211service.com
La fissure apparemment irréparable dans l'épine dorsale d'Internet
Il est d'une facilité troublante d'attaquer l'épine dorsale d'Internet pour bloquer l'accès à un service en ligne majeur comme YouTube, ou pour intercepter des communications en ligne à grande échelle.
Par exemple, des chercheurs en sécurité tentent d'inciter leur industrie à remédier aux faiblesses de longue date du protocole qui détermine comment acheminer les données sur les différents réseaux qui composent Internet. Presque toute l'infrastructure exécutant ce protocole n'utilise même pas une technologie de sécurité de base qui rendrait beaucoup plus difficile le blocage ou l'interception des données.
La technologie est disponible - le problème est que nous ne l'utilisons pas, a déclaré Wim Remes, responsable des services stratégiques de la société de sécurité Rapid7, lors d'une conférence au Conférence sur la sécurité Black Hat à Las Vegas mercredi. La probabilité de ces attaques est limitée, mais l'impact une fois qu'elles se produisent est énorme.
La faiblesse réside dans le protocole de passerelle frontalière, ou BGP. Les grands routeurs exploités par les fournisseurs de services Internet et les grandes entreprises utilisent BGP pour comprendre comment obtenir des données entre différents endroits. Chacun de ces principaux routeurs se tourne vers d'autres routeurs comme lui, ceux exploités par d'autres sociétés, pour obtenir les informations dont il a besoin pour acheminer le plus efficacement possible les données vers sa destination. Les entreprises qui exploitent les routeurs choisissent manuellement les autres routeurs auxquels elles feront confiance.
Malheureusement, BGP n'a pas de mécanismes de sécurité intégrés qui permettent aux routeurs de vérifier les informations qu'ils reçoivent ou l'identité des routeurs qui les fournissent. De très mauvaises choses peuvent se produire lorsque les routeurs diffusent des informations incorrectes sur la façon d'acheminer les données, intentionnellement ou non.
Ce problème est connu depuis des décennies. C'était la base de l'affirmation du groupe de piratage L0pht en 1998 devant le Congrès selon laquelle ils pouvaient supprimer Internet en 30 minutes. Mais les incidents qui ont mis en lumière les failles de BGP ont poussé certaines sociétés de sécurité à le prendre plus au sérieux.
En 2013, la société de sécurité Renesys a observé plusieurs cas où le trafic Web américain était inexplicablement détourné via la Biélorussie et l'Islande , dans ce qui aurait pu être une attaque d'homme du milieu conçue pour intercepter secrètement des données. En juin de cette année, un FAI malaisien a mal configuré ses routeurs et a fait converger le trafic du monde entier sur son réseau, entraînant des heures de pannes ou des performances médiocres pour des services tels que Snapchat, Skype et Google. Artyom Gavrichenkov, chercheur de la société de sécurité Qrateur , a montré à Black Hat comment BGP pouvait être manipulé pour obtenir un certificat de sécurité au nom d'un site Web particulier sans autorisation, permettant de se faire passer pour lui et de déchiffrer le trafic sécurisé.
Remes de Rapid7 affirme que les entreprises qui gèrent une infrastructure BGP ne prennent pas suffisamment au sérieux les risques de tels problèmes. Une technologie appelée RPKI peut être utilisée pour donner aux routeurs un moyen de vérifier que les informations qu'ils reçoivent des autres sont valides. Mais seuls 16 des sites les plus consultés au monde l'ont mis en œuvre, et Facebook est le seul site du top 10 à l'avoir fait, a-t-il déclaré.
Andree Toonk, responsable de l'ingénierie réseau chez OpenDNS, une société de sécurité récemment acquise par Cisco Systems, affirme que même une large adoption de RPKI ne contribuerait qu'à faire face aux dangers du BGP, car il est possible de le contourner. Cela résout 90% du problème, mais ce n'est pas infaillible, a-t-il déclaré.
Dans sa propre conférence à Black Hat jeudi, Toonk a prévu de décrire un système de sondes qu'il a mis en place dans le monde entier pour suivre l'activité des routeurs BGP. OpenDNS va lancer une sorte de système d'alerte publique qui diffusera des changements inquiétants dans les routes de données par Twitter .