Sonder l'ensemble de l'Internet pour les points faibles

Lorsqu'une faille majeure dans le cryptage qui sécurise les sites Web a été révélée en mars dernier, Zakir Durumérique , chercheur à l'Université du Michigan, a été la première personne à savoir à quel point c'était grave. En effectuant une analyse de chaque appareil sur Internet, il a réalisé son plein potentiel avant même que les chercheurs qui avaient identifié la faille, connue sous le nom de FREAK .





Il y avait des questions quant à la bonne façon de répondre avant de faire l'analyse, dit Durumer.

L'analyse a montré que plus de cinq millions de sites étaient touchés, y compris ceux exploités par le FBI, Apple et Google. Le bouton J'aime de Facebook, présent sur de nombreux sites populaires, était également vulnérable. Les résultats ont incité un effort urgent et prudent pour informer les entreprises et organisations clés avant que le problème ne soit annoncé publiquement.

La faille FREAK permet à un attaquant de rompre une connexion sécurisée entre un navigateur Web et un site vulnérable, en accédant aux données chiffrées envoyées entre les deux. L'attaque fonctionne en forçant un site à se replier sur une forme de cryptage faible imposée par le gouvernement américain dans les années 1990.



Durumer dirige une équipe de chercheurs de l'Université du Michigan qui a développé un logiciel de numérisation appelé ZMap . Cet outil peut sonder l'ensemble de l'Internet public en moins d'une heure, révélant des informations sur les quelque quatre milliards d'appareils en ligne. Les résultats de l'analyse peuvent montrer quels sites sont vulnérables à des failles de sécurité particulières. Dans le cas de FREAK, une analyse a été utilisée pour mesurer l'ampleur de la menace avant que le bogue ne soit annoncé publiquement.

L'équipe ZMap a été contactée par Matthieu Vert , professeur assistant à l'Université Johns Hopkins qui avait été alerté sur FREAK par ses découvreurs, une équipe de chercheurs de Microsoft, de l'Institut français de recherche en informatique et en automatique et de l'IMDEA Software Institute de Madrid.

Green dit que les résultats de l'analyse l'ont aidé à décider qui devait être prévenu, garantissant que l'annonce ne laisserait pas de larges pans d'Internet en danger. Nous n'avons pas eu de très bonnes données comme celle-ci auparavant, dit Green. Vous pouvez savoir exactement qui est brisé et dire aux gens à quel point quelque chose est grave. C'est quand Zakir a fait ce scan que j'ai su que c'était mauvais.

Durumer et ses collègues ont développé ZMap fin 2013. Avant cela, le logiciel utilisé pour scanner Internet prenait des semaines ou des mois pour terminer le travail. Les outils existants étaient mille fois trop lents, dit Durumer.

Le premier projet de grande envergure pour ZMap consistait à suivre l'impact du bogue Heartbleed, une faille dans un logiciel de cryptage Web largement utilisé découverte en avril 2014 (voir De nombreux appareils ne seront jamais corrigés pour réparer Heartbleed ). Les chercheurs ont scanné régulièrement les systèmes vulnérables au bogue, et publié un site répertoriant les sites Web non corrigés les plus populaires ainsi que des informations sur la façon de résoudre le problème.

Durumer affirme que cet effort a aidé les entreprises à réparer leurs systèmes. Le groupe a même envoyé des e-mails automatisés informant les entreprises qu'elles disposaient d'une infrastructure vulnérable et leur a proposé des conseils sur ce qu'elles devaient faire. Des expériences contrôlées ont montré que les notifications faisaient une différence mesurable, dit Michel Bailey , professeur à l'Université de l'Illinois à Urbana-Champaign qui travaille également sur le projet.

L'équipe prévoit de publier prochainement des notifications similaires pour FREAK. Il utilise également des analyses pour suivre le temps qu'il faut pour que FREAK et les défauts majeurs similaires soient nettoyés. Près d'un an après la divulgation de Heartbleed, dit Durumer, environ 1% du million de sites Web les plus importants y sont toujours vulnérables.

L'une des raisons pour lesquelles les bogues bien connus persistent est que les entreprises ne réalisent pas l'étendue du problème, dit HD Moore , directeur de recherche dans une société de sécurité Rapide7 . Moore utilise ZMap pour ses propres scans. La plupart des entreprises ignorent totalement qu'au moins 10 % de leurs actifs se trouvent sur l'Internet public, dit-il. Les analyses ZMap peuvent aider les entreprises à trouver des infrastructures vulnérables.

Moore a commencé à scanner Internet à l'aide d'un logiciel de sa propre conception en 2012 (voir What Happened When One Man Pinged the Whole Internet ). Il dirige maintenant plus projet de numérisation formelle chez Rapid7 , en utilisant ZMap ainsi que des outils développés en interne.

Green dit que Google a également commencé à effectuer ses propres analyses Internet. Les résultats sont utilisés pour programmer le navigateur Chrome afin qu'il se connecte avec plus de prudence aux sites qui présentent des risques potentiels pour la sécurité, dit-il.

Cependant, des outils comme ZMap ne peuvent pas tout trouver. Le logiciel fonctionne en contactant systématiquement toutes les adresses numériques possibles pour les appareils Internet en utilisant le protocole le plus couramment utilisé, appelé IPv4. Cela manque la fraction infime mais croissante des appareils utilisant des adresses sous un système plus récent appelé IPv6, qui a trop d'adresses possibles pour analyser de manière exhaustive. Les analyses de ZMap ne peuvent pas non plus atteindre les réseaux privés, tels que les sites intranet d'entreprise ou les appareils sur les réseaux mobiles.

Pourtant, dit Green, ZMap et d'autres logiciels de numérisation fournissent une image indispensable, bien que parfois sombre, de l'état de l'infrastructure Internet. Nous nous améliorons tout le temps, mais d'un très mauvais endroit, dit-il.

cacher