Oubliez le hameçonnage qui menace les mots de passe de vos comptes bancaires. La menace qui pèse le plus sur la sécurité d'Internet est liée aux faiblesses intrinsèques de ses protocoles.
Même les internautes occasionnels savent rester vigilants face aux menaces de sécurité sur Internet. Leurs ordinateurs sont probablement équipés de logiciels antivirus et de pare-feux de dernière génération. Ils n'ouvrent pas les pièces jointes non sollicitées et choisissent soigneusement les sites web qu'ils fréquentent. Certains d'entre eux ont peut-être déjà entendu parler des attaques par déni de service, par lesquelles des hackers malveillants tentent de désactiver les serveurs d'une entreprise en les bombardant de requêtes émises depuis des milliers d'ordinateurs. Ils savent probablement aussi éviter le piège du hameçonnage (phishing), qui consiste à attirer les utilisateurs, via des liens hypertexte, vers des sites factices d'apparence parfaitement légitime, tels que ceux d'établissements bancaires ou de carte de crédit, pour tenter d'en dérober les mots de passe et accéder aux informations des comptes.
Ce qu'ils ne réalisent pas forcément, en revanche, c'est qu'Internet est vulnérable à des degrés de fraude bien plus élevés encore, car ce sont les failles de sécurité fondamentales des protocoles réseau eux-mêmes qui sont exploitées. Ces attaques, souvent dites de « pharming », sont quasiment imparables et indétectables par les individus. Elles représentent une menace croissante pour la sécurité des personnes, des entreprises et des pays, et doivent de toute urgence être prises en compte par le gouvernement fédéral américain.
DNS vulnérables, protocoles défectueux
Le DNS (Domain Name System), par exemple, qui est la version Internet du protocole « 411 information », reste largement non protégé. Lorsque vous saisissez une adresse URL, votre navigateur la convertit en une chaîne de numéros (adresse IP) obtenue en contactant un serveur de noms local généralement géré par votre fournisseur d'accès à Internet. Les adresses IP changent fréquemment et ont une date d'expiration. Si un serveur de noms local reçoit une requête portant sur un nom de DNS ayant expiré, il envoie une demande à d'autres serveurs par voie hiérarchique, en l'identifiant au moyen de deux codes comprenant 16 bits, l'un de ces codes étant relativement prévisible. Le problème est qu'un pirate peut assez aisément établir une correspondance probable avec ces deux codes, en générant un nombre relativement restreint de réponses (par exemple 65 536).
Cette approche permet à un cybercriminel d'obtenir l'adresse IP de la page d'accueil d'une banque, ainsi que sa date d'expiration, puis de remplacer l'adresse valide du serveur de noms local par sa propre adresse, afin de communiquer de fausses informations aux clients. Les clients souhaitant accéder au site de la banque se trouvent alors redirigés sur l'ordinateur du hacker. En supposant que le hacker ait créé une page de connexion imitant parfaitement celle de la banque, les clients ne se rendront pas compte qu'ils entrent leurs informations confidentielles sur une fausse page.
Des failles similaires menacent d'autres protocoles Internet, tels que le BGP (Border Gateway Protocol), qui gère les passerelles d'accès empruntées par les paquets de données sur Internet. Ces attaques menacent également le protocole DHCP (Dynamic Host Configuration Protocol), que les ordinateurs itinérants utilisent pour rechercher des ressources réseau lorsqu'ils se connectent à de nouveaux emplacements. Supposons par exemple que vous soyez assis à la terrasse d'un café et que vous souhaitiez établir une connexion avec un routeur sans fil local. Votre ordinateur portable émet une requête d'identification auprès du serveur, puis est redirigé via le protocole DHCP en fonction de la première réponse reçue. Si un hacker assis à la même terrasse parvient à vous envoyer une réponse avant le routeur du café, votre ordinateur se retrouve connecté au sien. Pour vous, tout semblera normal, mais l'ordinateur du pirate pourra enregistrer toutes vos communications et se connecter à votre insu à des sites à risques.
Les vulnérabilités de ce genre mettent en péril les individus et les institutions commerciales, mais pas seulement. Des services administratifs ou des installations militaires sécurisés peuvent également être menacés par ce biais. Plusieurs cas de modification d'enregistrements et de piratage de données ont d'ailleurs été recensés.
Quelles sont les raisons de cette situation ?
La situation d'insécurité actuelle est en partie due à des causes historiques. Les prédécesseurs des protocoles actuels ont été mis au point il y a 35 ans, à une époque où Internet était un réseau de recherche qui ne nécessitait aucune barrière contre les entités malveillantes. Depuis, Internet s'est ouvert et a connu une croissance explosive, sans pour autant voir sa sécurité renforcée. Les protocoles actuellement en place présupposent que les milliards d'individus et de périphériques connectés au web sont aussi compétents qu'animés d'honnêtes intentions.
Résoudre les faiblesses des protocoles Internet représente un formidable défi. Certaines améliorations sont relativement simples à imaginer, par exemple le passage à des identifiants codés sur plus de 16 bits, ce qui nécessiterait un travail considérable pour appliquer ce système au niveau mondial. Les techniques permettant de certifier l'authentification des messages provenant de tiers valides sont au point, mais leurs performances ne sont pas toujours adaptées à une intégration sur certains routeurs Internet, car elles entraînent un ralentissement du réseau ou nécessitent des investissements dans de nouveaux équipements au coût excessif.
Pour ces raisons comme pour beaucoup d'autres, le PITAC (President's Information Technology Advisory Committee), dont j'ai été membre, a fortement recommandé, dans le cadre de son rapport de février 2005, l'augmentation du budget fédéral américain en faveur de la recherche fondamentale sur la cybercriminalité. Le ministère américain de la sécurité intérieure (DHS) ne consacre aujourd'hui qu'un dixième du pourcent (1 %) de son budget recherche à ce domaine. Par le passé, l'agence de défense DARPA (Defense Advanced Research Projects Agency) finançait plus généreusement ce genre de travaux, mais ses objectifs sont aujourd'hui plus restreints et ses recherches sur la cybercriminalité restent couvertes par le secret défense, ce qui limite la portée des recherches pouvant être conduites dans les universités et neutralise le transfert de technologie au profit du domaine industriel. La fondation NSF (National Science Foundation) étudie également ce problème, de façon là encore limitée. En outre, bien que le secteur prenne le problème très au sérieux, l'inadéquation de certaines incitations financières dissuade les entreprises de développer des solutions à grande échelle de façon plus agressive.
Même lorsque de meilleurs protocoles seront disponibles, convaincre le reste du monde de les adopter restera un défi. Aucune instance centralisée ne réglemente aujourd'hui Internet, et les organismes de normalisation se sont montrés largement incompétents pour faire adopter des spécifications de sécurité adéquates par les parties concernées. En outre, la situation est rendue encore plus complexe par le fait que les gouvernements de chaque pays n'ont pas tous la même conception de la sécurité d'Internet et que de nombreux acteurs décisifs du web protestent contre toute forme d'intervention législative dans ce domaine.
Ce qui est indéniable, c'est que la cybercriminalité nécessite une attention à la fois immédiate et soutenue. Comme le note le rapport de la PITAC, « l'infrastructure des technologies de l'information aux États-Unis (...) présente une vulnérabilité face aux attaques d'origine terroriste et criminelle. Il est impératif que nous entreprenions les actions nécessaires avant que la situation n'empire et que le coût de l'inaction ne devienne encore plus conséquent ».
Lisez l'intégralité de l'article sur le site ScientificAmerican.com
