Depuis quinze ans, Internet se développe à vitesse grand V, et en particulier dans le domaine du web. Désormais, un ménage français sur deux est connecté à Internet (c’est moins que la moyenne européenne) rendant Internet l’une des technologies grand public parmi les plus rapidement démocratisées depuis plus de cent ans. Rares sont les Internautes qui n’ont jamais rien acheté sur Internet et le commerce traditionnel, ainsi que les médias historiques constatent une fuite massive de leurs clients et annonceurs vers Internet, rendant nos économies occidentales de plus en plus dépendances du bon fonctionnement du réseau des réseaux. Pourtant, en 2008, nous avons connus deux failles majeures dans l’infrastructure des réseaux. Il est temps de faire le point sur ces failles et la cybercriminalité.
Faille OpenSSL de Linux Debian
La première des deux failles était celle concernant le générateur de nombres aléatoires de Linux Debian. La conséquence en était que toutes les clés de chiffrement générées sous ce système d’exploitation et utilisées notamment pour accéder aux serveurs web ou effectuer des transactions bancaires sur Internet pouvaient être aisément craquées par un pirate.
En principe, cette faille est corrigée chez l’essentiel des professionnels dans les jours qui ont suivi l’annonce de sa découverte avec les corrections fournies.
Faille DNS
La deuxième faille concernait la quasi-totalité des serveurs DNS responsables de faire le lien entre le nom de domaine affiché dans la barre d’adresses de votre navigateur ou dans l’adresse d’un email avec l’adresse IP (une adresse numérique) du serveur hébergeant ce site. La faille permettait à un pirate de falsifier le lien entre le nom de domaine et l’adresse IP. Concrètement, si votre fournisseur d’accès à Internet (FAI) ou votre entreprise souffrent de cette faille, lorsque vous accéderez au site de votre banque, à votre site d’information favori ou à votre agence de voyage habituelle, vous n’aurez aucun moyen de savoir s’il s’agit du site web légitime ou d’un faux.
En principe, tous les professionnels du web ont mis à jour leurs serveurs DNS de sorte que la faille ne doit pas avoir d’impact sur notre navigation, du moins en principe. Les utilisateurs peuvent aussi exploiter d’autres services de DNS, comme ceux d’OpenDNS dont les DNS n’étaient pas vulnérable à cette faille.
Cependant, depuis plusieurs jours et en particulier depuis plusieurs heures, vers minuit, le FAI français Free semble souffrir de difficultés à faire fonctionner ses DNS, de sorte que ses clients sont de fait coupés d’Internet. On ignore pour l’instant l’origine de ces difficultés, à savoir s’il s’agit de problèmes techniques en rapport ou sans rapport avec la faille DNS dont le code a été très récemment publié sur Internet, rendant le travail des pirates d’autant plus facile.
Mais que fait la police ?
Comprenons-nous bien : si les failles existent, ce n’est en rien délibéré et celles-ci sont corrigées aussi rapidement que cela est humainement et économiquement possible. Il faut savoir et admettre que tous les logiciels ont des bugs, quelle que soit la qualité des équipes de développement ou d’assurance qualité, et que la correction de ces bugs est en principe prévue dans la phase de maintenance des logiciels. C’est aussi la raison pour laquelle il faut régulièrement mettre à jour ses logiciels et d’utiliser des logiciels de protection aux menaces connues ou supposées rendant le piratage du système d’information plus difficile.
Cependant, il est criminel d’exploiter ces failles pour s’introduire sans autorisation dans un système d’information (comme le réseau de votre entreprise ou votre ordinateur personnel) et en particulier lorsque cette intrusion s’accompagne de la modification des données qui s’y trouvent.
Le problème est que les moyens policiers sont moindres en comparaison du phénomène de piratage massif actuel. Aux Etats-Unis, par exemple, le FBI a récemment identifié un million d’ordinateurs zombies connectés à Internet, à savoir un million d’ordinateurs privés et publics contrôlés par des pirates, souvent à l’insu de leurs utilisateurs. Or, chacun de ces ordinateurs zombies est exploité à son tour pour réaliser des méfaits sur Internet, autant envoyer du spam en masse que de pirater d’autres ordinateurs, serveurs et réseaux, ou encore participer à diverses escroqueries ou extorsions les plus diverses. La France à elle seule abriterait sur son territoire 6 % des ordinateurs zombies dans le monde.
Compte tenu du fait que ces réseaux d’ordinateurs zombies sont notamment opérés depuis l’étranger, il est difficile aux forces de l’ordre civiles et à la justice de digérer une masse de travail aussi colossale.
Un travail pour l’armée ?
Mais quand on constate que plusieurs milliers ou plusieurs millions d’ordinateurs d’un pays sont pris d’assaut depuis l’étranger, l’armée n’est-elle pas la plus à même pour résoudre les problèmes liés à la cybercriminalité internationale ? Sans doute que non, car la criminalité, cyber ou pas, reste une affaire civile.
En revanche, compte tenu de l’ampleur des dégâts que peut provoquer une cyber-attaque militaire ou terroriste via Internet, incluant le blocage de tous les accès Internet d’une région, d’un pays, voire d’un continent, on peut se poser des questions quant à la priorité donnée par les gouvernements à la lutte contre la cyber-criminalité, le cyber-terrorisme ou encore la cyber-guerre, les trois étant souvent liés et exploitant les mêmes mécanismes.
Aux Etats-Unis, le FBI a donc commencé par l’identification des victimes de piratage en comptabilisant les ordinateurs zombies ; l’armée a; quant à elle; créé l’Air Force Cyber Command, chargée de défendre et d’attaquer (!) les cyber-infrastructures. Ne croyez pas que la cyber-guerre est une fiction. En 2007, l’Estonie a en effet subi des cyber-attaques d’ampleur militaire contre des cibles gouvernementales, attaques derrière lesquelles on soupçonne la Russie. Toujours en 2007, les Etats-Unis soupçonnent la Chine d’avoir piraté le Pentagone, alors que la France subit elle aussi des cyber-attaques de la part du même agresseur.
Lutte contre la cybercriminalité en France
Quant à la France ? Elle souffre d’un sérieux retard, comme le fait remarquer le Sénat. Comme j’ai pu le remarquer plus tôt cette année, la France est incompétente en matière de cyber-criminalité. Le récent Livre blanc sur la défense et de la sécurité nationale laisse entrevoir une augmentation des effectifs et une collaboration internationale. En réalité, il semblerait que ces moyens soient dérisoires :
La plate-forme de « signalement et de veille » installé à la direction centrale de la police judiciaire de Nanterre est un pilier majeur de ce dispositif. Composée de 8 policiers et gendarmes, la cellule travaille sur la base de signalements d’internautes leur renvoyant des informations sur des sites pédopornographiques ou xénophobes.
Le service a traité, en 2007, plus de 14.000 plaintes dont une partie a été orientée vers les services d’enquêtes français et une autre vers les services internationaux d’Interpol.
Cela fait une moyenne d’une plainte traitée par heure et par policier et gendarme. Or, la pédopornographie et la xénophobie ne sont pas, et heureusement, de très loin, les actes de cybercriminalité les plus communs. Bref, vous l’aurez compris, quand un e-commerçant ou un spécialiste du Net français subissent une agression sur Internet, ils ne peuvent compter que sur leurs propres moyens pour se défendre. Pas très rassurant pour l’économie…
Crédit photo : Lance Kidwell
« vous n’aurez aucun moyen de savoir s’il s’agit du site web légitime ou d’un faux. »
C’est le but des certificats et des autorités de certification. Et même si le certificat est auto-signé, si tu as déjà été visité le site, un navigateur digne de ce nom te préviendra du changement, ce qui devrait t’inciter à te méfier. Malheureusement, on est tellement habitué à cliquer sur « Accepter le certificat » même quand on est prévenu qu’il n’est pas signé, et à ne pas vérifier, qu’au final pour l’utilisateur lambda ça ne servira à rien.
« la faille DNS dont le code a été très récemment publié sur Internet »
Ce n’est bien sur pas le code de la faille qui a été publié récemment (car bon, les serveurs DNS majoritairement utilisés étant open sources, on l’avait déjà), mais le code de l’exploit.
Enfin, par rapport à la lutte contre la cyber-criminalité, le problème est que les solutions qui sont vues par les autorités afin d’éviter ces actes, de la publication de photographies pédophiles ou (et c’est surtout ce à quoi elles pensent au vu des lobbies) des téléchargements illégaux, va résulter à un flicage systématique des internautes (au niveau des FAI qui useront probablement d’outils insérés directement dans les box très répandues actuellement).
À mon avis, pour se protéger contre la cyber-criminalité il faut que les mainteneurs de sites et autres services Internet soient tout simplement compétents, les lois ne serviront à rien, à part restreindre les libertés des utilisateurs, car les « cyber-pirates » auront toujours la possibilité d’effectuer leurs actes.
Des failles, il y en aura toujours. L’exploitation de ces failles seront tout autant possibles.
En effet, Romain, les autorités de certification sont là pour certifier l’identité des signataires d’un certificat. Cependant, la quasi-totalité des sites web n’a pas de certificat. De plus, si tu peux tromper le navigateur web quant à l’adresse IP d’un site web, et craquer les clés de chiffrement, tu peux usurper l’identité complète du site, certificat y compris, même si cela nécessite plus de temps. De plus, comme tu le notes, l’essentiel d’entre nous accepte les messages d’avertissement, d’erreur ou autres sans les lire, d’autant que le commun des mortels n’y connaît rien et ne veut pas comprendre.
Pour ce qui est de la faille DNS, tu as raison de me rectifier, ma formulation était quelque peu maladroite, mais je pense que tout le monde, toi le premier, aura compris de quoi il s’agit. ;-)
En matière de cyber-criminalité, j’ai l’impression que l’on commence par la lutte contre la pédopornographie comme toute première étape, car il n’y a aucun lobby qui exigerait des résultats chiffrés, comme c’est le cas notamment du lobby des majors de la musique et du cinéma qui aimeraient mettre sur écoute tous les utilisateurs du web. Pour ma part, je pensais à la lutte contre non pas la contrefaçon d’œuvres artistiques (qui est un problème, mais que l’on essaye de résoudre par des solutions mauvaises et liberticides totalement inadaptées, car exigées par une industrie qui refuse de se remettre en question et tente de préserver un modèle économique qui n’est plus d’actualité par rapport aux modes de consommation d’aujourd’hui, mais passons…) J’espérais que le gouvernement français et les gouvernements des pays industrialisés en général, suivis de près par les pays en voie de développement, sachent mettre en place rapidement des solutions contre le piratage criminel de bandes organisées qui monnayent la location de réseaux composés de milliers ou dizaines de milliers d’ordinateurs zombies pour mener leurs attaques les plus diverses, des escroqueries à grande échelle et autres actes malveillants qui touchent cyber-commerçants et cyber-clients au quotidien.
Je ne te rejoins pas à l’idée que c’est aux webmasters de faire la police. Ce n’est pas aux commerçants de faire la police dans la rue, alors je ne vois pas en quoi les webmasters devraient prendre ce rôle. Certes, il faut mettre des barrières de sécurité, mais je vois difficilement comment on peut protéger une boutique électronique hébergée sur un ou plusieurs serveurs contre une attaque de plusieurs dizaines de milliers d’ordinateurs zombies. Or, la cyber-mafia s’organise et de nombreux commerçants sont victimes de malveillances et autres crimes qui restent impunis.
Ping : Première cyberguerre de l'Histoire ?