Notes
- [1]
- [2]
-
[3]
Voir https://cyberstructure.fr. Dossier spécial de février-mars 2019.
Stéphane Bortzmeyer a également préfacé l’ouvrage de Rayna Stamboliyska, 2017, La face cachée d’Internet. Hackers, Darkweb, Tor, Anonymous, Wikileaks, bitcoins…, Paris : Larousse. -
[4]
Voir sur le site de l’ANSSI : https://www.ssi.gouv.fr/entreprise/principales-menaces/
- [5]
-
[6]
« Le Domain Name System, généralement abrégé DNS, qu’on peut traduire en ‘système de noms de domaine’, est le service informatique distribué utilisé pour traduire les noms de domaine Internet en adresse IP ou autres enregistrements. En fournissant dès les premières années d’Internet, autour de 1985, un service distribué de résolution de noms, le DNS a été un composant essentiel du développement du réseau ». (Source : https://fr.wikipedia.org/wiki/Domain_Name_System Consulté le 9 mai 2019. Tous les liens mentionnés ont été consultés à cette date).
-
[7]
Zonemaster est un outil de référence de vérification DNS, développé par les registres Afnic (.fr) et IIS (.se). https://zonemaster.fr/
-
[8]
« DNSViz is a tool for visualizing the status of a DNS zone. It was designed as a resource for understanding and troubleshooting deployment of the DNS Security Extensions (DNSSEC). It provides a visual analysis of the DNSSEC authentication chain for a domain name and its resolution path in the DNS namespace, and it lists configuration errors detected by the tool ». (Source: http://dnsviz.net)
-
[9]
L’affaire est révélée par The Guardian (https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails) et reprise dans l’article de Brian Krebs, journaliste spécialisé dans la sécurité : https://krebsonsecurity.com/2017/09/source-deloitte-breach-affected-all-company-email-admin-accounts/
-
[10]
Ce gestionnaire de noms de domaine a subi des attaques DoS massives qui ont touché des serveurs dans plusieurs villes de la côte Est des États-Unis et bloqué l’accès à des sites comme Netflix, Spotify, Airbnb, Twitter, Paypal. Les hackeurs se sont appuyés sur les failles de sécurité de plusieurs millions d’objets connectés, notamment des caméras de surveillance.
Voir l’article de Gregori Pujol dans Le Journal du Geek du 11 décembre 2016 : https://www.journaldugeek.com/2016/12/11/top-10-cyberattaques-2016/
ainsi que l’article de Brian Krebs :
https://krebsonsecurity.com/2016/10/ddos-on-dyn-impacts-twitter-spotify-reddit/ -
[11]
Voir pages 13-14 de https://www.afnic.fr/medias/Convention_Etat_AFNIC_17072012_def.pdf
-
[12]
“Réseaux IP Européens (RIPE, French for “European IP Networks”) is a forum open to all parties interested in wide area IP networks. The objective of RIPE is to ensure the administrative and technical coordination necessary to enable the operation of the Internet.” (Source : https://www.ripe.net/participate/ripe)
-
[13]
Voir K. Rawlinson, NSA surveillance: Merkel’s phone may have been monitored ‘for over 10 years’, The Guardian, 26 octobre 2013.
- [14]
-
[15]
Voir l’article « Un bug entache le lancement de Tchap, l’application de discussion sécurisée de l’État », 22 avril 2019. [En ligne] (consulté le 6 février 2020) Disponible à l’adresse : https://www.lemonde.fr/pixels/article/2019/04/22/un-bug-entache-le-lancement-de-tchap-l-application-de-discussion-securisee-de-l-etat_5453428_4408996.html
Voir également sur les chasseurs de bugs l’article de J. Lausson, Tchap : une chasse aux bugs se prépare pour la messagerie souveraine de la France , Numerama, 22 avril 2019. [En ligne] (consulté le 6 février 2020) Disponible à l’adresse : https://www.numerama.com/tech/503316-tchap-une-chasse-aux-bugs-se-prepare-pour-la-messagerie-souveraine-de-la-france.html - [16]
- [17]
-
[18]
« 10 conseils pour rester net sur le Net » : https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe
-
[19]
« Les conseils de la CNIL pour un bon mot de passe » : https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe
-
[20]
Voir : « Qu’est-ce qu’un bon mot de passe sur internet ? » : https://www.service-public.fr/particuliers/actualites/A13202
- [21]
- [22]
1Si les cyberattaques récentes au Moyen-Orient, menées via les noms de domaine, ont eu un vaste écho médiatique fin février 2019, tandis que la revue Défense et Sécurité Internationale consacrait un dossier spécial à la techno-guérilla [1], les menaces qui pèsent sur les réseaux informatiques ne sont pas nouvelles.
2L’Afnic – Association Française pour le Nommage Internet en Coopération [2] –, gestionnaire historique du.fr, fait partie des acteurs français confrontés au quotidien aux enjeux de sécurité des réseaux Internet et veille notamment à la sécurité des noms de domaine et au bon fonctionnement du.fr, en terme de disponibilité mais aussi d’intégrité.
3Mohsen Souissi, alors Responsable des Sécurité des Systèmes d’information (RSSI) à l’Afnic, qu’il a intégrée en 2000 et où il était précédemment responsable Recherche et développement (R&D) de 2007 à 2016, et Stéphane Bortzmeyer, auteur de Cyberstructure [3] (C&F Éditions, 2018) et ingénieur à l’Afnic depuis seize ans, après avoir été administrateur pour plusieurs systèmes et réseaux universitaires et de centres de recherche, reviennent sur les cybermenaces et les enjeux de sécurité auxquels ils sont confrontés.
Et c’est précisément le cœur de l’attaque qui a fait tant de bruit depuis quelques jours : les pirates informatiques ont réussi à prendre le contrôle d’un certain nombre de noms de domaine, et à y associer d’autres informations techniques. Ainsi, les utilisateurs, croyant se connecter à tel ou tel service, allaient en fait sur un autre. Lorsque le service est un site Web, l’attaquant copiait le site Web original, faisait quelques modifications, et le plaçait sur le serveur qu’il contrôlait. Une telle attaque n’a pas d’équivalent dans le monde physique. Si vous voulez vous rendre à la Tour Eiffel et qu’on vous donne une mauvaise adresse pour ce monument, vous vous rendrez bien compte que vous n’êtes pas au bon endroit. (Des lecteurs érudits de ce blog me font remarquer qu’une attaque très similaire est pourtant montrée dans le film Ocean 11 ou dans la série The Blacklist.) Mais, sur l’Internet, vous ne voyez pas la distance (vous ne savez pas facilement si vous vous connectez à un site Web situé au Maroc ou au Japon) et vous ne voyez pas du premier coup que le site a été copié.
Et il n’y a pas que le Web. Les attaquants avaient également détourné des serveurs de messagerie, ce qui est encore plus facile, car l’utilisateur ne « voit » pas le serveur de messagerie, connexion et échange de messages se font de manière automatique.
Avec le détournement de sites Web, l’attaquant peut capter des informations confidentielles, comme le mot de passe, qu’il pourra ensuite utiliser avec le vrai site Web. Avec le détournement d’un serveur de messagerie, l’attaquant pourra capter du courrier, possiblement confidentiel (rappelez-vous que les attaquants en question visaient surtout des noms de domaine de gouvernements).
Par exemple, l’un des noms de domaine détournés était webmail.finance.gov.lb. C’est l’interface Web du service de courrier électronique au ministère des finances libanais (.lb indique le Liban). Il est normalement connecté par l’opérateur libanais TerraNet. Le 6 novembre 2018 (et peut-être davantage), en essayant de se connecter via ce nom de domaine, on arrivait chez l’hébergeur ukrainien DeltaHost. L’utilisateur qui ne se méfiait pas entrait donc le mot de passe de son compte sur un serveur contrôlé par le pirate.
La force de ce type d’attaques particulier est son caractère indirect. Au lieu de pirater le site Web, ou le serveur de messagerie, probablement bien défendus, l’attaquant pirate les informations qui indiquent comment s’y rendre. La gestion des noms de domaine est souvent le maillon faible de la cybersécurité. Les attaquants appartenant à ce groupe de pirates particulier n’ont pourtant pas innové. Ils n’ont trouvé aucune faille de sécurité nouvelle, ils n’ont pas réalisé une percée technologique. Ils n’ont même pas été les premiers à comprendre l’intérêt des attaques indirectes, via le nom de domaine. Un exemple fameux d’une telle attaque avait été le détournement du nom de domaine du New York Times en 2013. Mais ces attaquants de 2018 ont attaqué un grand nombre de noms de domaine ».
4Flux : Destructions, subversions et sabotages sont les trois axes de notre dossier. Sont-ils tous représentés et quelles formes prennent-ils spécifiquement dans le champ des cybermenaces ?
5Mohsen Souissi : On trouve notamment sur le site de l’Anssi – l’Agence nationale de la sécurité des systèmes d’information –, une liste des principales menaces pesant sur les réseaux, que ce soit la déstabilisation, l’espionnage, le sabotage [4]. Et d’emblée le terme « subversion » me gêne un peu. Il ne me semble pas approprié, alors qu’au contraire je ne vois pas de mention de l’espionnage, qui est pourtant une cybermenace importante.
6L’espionnage peut prendre plusieurs formes, avec parfois des moyens communs mais des objectifs différents, selon que l’on considère par exemple l’espionnage par un État d’autres États ou les espionnages industriels. Or, parmi les menaces majeures, il y a ce que l’on appelle les APT, Advanced Persistent Threats, par exemple : des groupes établis peuvent sévir localement, mais aussi collaborer et unir leurs forces, et ils le font dans la discrétion la plus totale. On ne voit ni destruction, ni sabotage, ni subversion, d’ailleurs on ne voit souvent rien, et quand on découvre le mal, il remonte souvent à au moins deux ans. C’est un véritable cauchemar pour les entreprises industrielles. Je me souviens d’une publicité d’Orange Cybersécurité qui disait : « 70 % des entreprises reconnaissent avoir été attaquées. Les 30 % restants ne s’en sont pas rendu compte » [5]. Et en effet, on ne sait pas si le loup est déjà dans la bergerie. Une atteinte à l’intégrité ou à la non-disponibilité d’un service donnent un signe clair d’une attaque, mais quelqu’un qui s’installe et reste silencieux ne donne aucun indice d’attaque et c’est ce qu’on redoute le plus.
7Stéphane Bortzmeyer : Dans les attaques de défiguration de sites Web, il n’y a pas de destruction, mais au contraire utilisation du réseau. Il y a en effet plusieurs façons de classer les menaces pour l’opérationnel qui cherche à les combattre et ces typologies permettent de penser les moyens d’action, de protection, de déterminer les tâches importantes. Par exemple, on distingue l’attaquant qui vise à la surveillance ou l’espionnage et qui tire son succès du fait qu’on ne le voit pas ; l’attaquant qui cherche à empêcher l’utilisation du réseau, par déni de service, câble coupé, coupure de l’accès, etc., et on voit bien que là les manifestations et objectifs sont très différents ; ou encore l’attaquant qui se sert des réseaux pour obtenir une action par des dispositifs informatiques, qui veut donc maintenir le réseau, et non le couper : c’est le cas avec les spams ou encore la défiguration de site Web. Dans le premier cas le gros problème est celui de la détection.
8Mohsen Souissi : Quand on parle de risques, on parle de plusieurs choses. On parle d’abord de menaces, mais on prend aussi en considération les vulnérabilités, et celles-ci se mesurent à l’aune des actifs. Ensuite on pense également à l’impact et on distingue notamment l’impact en termes de disponibilité, mais aussi en termes d’intégrité et de confidentialité, et enfin les conséquences pour l’utilisateur final. Ensuite, il y a toute une typologie au sein de ces catégories (voir figure 1).
Anatomie d’un risque SSI
Anatomie d’un risque SSI
9Par exemple on peut distinguer les sources de menaces d’origine naturelle de celles qui sont humaines, type APT soutenues par les États, les hacktivistes, etc. Et il faut aussi voir que la destruction ou le sabotage d’un réseau peut être une fin en soi ou juste un point d’entrée pour viser un objectif qui se sert de l’informatique mais qui n’a rien à voir avec l’informatique, ce qui est par exemple le cas de l’attaque Stuxnet sur les centrales nucléaires.
Spécifique au système Windows, il a été découvert en juin 2010 par VirusBlokAda, société de sécurité informatique basée en Biélorussie. La complexité du ver est très inhabituelle pour un malware. Il a été décrit par différents experts comme cyber arme, conçue pour attaquer une cible industrielle déterminée. Il s’agirait d’une première dans l’histoire.
C’est le premier ver découvert qui espionne et reprogramme des systèmes industriels, ce qui comporte un risque élevé. Il cible spécifiquement les systèmes SCADA utilisés pour le contrôle commande de procédés industriels. Stuxnet a la capacité de reprogrammer des automates programmables industriels (API) produits par Siemens et de camoufler ses modifications. Les automates programmables Siemens sont utilisés tant par quelques centrales hydro-électriques ou nucléaires que pour la distribution d’eau potable ou les oléoducs.
Le ver a affecté 45 000 systèmes informatiques, dont 30 000 situés en Iran, y compris des PC appartenant à des employés de la centrale nucléaire de Bouchehr. Les 15 000 autres systèmes informatiques sont des ordinateurs et des centrales situés en Allemagne, en France, en Inde et en Indonésie, utilisateurs de technologies Siemens ».
10Entre menaces et vulnérabilités il faut en outre introduire une notion très importante, qui est la vraisemblance. Celle d’une crue ou d’un séisme dépend évidemment de la localisation. Elle est variable dans le temps, suit le changement climatique. De même pour les menaces humaines qui peuvent varier par exemple en fonction de changements géostratégiques/géopolitiques. En croisant et en agissant sur la vraisemblance et l’impact on peut élaborer un plan de traitement des risques.
11L’impact, comme je le disais précédemment, peut concerner la disponibilité, par exemple dans le cas d’une attaque par déni de service utilisant le DNS [6].
12Si c’est l’intégrité qui est visée, le service fonctionne, mais il y a manipulation des données et retour d’informations fausses. Ainsi des outils de diagnostic DNS tels que Zonemaster [7] et/ou DNSviz [8] permettent de mettre en évidence ces informations fausses.
13Enfin, les atteintes à la confidentialité sont le pire cauchemar : en général si on a affaire à un bon professionnel, il ne laisse pas de traces. Ceci dit, en ce qui concerne les atteintes à l’intégrité, il faut vraiment que cela soit manifeste. On peut imaginer qu’une réponse sur cent soit faussée. Mais la confidentialité, c’est ce qui est le plus difficile à détecter et déjouer. On pense par exemple au scandale Deloitte : si l’on en croit l’article du Guardian de 2017 [9], ils ont dû mettre plusieurs mois pour se rendre compte qu’un attaquant avait réussi à avoir accès à la totalité des messages électroniques échangés entre Deloitte et ses clients.
14Et je dois encore ajouter une autre notion : celle d’attribution. Or, il est très difficile d’attribuer les attaques. Les attaques les plus récentes et fortement médiatisées ont été attribuées à l’Iran mais sans preuve flagrante.
Il existe plusieurs contre-mesures possibles contre ces attaques : militer pour le déploiement effectif de BCP 38 (c’est-à-dire que les FAI empêchent l’usurpation d’adresses IP par leurs usagers), modifier le protocole DNS et imposer une limitation de trafic, refusant de répondre au-delà d’un certain rythme ».
15Stéphane Bortzmeyer : Il faut bien comprendre que si le sabotage ou les atteintes par exemple à la confidentialité ne sont pas spécifiques aux réseaux informatiques, il y a tout de même des particularités propres à l’informatique. Prenons le cas de la confidentialité : si un document papier est ouvert, même avec précaution, il y a des chances que cela laisse des traces. Dans le champ informatique, il y a plus de discrétion.
16Mohsen Souissi : Oui, et c’est une raison pour laquelle on travaille en établissant des scénarios d’attaques s’appuyant sur des combinaisons d’événements, souvent de bon sens. Comme illustré Fig.1, l’analyse des risques consiste généralement à identifier tout d’abord les actifs à protéger, et les menaces auxquelles ils sont exposés ainsi que leurs vulnérabilités connues, puis à estimer la vraisemblance que ces actifs soient attaqués selon des scénarios définis et à évaluer l’impact sur ces actifs et les conséquences en cas d’attaque réussie, malgré les contre-mesures en place.
17Stéphane Bortzmeyer : Ainsi les spams sont nombreux mais ils ont au final peu d’impact, même s’ils sont gênants. Alors que l’arrêt du DNS a une vraisemblance faible, mais par contre cela aurait un très gros impact.
18Mohsen Souissi : On parle même de Ping of Death, c’est l’idée qu’un seul paquet envoyé à un serveur puisse mettre ce dernier à genoux. Imaginons maintenant que ce même paquet puisse être envoyé en exemplaire unique et en même temps, sur chaque instance d’une constellation de serveurs, cela ferait alors un strike au sens du bowling. La menace que Stéphane vient d’indiquer reviendrait à imaginer la découverte d’une vulnérabilité sur le protocole DNS permettant de saboter tous les serveurs. Elle peut venir d’une version de logiciel et, dans le cas d’une faille logicielle, c’est à l’éditeur de la corriger. En 2008, un chercheur médiatisé, Kaminsky, a découvert et mis en évidence un bug du protocole du DNS. Cela a entraîné un mouvement mondial de tous les éditeurs de logiciels de DNS pour le corriger. Ils ont allié leurs forces.
Understanding Kaminsky’s DNS Bug, by Cory Wright on July 25, 2008
As you may remember, Kaminsky coordinated the announcement with many major software vendors and promised not to disclose a way to exploit the bug until August 6 at the annual Black Hat security conference in Las Vegas. This would give ISPs 30 days to patch their systems and protect their users. Kaminsky also asked members of the security community to refrain from publicly speculating about the issue until the details were officially announced. That may have been too much to ask, as it only took 13 days for the issue to find its way into the public eye ».
19Mais il reste la menace de Black Hats pouvant provoquer ce que l’on appelle un 0-day. C’est un marché mondial organisé par des États et des groupes privés, qui sert à la dissuasion, à la menace ou au chantage. Que quelqu’un détienne un 0-day sur le DNS est une vraisemblance faible, mais l’impact serait très élevé. Et selon que l’on aurait affaire à un bug du protocole DNS lui-même ou celui d’une version d’un logiciel DNS particulier, le problème change fondamentalement. Pour le premier, on est démuni, pour le second on a obligation de trouver des contre-mesures. Il est alors recommandé de pratiquer pour cela la diversité génétique, c’est-à-dire de disposer de plusieurs versions de logiciels pour rendre le même service. À un instant donné, une seule version tourne en production et les autres sont dormantes. Si la version qui tourne devenait vulnérable ou subissait un incident, il faudrait alors la désactiver et réactiver l’une des versions dormantes. Il faut en effet préserver le service DNS en tout temps et en tout lieu, préserver sa disponibilité mais aussi son intégrité. Il faut faire face aux menaces de pollution des serveurs DNS et de détournement : il y a plus souvent des attaques au travers du DNS que sur le DNS lui-même. C’est l’information servie par le DNS qui est visée car elle permet la joignabilité des autres services Internet (Web, messagerie, etc.). Il s’agit alors de compromettre un protocole d’avitaillement (provisioning), pour atteindre à l’intégrité de l’information qui sera par la suite publiée erronée. Une des réponses à ces menaces peut être la signature de l’authenticité de l’origine grâce aux extensions DNSSEC du protocole. Cependant, si l’information a été falsifiée directement sur la source, DNSSEC ne peut pas aider.
Alors, l’Internet est-il réellement invulnérable à toute attaque, comme le veut la légende de sa résistance aux bombes nucléaires ? Ou bien est-il ultra fragile ? Peut-il être éteint par une panne, par l’action d’une poignée de bricoleurs, ou par celle d’un État déterminé à le civiliser ? Qu’est-ce qui explique la résistance dont il a fait preuve jusqu’à présent ?
Et, s’il n’est pas invulnérable, qu’est-ce qui peut être fait pour améliorer sa résistance ? Des projets comme ceux de l’ENISA au niveau européen, ou de l’ANSSI au niveau français sont-ils pertinents ? ».
20Stéphane Bortzmeyer : J’aimerais souligner une spécificité de ces attaques. On a peu d’informations sur elles, la plupart d’entre elles ne sont pas connues, il n’y a pas d’analyse indépendante.
21Dans l’attaque contre Dyn [10] de 2016 ou l’attaque au Moyen-Orient de 2018, on ne connaît qu’une partie de l’information. Ce n’est pas comme dans l’aviation, où en cas de crash, une enquête indépendante est menée. On partage d’ailleurs avec le secteur de l’aviation des points communs, notamment une vraisemblance faible, mais un impact fort. Or dans l’aéronautique, l’enquête indépendante est publiée et tout l’écosystème apprend ainsi. Dans notre champ, les informations importantes ne sont pas communiquées, il est difficile d’avoir des données. On n’a pas non plus de méthodologie pour compter le nombre d’attaques.
22Flux : Et pourtant les attaques contre les réseaux informatiques et systèmes d’information existent depuis longtemps ?
23Stéphane Bortzmeyer : L’attaque du ver de Morris du nom de Robert Tappan Morris, étudiant en informatique, qui le met en circulation et affecte un très grand nombre d’ordinateurs sur Internet, date de fin 1988.
24Mohsen Souissi : Quant à la palette de l’impact, elle a toujours existé et n’est pas spécifique à Internet. Mais en effet il y a une « culture du secret ». Ainsi dans le cas récent des attaques au Moyen-Orient, seul un des acteurs victime en tant que relais a eu le courage d’en parler publiquement. Il y a une « omerta » qui peut s’expliquer pour des questions d’image et de finances. Un aveu de faiblesse est mal vu et peut faire perdre des marchés.
25Stéphane Bortzmeyer : Évidemment il y a aussi un engagement moral avec les utilisateurs.
26Mohsen Souissi : Bien sûr, on a un SLC – Service-Level Commitment –, vis-à-vis des utilisateurs du.fr (100 % de disponibilité de la résolution DNS en.fr). En outre, l’Afnic s’est engagée par un SLA – Service-Level Agreement – avec l’État français, faisant de cet engagement une obligation. En effet, dans la convention « État – Afnic » signée en 2012 et prorogée en 2017, l’Afnic s’engage sur un haut niveau de disponibilité et de performance de ses services essentiels, comme le stipule l’Annexe 1 [11]. Il faut noter que le risque vient parfois d’un incident de production et non d’une attaque délibérée. En effet, un bug dans le code dont la manifestation touche à l’intégrité de certaines informations peut avoir les mêmes conséquences qu’une attaque qui les falsifie.
27Stéphane Bortzmeyer : Oui, il faut bien voir qu’on a présenté la trilogie disponibilité, intégrité, confidentialité, mais qu’en pratique il peut aussi y avoir une combinaison de menaces sur les trois. Il peut par exemple y avoir atteinte à la confidentialité, pour prendre des renseignements avant de planifier une attaque contre la disponibilité. Par exemple l’ingénierie sociale permet d’obtenir un mot de passe, on touche d’abord à la confidentialité, puis à l’intégrité du service.
Mais supposons qu’Aisne Web ne soit pas une entreprise très attentive en matière de sécurité. Pour s’authentifier auprès du bureau d’enregistrement de noms de domaine, ils ont choisi le mot de passe « toto12345 ». Un tel mot de passe est facile à deviner, surtout pour un logiciel qui peut faire de nombreux essais sans s’en fatiguer. Même avec un mot de passe plus difficile, peut-être qu’un employé d’Aisne Web est crédule et que, quand quelqu’un prétendant être ‘un technicien de Microsoft’ (ou d’Apple, ou d’Orange…) appellera, l’employé acceptera de communiquer le mot de passe. (C’est ce qu’on nomme l’ingénierie sociale et c’est beaucoup plus efficace qu’on ne le croit.)
Une fois le mot de passe connu, le pirate peut alors se connecter à l’interface Web du bureau d’enregistrement, en se faisant ainsi passer pour l’utilisateur légitime. Il va alors modifier les informations techniques, par exemple l’adresse IP du site Web. Et voilà, en croyant se connecter à la pizzeria, les visiteurs iront sur le site du pirate. Bien sûr, pour une pizzeria, ce n’est pas forcément très grave. Mais des noms de domaine bien plus sensibles peuvent être détournés ainsi ».
28Mohsen Souissi : Oui, la séparation des variables permet de décomposer le problème, mais ces éléments peuvent être combinés. De même on combine surface d’attaque et vecteur d’attaque, c’est-à-dire le mode opératoire. Rares sont les attaques pures, à part le déni de service. Les attaques par saturation font appel à la force brute, ce sont des « attaques à l’aveugle ». Pour les autres il y a souvent triangulation.
29Flux : Et ce ne sont pas les mêmes acteurs ?
30Stéphane Bortzmeyer : Il n’y a qu’Arsène Lupin qui laisse sa carte après un cambriolage ! Souvent, on ne sait pas qui sont les auteurs. Et acteurs et types d’attaques peuvent être combinés.
31Flux : Donc les « méchants » ne sont jamais punis ?
32Stéphane Bortzmeyer : Ils sont difficiles à traîner en justice et parfois même leurs motivations manquent de clarté. Dans les dernières attaques il était assez évident qu’il s’agissait d’espionner les gouvernements moyen-orientaux, mais pour d’autres attaques c’est moins évident. Dans certains cas d’attaques contre la racine DNS, il est même difficile de savoir ce que visaient les attaquants.
33Mohsen Souissi : La dissuasion est plus ou moins masquée ou visible. Je pense à l’attaque en 2007 par déni de service qui a frappé l’Estonie, alors que justement nous avions un meeting RIPE [12] à Tallinn. Elle est intervenue suite au déboulonnage de la statue d’un soldat soviétique. La Russie s’est appuyée sur la fibre patriotique, le mode opératoire par déni de service était très clair et il n’y avait pas de recherche de subtilité, mais c’est souvent plus subtil.
34Stéphane Bortzmeyer : On ne sait pas non plus tout sur les représailles.
35Mohsen Souissi : Oui, c’est une zone grise. Je pense aussi à l’espionnage de Dilma Rousseff ou Angela Merkel [13] révélé par l’affaire Snowden. Il n’y a pas eu de « punition » en tant que telle de la NSA, par contre cela a provoqué un sursaut de souveraineté chez les pays « amis ».
36Flux : On voit une diversité de possibilités…
37Mohsen Souissi : Oui, il y a du chantage aussi, qui peut se faire avant ou après. Les entreprises sont menacées de multiples façons. Une des façons d’y réagir est le Bug Bounty [14]. L’État français a encouragé le recours à une messagerie instantanée « souveraine » destinée aux agents de l’État, plutôt que le recours à WhatsApp ou Telegram. C’est Tchap. Or une faille a été trouvée dans Tchap et une des réponses pour renforcer la sécurité de l’application a été de prévoir du Bug Bounty, une chasse aux bugs et aux primes organisée, légale, pour ceux qui dévoilent des failles. Pourquoi laisser aux Black Hats ce soin ? Il y a un recours aux White Hats. Je considère que c’est un vrai tournant : c’est la première fois que j’entends un organisme d’État parler de Bug Bounty et la thématique a été reprise dans la presse, dans Le Monde par exemple [15]. On traite à un niveau responsable quelque chose qui n’était pas reconnu jusqu’alors. Bien sûr les audits font aussi partie des mécanismes qui permettent d’identifier les failles logicielles qu’il convient de corriger par la suite.
38Flux : Et la coopération entre acteurs ?
39Stéphane Bortzmeyer : Dans le réseau on ne peut pas faire tout seul. La défense non plus. Le CENTR (Council of European country code top-level domain name registries) [16] est l’association des « registres européens » ; il y a aussi le DNS-OARC [17], l’association professionnelle de gérants de serveurs DNS, et RIPE a une composante internationale. Quand les gens discutent, cela permet de créer des liens de confiance, l’information circule un peu mieux. Dans le milieu informatique on discute beaucoup, pas qu’avec nos écrans comme le véhiculent certains clichés… La coopération reste toutefois variable, certains acteurs communiquent, d’autres mentent. Sur l’attribution, les États-Unis ont accusé l’Iran pour « l’attaque des chatons verts ». Mais si ça avait été un autre pays proche d’eux, l’aurait-il accusé ? L’attribution reste aussi très politique. Sur la difficulté de l’attribution des cyberattaques, je recommande la bande dessinée Cyberfatale de Cépanou et Oubrerie, sortie en octobre 2018, qui est très réussie et pédagogique.
40Mohsen Souissi : Une nouvelle culture commence à émerger. En mai 2018 au forum Afnic, je présentais une intervention intitulée « Cybersécurité collaborative ». Nous nous organisons en cercles concentriques : il y a bien sûr le savoir-faire en interne, des choses qu’on considère comme régaliennes, que personne ne fera à notre place. Mais ce n’est pas suffisant. Quand on a des clients, il faut aussi augmenter le niveau de sécurité entre clients et fournisseurs. Nous avons des opérateurs avec lesquels nous avons des contrats. Mais notre responsabilité sociétale va au delà d’un simple contrat avec nos clients. Certes la responsabilité légale et juridique est à celui qui est négligent, mais si on peut augmenter le niveau de sensibilisation, c’est bénéfique. On doit ainsi se demander : avec quels acteurs ai-je un destin, un sort partagé ? Il y a l’écosystème ensuite, nos homologues. On reconnaît que les attaques n’arrivent pas forcément qu’aux autres. Après l’attaque Dyn par déni de service – un record absolu de déni de service, nous nous sommes demandé : et si ça nous arrivait ? Le lendemain nous avons mené une analyse interne puis bâti un plan d’action pluriannuel et multi-leviers : ce que l’on peut faire tous seuls, « appel à un ami », avec l’écosystème… Augmenter la résilience systémique même si on est concurrent bénéficie à tous. Nous faisons aussi des exercices de cybersécurité, il y en a eu trois depuis 2017.
41Stéphane Bortzmeyer : Nous assurons également une veille et répertorions toutes les failles ou attaques connues et les leçons à en tirer en interne.
42Mohsen Souissi : L’Afnic capitalise et cherche aussi à irriguer, par capillarité, en s’appuyant sur un réseau d’ambassadeurs internes, chacun dans son rôle. Mais la sécurité est l’affaire de tous, pas que des informaticiens. Pour corriger ce biais on préfère parler de sécurité de l’information plutôt que de sécurité informatique, ce qui responsabilise aussi bien le juriste que le commercial ou le responsable RH qui manipulent l’information de l’entreprise, et pas uniquement sous forme électronique. Au quotidien, nous avons une organisation décentralisée de la sécurité, qui s’appuie sur un réseau d’une douzaine de référents métiers, qui œuvrent pour la réduction des risques de sécurité des systèmes d’information (SSI), en mettant notamment en place des mesures. Le pilotage de la SSI se fait quant à lui au travers d’un comité de sécurité Afnic, et au plus haut niveau, par le Conseil d’administration.
43Stéphane Bortzmeyer : C’est important de comprendre que ces questions de sécurité ne sont pas que techniques et le sont même parfois peu. Dans l’attaque de 2018 attribuée aux Iraniens, il n’y a pas de recours à des moyens techniques pointus, pas d’astuces techniques, pas de besoin de compétences techniques, mais plutôt de compétences organisationnelles. Et la défense ne dépend pas forcément non plus de mesures techniques. On demande souvent des mesures techniques pour répondre à des problèmes non techniques. Ne pas changer le mot de passe quand quelqu’un quitte une organisation, ce n’est pas un problème technique. Dans l’idée que les gens se font de la sécurité informatique, il y a toujours un génie malveillant exceptionnel, des choses compliquées, des masses de lignes de code vert qui s’affichent sur fond noir, etc. Mais la réalité des attaques, ce sont souvent des gens qui bavardent trop ! Par contre la particularité des noms de domaine est qu’ils sont souvent gérés par le service de la communication ou le service juridique dans les entreprises, des services parfois plus vulnérables à des erreurs que les informaticiens ne commettent plus, car ils manquent de sensibilisation. Je pense aussi aux attaques au président, pour demander une rançon, dans lesquelles il n’y a pas de composante technique. C’est une question de sensibilisation.
44Mohsen Souissi : Les choses bougent. Je pense à la vulgarisation des compétences de SSI, que ce soit par exemple par la CNIL [18] qui fait de la communication sur la manière dont le citoyen doit se protéger (mot de passe fort [19], etc.). Je pense également au site service-public.fr qui a une rubrique fournissant des recommandations pratiques aux citoyens [20], et à cybermalveillance.gouv.fr [21] pour les TPE victimes de cyberharcèlement et souvent démunies. Cela apporte une couche minimale de sensibilisation au « citoyen lambda » et ne rentre bien sûr pas en concurrence avec les guides pratiques de l’ANSSI qui sont plutôt destinés aux professionnels [22]. On peut d’ailleurs noter que le choix de parler de « Sécurité numérique » de service-public.fr n’est pas innocent par rapport au terme ambiant « Sécurité informatique » ou même « Sécurité des systèmes d’information ». Au delà de l’effet de mode dans cette évolution lexicale, je crois que cette évolution est accompagnée d’une volonté de casser cette perception persistante dont nous avons parlé et qui renvoie la responsabilité de la sécurité et de l’observation des règles d’hygiène vers les informaticiens, souvent représentés de manière caricaturale, comme l’expliquait Stéphane, quoique certains informaticiens s’y plaisent, mais c’est un autre débat…
Notes
- [1]
- [2]
-
[3]
Voir https://cyberstructure.fr. Dossier spécial de février-mars 2019.
Stéphane Bortzmeyer a également préfacé l’ouvrage de Rayna Stamboliyska, 2017, La face cachée d’Internet. Hackers, Darkweb, Tor, Anonymous, Wikileaks, bitcoins…, Paris : Larousse. -
[4]
Voir sur le site de l’ANSSI : https://www.ssi.gouv.fr/entreprise/principales-menaces/
- [5]
-
[6]
« Le Domain Name System, généralement abrégé DNS, qu’on peut traduire en ‘système de noms de domaine’, est le service informatique distribué utilisé pour traduire les noms de domaine Internet en adresse IP ou autres enregistrements. En fournissant dès les premières années d’Internet, autour de 1985, un service distribué de résolution de noms, le DNS a été un composant essentiel du développement du réseau ». (Source : https://fr.wikipedia.org/wiki/Domain_Name_System Consulté le 9 mai 2019. Tous les liens mentionnés ont été consultés à cette date).
-
[7]
Zonemaster est un outil de référence de vérification DNS, développé par les registres Afnic (.fr) et IIS (.se). https://zonemaster.fr/
-
[8]
« DNSViz is a tool for visualizing the status of a DNS zone. It was designed as a resource for understanding and troubleshooting deployment of the DNS Security Extensions (DNSSEC). It provides a visual analysis of the DNSSEC authentication chain for a domain name and its resolution path in the DNS namespace, and it lists configuration errors detected by the tool ». (Source: http://dnsviz.net)
-
[9]
L’affaire est révélée par The Guardian (https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails) et reprise dans l’article de Brian Krebs, journaliste spécialisé dans la sécurité : https://krebsonsecurity.com/2017/09/source-deloitte-breach-affected-all-company-email-admin-accounts/
-
[10]
Ce gestionnaire de noms de domaine a subi des attaques DoS massives qui ont touché des serveurs dans plusieurs villes de la côte Est des États-Unis et bloqué l’accès à des sites comme Netflix, Spotify, Airbnb, Twitter, Paypal. Les hackeurs se sont appuyés sur les failles de sécurité de plusieurs millions d’objets connectés, notamment des caméras de surveillance.
Voir l’article de Gregori Pujol dans Le Journal du Geek du 11 décembre 2016 : https://www.journaldugeek.com/2016/12/11/top-10-cyberattaques-2016/
ainsi que l’article de Brian Krebs :
https://krebsonsecurity.com/2016/10/ddos-on-dyn-impacts-twitter-spotify-reddit/ -
[11]
Voir pages 13-14 de https://www.afnic.fr/medias/Convention_Etat_AFNIC_17072012_def.pdf
-
[12]
“Réseaux IP Européens (RIPE, French for “European IP Networks”) is a forum open to all parties interested in wide area IP networks. The objective of RIPE is to ensure the administrative and technical coordination necessary to enable the operation of the Internet.” (Source : https://www.ripe.net/participate/ripe)
-
[13]
Voir K. Rawlinson, NSA surveillance: Merkel’s phone may have been monitored ‘for over 10 years’, The Guardian, 26 octobre 2013.
- [14]
-
[15]
Voir l’article « Un bug entache le lancement de Tchap, l’application de discussion sécurisée de l’État », 22 avril 2019. [En ligne] (consulté le 6 février 2020) Disponible à l’adresse : https://www.lemonde.fr/pixels/article/2019/04/22/un-bug-entache-le-lancement-de-tchap-l-application-de-discussion-securisee-de-l-etat_5453428_4408996.html
Voir également sur les chasseurs de bugs l’article de J. Lausson, Tchap : une chasse aux bugs se prépare pour la messagerie souveraine de la France , Numerama, 22 avril 2019. [En ligne] (consulté le 6 février 2020) Disponible à l’adresse : https://www.numerama.com/tech/503316-tchap-une-chasse-aux-bugs-se-prepare-pour-la-messagerie-souveraine-de-la-france.html - [16]
- [17]
-
[18]
« 10 conseils pour rester net sur le Net » : https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe
-
[19]
« Les conseils de la CNIL pour un bon mot de passe » : https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe
-
[20]
Voir : « Qu’est-ce qu’un bon mot de passe sur internet ? » : https://www.service-public.fr/particuliers/actualites/A13202
- [21]
- [22]