| |
Pour recevoir chaque jour notre lettre d'informations,
n'oubliez pas d'ajouter news@p.opportunites-technos.com à votre carnet d'adresses. |
Initialement publié les 25 et 26 février 2019.
|
 Internet :fin de la confiance internationale
Par Etienne Henri
La Russie prépare un grand test de déconnexion de l'Internet mondial.
Avant le mois d'avril, les fournisseurs d'accès à Internet (FAI) devront se débrancher, pour une durée encore indéterminée, du réseau mondial. Durant cette période, les Russes n'auront plus accès qu'à l'Internet national.
Vu d'Europe, ce type d'exercice semble relever d'une certaine paranoïa anti-occidentale mâtinée de rêves de suprématie patriotique. Pourtant, l'étonnante mesure votée par la Douma relève en vérité d'une question élémentaire de souveraineté qui pourrait inspirer bien des pays. Dont le nôtre...
Internet n'est plus le Far-West
Lorsque nous pensons à Internet, l'image qui vient à l'esprit est celle de ses origines : un espace libertaire où tous les ordinateurs sont connectés, où l'information circule de sa source à sa destination en sautant de point en point sans trajet privilégié, et où toutes les données sont sécurisées et traitées de la même manière.
Tous ces éléments ont, au fil du temps, volé en éclats.
Le réseau Internet, s'il est maillé, a désormais ses autoroutes, ses nationales, et ses départementales. Entre les grands axes se situent des nœuds de connexion qui voient passer la quasi-totalité du trafic.
Dans les années 1990, les technophiles hésitaient à croire en l'existence du programme Echelon, chargé pour la NSA de surveiller la plus grande part des données transitant sur Internet. La tâche semblait incroyablement coûteuse, techniquement ardue et d'un intérêt contestable.
Aujourd'hui, les Etats ne se cachent plus pour aspirer le maximum de données. L'État français, par exemple, a installé des boîtes noires chez tous les FAI pour surveiller ce qui lui plaît.
La neutralité du Net, si elle survit encore tant bien que mal en Europe, n'a plus cours depuis l'année dernière aux Etats-Unis. Désormais, les octets ne sont pas tous égaux et le trafic peut être aiguillé par les opérateurs en fonction de sa provenance et des intérêts économiques du moment.
Ces évolutions ont été relativement bien couvertes par les médias, et le grand public est globalement au courant qu'Internet n'est plus un espace de liberté totale à l'abri des yeux des gouvernements. Ce que les internautes savent moins, en revanche, c'est qu'un maillon essentiel d'Internet est, depuis la naissance du réseau mondial, extrêmement centralisé et vulnérable.
Les DNS : un rouage aussi central que méconnu
Les serveurs DNS sont chargés de faire la traduction entre les adresses que vous entrez dans votre navigateur (par exemple : google.com) et l'adresse informatique de l'ordinateur qui recevra votre requête.
Autant dire que la confiance dans les serveurs DNS est primordiale. Un DNS qui redirigerait ses utilisateurs vers des sites piratés ferait des ravages considérables. Imaginez un instant le scénario suivant :
"Un soir, vous vous connectez au site de votre banque pour faire un virement à votre enfant, étudiant loin du domicile familial. Internaute averti, vous tapez scrupuleusement le nom de votre banque dans la barre du navigateur. Vous vérifiez la présence d'une connexion HTTPS et d'un cadenas sécurisé avant d'entrer votre code (à usage unique), et vous faites votre virement. Le lendemain, vous vous connectez de nouveau... Et réalisez que, non seulement le virement n'est pas arrivé à bon port mais votre compte bancaire a également été vidé."
Ce scénario noir peut tout à fait avoir lieu si le serveur DNS de votre fournisseur d'accès a été piraté. Vous vous êtes, sans le savoir, connecté à un ordinateur qui n'était pas celui de votre banque mais qui imitait son comportement. L'organisme de gestion des certificats de sécurité, en charge de la validation de la connexion sécurisée HTTPS, n'était pas non plus celui que vous utilisez habituellement mais un clone administré par les mêmes pirates.
C'est d'ailleurs ce qui est en train de se passer, comme l'a révélé l'ICANN et Mounir Mahjoubi hier dans un tweet.
Pas besoin pour les cybercriminels de dupliquer l'ensemble d'Internet : il leur suffit de rediriger le trafic ciblé vers leurs serveurs et de laisser le reste transiter vers l'Internet réel. Ces attaques sont imparables, indétectables et d'une efficacité redoutable.
Si ce problème ne touchait que les particuliers et les entreprises, il relèverait de la cybersécurité privée et n'intéresserait que peu les Etats, qui s'en préoccuperaient éventuellement pour de banales questions de maintien de l'ordre dans la société civile.
Or, décliné à l'échelle d'un pays, un piratage de DNS peut vite devenir une question de sécurité nationale.
Internet : un nouveau besoin vital
Aucune économie, sauf peut-être celle de la Corée du Nord, ne peut aujourd'hui fonctionner sans Internet. Même les pays aux velléités les plus autarciques, comme la Russie et la Chine, ne font pas exception à la règle.
Entreprises et citoyens utilisent Internet au quotidien. Les échanges commerciaux se font par e-mail ; les communications entre personnes se font par messagerie instantanée et appels vocaux (qui passent désormais par Internet) ; les échanges avec les administrations sont de plus en plus dématérialisés ; et les réseaux bancaires ont besoin de télécommunications rapides et robustes.
Toutes ces activités sont conditionnées, vous l'avez compris, par l'existence de DNS fiables et de confiance.
Pourtant, aussi paradoxal que cela puisse paraître, Etats et fournisseurs d'accès n'ont aujourd'hui que peu de moyens de s'assurer de l'intégrité des serveurs DNS que leurs administrés utilisent.
L'incroyable centralisation des serveurs DNS
Si Internet est censé être un réseau décentralisé, ce n'est pas le cas des DNS. Il existe, pour des raisons historiques, seulement 13 DNS de premier niveau nécessaires à l'utilisation d'Internet.
Ces 13 serveurs centraux sont chargés de répartir les requêtes selon le domaine de l'adresse Internet demandée (.com, .org, .net, .fr, etc.) et ont pour particularité de faire figure d'autorité, c'est-à-dire qu'ils ne dépendent d'aucun autre serveur pour répondre aux demandes qui leurs sont faites.
Les centaines de serveurs DNS qui parsèment la planète dépendent, sans exception, de ces serveurs centraux pour leur bon fonctionnement.
Or, sur ces 13 serveurs de premier niveau, 10 sont américains, 2 européens, et 1 japonais. En plus d'être des cibles idéales pour des piratages massifs et d'ampleur mondiale, ces serveurs sont aussi soumis au bon vouloir de leurs administrations respectives.
Que faire si les Etats-Unis "débranchent le câble" ?
La question qui taraude la Russie, et probablement l'ensemble des gouvernements, n'est pas tant de couper l'accès des citoyens à l'Internet mondial que de maintenir la connectivité en cas de bouleversements majeurs. Elle aurait d'ailleurs prévu dès 2017, selon Slashdot, d'offrir l'accès à ce futur réseau de secours au Brésil, à l'Inde, à la Chine et l'Afrique du Sud, preuve que l'objectif est plus de maintenir les communications et les échanges économiques en cas de conflit que de s'enfermer sur un Internet censuré — même si les deux ne sont pas incompatibles.
Les Etats-Unis ont, de par l'architecture-même du réseau des réseaux, la main sur le bouton rouge et peuvent couper instantanément 76% des DNS de premier niveau, entraînant des embouteillages numériques monstrueux, voire un black-out. De nombreux Etats, dont la France, travaillent depuis des années au développement d'une cyber-bombe-H capable de couper l'accès à Internet d'un pays donné... mais nul ne sait aujourd'hui s'ils en ont, eux, la capacité.
Alors que tout le monde cherche à pouvoir déconnecter tout le monde, maintenir une connectivité au moins nationale en cas de conflit est une décision frappée du coin du bon sens.
Nous trouverions inacceptable de ne plus pouvoir accéder au site de notre banque en ligne, dont le nom finit probablement par .com, parce que les Etats-Unis sont entrés en conflit avec la Chine ou la Russie et que la France est un dommage collatéral. Il serait également impensable que, souhaitant nous connecter au site d'une administration française, notre trafic soit redirigé vers un serveur américain parce que l'administration Trump a, sur un coup de tête, décidé que la France est un pays ennemi et mérite des sanctions numériques.
La seule solution pour s'immuniser contre ce risque serait d'avoir la certitude de pouvoir basculer, en cas de nécessité, de l'Internet mondial vers un Intranet national le temps de résoudre le conflit. S'affranchir des serveurs DNS américains est, pour y parvenir, un premier pas nécessaire.
L'Europe pourrait, sur ce sujet, s'inspirer de la Russie pour s'assurer que d'éventuelles mauvaises dispositions de l'oncle Sam à notre égard ne mettent pas notre économie à terre en quelques clics.
|
| Oracle vient de publier une étude où elle présente l’Internet chinois comme un immense intranet, en capacité de se couper du reste du monde sans rencontrer de problèmes techniques. L’entreprise estime que c’est le meilleur dispositif pour se protéger et assurer la sécurité de ses données. La multiplication des cyberattaques devrait nous pousser à prendre des mesures équivalentes, ne serait-ce qu’au niveau européen.. |
|
|
/https%3A%2F%2Fmail.google.com%2Fmail%2Fu%2F0%2Fimages%2Fcleardot.gif)
/https%3A%2F%2Fstorage.canalblog.com%2F20%2F80%2F487000%2F133403152_o.jpg)
/https%3A%2F%2Fstorage.canalblog.com%2F80%2F44%2F487000%2F133275283_o.jpg)
/https%3A%2F%2Fstorage.canalblog.com%2F11%2F39%2F487000%2F133275182_o.jpg)