work -- the data would boomerang back to the eavesdropper. But Pilosov and Kapela use a method called AS path prepending that causes a select number of BGP routers to reject their deceptive advertisement. They then use these ASes to forward the stolen data to its rightful recipients.
Equipe
Je pense que le principe est de dérouter le flux vers un serveur espion et de le rerouter ensuite vers la vraie destination...
Attaque "Man in the Middle"...
C'est exactement, je vais le rajouter, mais l'exemple de ce qu'ils ont fait à la DefCon me paraissait assez clair.
INpactien
"chiffrer" pas "crypter" 
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Libération annonce l'arrivée de son nouveau site
(10)
Le paywall dans la foulée -
Facebook dévoilera sa nouvelle « grande idée » le 20 juin
(23)
On espère que ce sera mieux que Home -
SVOD : Jook Video pour 3 € pendant 3 mois sur Vente Privée
(9)
De la VoD illimitée pour pas cher... -
Tout est vrai (ou presque) : la vie de Kim Dotcom en trois minutes
(15)
Impossible de faire moins
Comment profiter du nouveau Google Maps sans invitation
Les chats gouvernent Internet, cela passe donc par les cookies
434ème édition des LIDD : Liens Idiots Du Dimanche
Java, Batman, Hobbit et GoT au menu, et aussi un ours
-
99,90 € pour un disque dur Toshiba de 3 To en S-ATA 6 Gb/s
Valable jusqu'au 20 juin -
Une GeForce GTX 680 avec le jeu Metro Last Light pour 299,90 €
Valable jusqu'au 21 juin -
Un iPad 2 blanc de 16 Go pour 349 €
Valable jusqu'au 23 juin -
DVD, Blu-ray et série TV : 45 € de réduction à partir de 90 € d'achat
Valable jusqu'au 14 juillet
