L’aiguillage des flux sur la Toile est faillible. Des experts ont observé, pour la première fois, des détournements massifs permettant de siphonner des données en toute tranquillité. Mais leur origine reste mystérieuse.
Si vous envoyez des données de Paris à Marseille, sachez qu’il est possible de siphonner ce trafic ni vu ni connu, sans avoir besoin d’accéder à une quelconque fibre optique ou à un serveur dans le cloud (comme le fait par exemple la NSA). Une énorme faille de l’Internet permet, en effet, à des organisations malveillantes d’aiguiller n’importe quelles données de telle manière à ce qu’elles passent par des routeurs d’espionnage, avant qu’elles n’arrivent à destination. Comme un train que l’on ferait passer par une voie parallèle pour détrousser les passagers, avant de le remettre sur le trajet initial.
Cette faille a été décrite en 2008 par les deux chercheurs en sécurité MM. Pilosov et Kapela, mais n’était jusqu’à présent que théorique. De récentes observations tendent à prouver qu’elle est désormais exploitée de manière active... et inquiétante. Dans un
article de blog datant de novembre, la société Renesys, spécialisée dans l’analyse réseau, a montré pour la première fois de vrais détournements de trafic, avec à la clé une quantité importante de données apparemment siphonnées. Parmi les victimes: des organisations gouvernementales, des institutions financières, des fournisseurs de services, etc.
Une manipulation qui n’est pas à la portée de tous
Ainsi, en février 2013, des flux de données ont été détournés presque quotidiennement pour passer par l’opérateur biélorusse GobalOneTel avant d’arriver à destination. En mai 2013, la société observe une série de détournements où les données passent systématiquement par un opérateur islandais, alors qu’une telle route ne devrait pas exister dans la pratique.
En effet, le routage des données Internet est basé sur le protocole BGP. Son principe est simple : un routeur informe les autres quelles destinations il est capable de desservir rapidement, en diffusant des messages appelés « annonces BGP ». Le problème, c’est que ce système n’est pas du tout sécurisé, mais uniquement basé sur une confiance réciproque. Si quelqu’un falsifie les annonces BGP d’un routeur, les routeurs voisins ne s’en inquiètent pas : les données sont bêtement transférées selon la nouvelle route indiquée.
Mais usurper les annonces BGP n’est suffisant. Pour réaliser un « bon détournement », il faut également faire en sorte que les données siphonnées arrivent à bon port, pour ne pas éveiller des soupçons côté destinataire. Et ça, c’est beaucoup plus compliqué. « Ce n’est pas à la portée du premier lycéen venu. Il faut une équipe de spécialistes et un certain budget pour pouvoir réaliser cette opération », explique Stéphane Bortzmeyer, ingénieur réseau.
Bizarre, bizarre: pour aller de Denver à Denver, les données passent par l'Islande.
Il manque la preuve d’une malveillance
En effet, pour assurer l’acheminement vers le destinataire final, il faut une connaissance approfondie des routes empruntées par les données sur Internet, une sorte de carte IGN pour la Toile. « Pas la peine d’être un génie, mais c’est un travail long et ennuyeux. C’est facile à faire pour un état. C’est également à la portée d’une entreprise si elle dispose des compétences adéquates », ajoute Stéphane Bortzmeyer. Pour une organisation telle que la NSA, ce serait certainement un jeu d’enfant. On sait d’ailleurs, depuis quelques semaines, que le service secret américain dispose d’une carte mondiale de l’Internet, appelée « Treasure Map ».
Toutefois, la communauté des ingénieurs réseau reste divisée sur la réelle malveillance des détournements observés par Renesys. Aucune preuve n’a été mise en évidence permettant de dire que les annonces BGP ont été intentionnellement modifiées. Cela pourrait être aussi le résultat d’une erreur configuration, estiment certains, même si la probabilité est faible. Et même si on arrive à démontrer une malveillance, il n’est pas du tout certain que l’on puisse remonter aux auteurs, qui pourraient très bien avoir trouvé un moyen pour trafiquer le routeur BGP d’un fournisseur parfaitement innocent.
Dans ce cas, comment peut-on se prémunir contre ce type d’attaque ? En tant qu’utilisateur d’Internet, le seul moyen actuel est de chiffrer ses échanges de données, par exemple au travers d’un VPN. Même détournées, elles resteraient illisibles. Quant à l’élimination de la faille elle-même, c’est beaucoup plus compliqué. Pour empêcher l’usurpation des annonces BGP, il faudrait introduire un système d’authentification à base de signature électronique. Ce qui suppose une coordination assez poussée entre les différents acteurs de l’Internet. Il n'est pas certain que cela arrive un jour.