Internet : un énorme danger qui ne repose sur aucune faille
Débranchez vos câbles Ethernet, désactivez votre Wi-Fi
Depuis des années, de nombreuses sociétés commercialisent des solutions de sécurité pour compenser les dangers inhérents à l’utilisation d’Internet aujourd’hui. Antivirus certes, mais également pare-feu, anti-spyware, filtre contre les spams. Des protections qui sont le plus souvent très efficaces, mais également en bout de chaine. Le véritable problème se trouve entre les extrémités, et l’exemple du spam est révélateur : si vous ne recevez pas de spam grâce à votre filtre, cela ne signifie pas pour autant qu’Internet en est débarrassé. Bien au contraire.Il n'y a rien à corriger
Et c’est l’essence même de cette histoire de sécurité : on peut investir des centaines d’euros dans des solutions performantes de sécurité, mais si l’un des principaux protocoles utilisés pour l’acheminement des données sur Internet permet de dévier un flux d’informations, tous vos outils ne vous serviront à rien. Et c’est bien ce que permettrait le BGP (Border Gateway Protocol), selon deux hommes qui en ont fait la démonstration récemment.
« Il ne s’agit pas d’une faille ou de la défaille d’un logiciel », prévient Anton Kapela, directeur réseau et centre de données chez 5Nines Data. Avec Alex Pilosov, PDG de Pilosoft, ils ont démontré lors de la dernière DefCon que le BGP pouvait être utilisé pour détourner le trafic de sa destination vers une nouvelle choisie arbitrairement. La démonstration a été réalisée en direct, en détournant le trafic de la conférence pour le renvoyer vers une machine installée à New York, avant de le faire revenir à Las Vegas.
Un changement dans les fondations à prévoir ?
Le BGP est en fait utilisé pour déterminer le meilleur chemin pour aller d’un point à un autre à travers les routeurs des fournisseurs d’accès principalement. Le problème avec ce protocole c’est qu’une fois le chemin trouvé, les routeurs font intrinsèquement confiance à ce qu’indique le protocole. Or, c’est justement cette confiance qui est la faille, sans en être une réellement.
À chaque fois qu’un utilisateur a besoin de quelque chose, comme la consultation d’un site web, le serveur DNS traduit l’adresse de ce site en une adresse IP. Chez le fournisseur d’accès de l’utilisateur, un routeur consulte une table BGP pour déterminer quel est le plus court chemin jusqu’à la destination. Les tables sont constituées à partir de déclarations d’autres fournisseurs d’accès qui indiquent les plages d’adresses IP vers lesquelles ils pourront envoyer des données.
Les deux attaquants ont publié une plage d’adresses IP considérées comme « plus proches » par les routeurs. La publication de ces données est très rapide et n’a besoin que de quelques minutes pour faire le tour de la planète. De fait, toutes les demandes adressées à ces adresses ont été réorientées vers une nouvelle cible. Ensuite, le flux peut être renvoyé vers sa destination initiale.
En silence messieurs
La technique est parfaitement silencieuse, contrairement à toutes les redirections d’adresses IP qui avaient été utilisées jusqu’à présent. Car c’est justement parce que les précédentes techniques faisaient du « bruit » qu’elles ont été détectées, car elles devaient systématiquement « casser » quelque chose à un moment donné : « Si rien n’est cassé, qui le remarquera ? », s’interroge Anton Kapella.
Les deux hommes ont expliqué que les fournisseurs d’accès peuvent en théorie arriver à différencier un trafic normal d’un dévié. Le plus gros souci sera que le travail demandé sera énorme et donc très coûteux. Une autre solution serait de se tourner vers le SBGP pour Secure BGP, qui demande alors aux routeurs concernés de signer par une clé numérique toutes les publications d’adresses IP qu’ils propagent. Une solution idéale, certes, mais qui demande que les routeurs disposent d’une mémoire et d’une puissance supérieures à ce que possèdent nombre d’entre eux.
Le Conseil National de Sécurité américain ainsi que des instances officielles telles que la NSA (National Security Agency) ont été informés de la situation dans ses moindres détails. En attendant, il va falloir patienter, et les deux hommes espèrent simplement que pour l’instant personne ne trouvera la technique. Un vœu pieux ?
Source :
Wired
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 28 août 2008 à 10:38
(47 628
lectures)
Il y a 114 commentaires
INpactienne
"It's not a bug, it's a feature"
ca sert aux admin reseau de surveiller/dignostiquer un reseau a distance
Ce qui est dangereux avec cette attaque est qu'elle est silencieuse (comme dit dans la news), le seul moyen de la percevoir est l'alongement des temps de réponses ... mais difficile a détecter dans un reseau utiliser par un certain nombre de personne.
ca sert aux admin reseau de surveiller/dignostiquer un reseau a distance
Ce qui est dangereux avec cette attaque est qu'elle est silencieuse (comme dit dans la news), le seul moyen de la percevoir est l'alongement des temps de réponses ... mais difficile a détecter dans un reseau utiliser par un certain nombre de personne.
INpactien
INpactien
A mon avis la NSA connait cette technique depuis pas mal de temps... C'est plus pratique pour Echelon
INpactien
dfzefsfsrg
Le jeudi 28 août 2008 à 11:48:55
#54
Inscrit
le mercredi 23 juillet 08
-
1610
commentaires
ben ouais, détournement de flux, c'est mal ! Au même titre que le détournement de mineur ou de fond ! En taule 
Et pour le détournement de mineurs de fond ? (doit être assez rare quand même
)
INpactien
Heu... Il faut lire la niouze de gauche à droite et du haut vers le bas pour comprendre ce qu'il y a d'écrit.
Sauf que ce qu'il y a d'écrit dans la news c'est bidon et c'est un peu là le souci.
INpactien
Attention, traverser la route sans regarder peut vous tuer 
INpactien
Sauf que ce qu'il y a d'écrit dans la news c'est bidon et c'est un peu là le souci.
Assume ta bouletude s'tout
INpactien
Rien à voir, c'est juste que les 2 gugus qui ont fait la démo au Defcon découvrent le net et qu'ils essaient de se faire de la pub pas chere, c'est tout. Le pire c'est qu'ils n'ont pas tout pigé du routage les pauvres.
INpactien
En gros, en plus des virii, spywares, rootkit..etc... on va se taper des FAiwares ? (ou FAIkit, ou FAIii).
On change d'échelle ! Cette fois on sort du cadre de la menace de merde avec des virus qui font rien et des cookies qui se font la malle.
D'ailleurs Symantec et Kaspersky parlent déjà de sortir un détecteur de FAIwars, c'est un petit appareil qui permet de "voir" ce qu'on lui montre et de l'analyser.
Lorsqu'on veut s'inscrire chez un FAI on lui montre le site internet et il nous dit s'il c'est un FAIwares.
Plus sérieusement, si j'ai bien compris la news, y'a que les FAI qui peuvent faire ça ? Free va me hacked ?
On change d'échelle ! Cette fois on sort du cadre de la menace de merde avec des virus qui font rien et des cookies qui se font la malle.
D'ailleurs Symantec et Kaspersky parlent déjà de sortir un détecteur de FAIwars, c'est un petit appareil qui permet de "voir" ce qu'on lui montre et de l'analyser.
Lorsqu'on veut s'inscrire chez un FAI on lui montre le site internet et il nous dit s'il c'est un FAIwares.
Plus sérieusement, si j'ai bien compris la news, y'a que les FAI qui peuvent faire ça ? Free va me hacked ?
INpactien
Rien à voir, c'est juste que les 2 gugus qui ont fait la démo au Defcon découvrent le net et qu'ils essaient de se faire de la pub pas chere, c'est tout. Le pire c'est qu'ils n'ont pas tout pigé du routage les pauvres.
oui c'est vrai que réussi à rerouter sans que personne ne s'en apercoive tout un flux, c'est découvrir le web hein
d'ailleurs je le fais tous les matins pour faire chier les voisins
et c'est aussi pour ca que la NSA s'y intéresse d'ailleurs, parce que c'est de la merde...
Edité par Patch le jeudi 28 août 2008 à 12:41
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
HubiC : les premiers clients reçoivent leur année de dédommagement
(19)
Abonné en 2012 ? Surveillez vos mails -
[MàJ] The Pirate Bay de retour
(16)
Le bateau coule ? -
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer
![[MàJ] The Pirate Bay de retour](http://static.pcinpact.com/images/bd/dedicated/79905.jpg)
-
Ultrabook ASUS Zenbook UX32VD de 13,3" en Full HD : 799,99 €
Valable jusqu'au 27 mai -
20 % de remise sur des accessoires pour l'achat d'une tablette
Valable pendant 15 heures -
Le jeu FIFA 13 pour PC à 24,99 €
Valable jusqu'au 28 mai -
Xbox 360 de 250 Go avec Batman Arkham City et Darksiders II : 192,40 €
Valable jusqu'au 27 mai
