Lundi 24/10/2016

Au cours des deux dernières années, quelqu’un a été sondé les défenses des entreprises qui exécutent des tâches critiques d’Internet. Ces sondes prennent la forme d’attaques précisément calibrées destinées à déterminer exactement comment ces entreprises spécifiques peuvent se défendre, et ce qui serait nécessaire pour les faire tomber. Nous ne savons pas qui fait cela, mais il cela semble être un grand État-nation. La Chine ou la Russie seraient mes premières suppositions.

Tout d’abord, un peu de technique. Si vous voulez faire tomber un réseau sur l’Internet, la meilleure façon de le faire est avec une attaque distribuée par déni de service (DDoS). Comme son nom l’indique, ceci est une attaque destinée à empêcher les utilisateurs légitimes d’entrer dans le site. Il y a des subtilités, mais, fondamentalement, cela signifie un tel dynamitage de données sur le site qu’il est débordé. Ces attaques ne sont pas nouvelles : les pirates le font à des sites qu’ils n’aiment pas, et les criminels en ont fait une méthode d’extorsion. Il y a toute une industrie, avec un arsenal de technologies, consacré à la défense DDoS. Mais surtout, il est une question de bande passante. Si l’attaquant a un plus gros tuyau d’incendie d’envoi de données que le défenseur, l’attaquant gagne.

Récemment, quelques-unes des grandes entreprises qui fournissent l’infrastructure de base qui font le travail de l’Internet ont vu une augmentation des attaques DDoS contre eux. De plus, ils ont vu un certain profil d’attaques. Ces attaques sont nettement plus importantes que celles auxquelles ils sont habitués. Elles durent plus longtemps. Elles sont plus sophistiquées. Et elles ressemblent à des sondes. Une semaine, l’attaque commence à un niveau particulier d’attaque, puis croit lentement avant d’arrêter. La semaine suivante, elle commencer à ce point supérieur et continue de monter. Et ainsi de suite, le long de ces lignes, comme si l’attaquant était à la recherche du point exact de l’échec.

Les attaques sont également configurées de manière à découvrir ce que sont les défenses totales d’une société. Il existe de nombreuses façons de lancer une attaque DDoS. Plus des vecteurs d’attaque sont employés simultanément, plus le défenseur doit contrer ces différentes menaces. Ces entreprises voient désormais plus d’attaques utilisant trois ou quatre vecteurs différents. Cela signifie que les entreprises doivent utiliser tout ce qu’elles ont pour se défendre. Elles ne peuvent pas se permettre de ne rien retenir. Elles sont obligées de démontrer leurs capacités de défense à l’attaquant.

Je suis incapable de donner des détails, parce que ces entreprises ont parlé avec moi sous couvert d’anonymat. Mais tout cela est conforme à ce que Verisign rapporte. Verisign est le registraire pour de nombreux domaines d’Internet très populaires, comme .com et .net. Si elle tombe, il y a une panne mondiale de tous les sites et des adresses e-mail dans les domaines de niveau supérieur les plus courants. Chaque trimestre, Verisign publie un rapport de tendance des attaques DDoS. Bien que sa publication n’est pas le niveau de détail que j’ai pu recueillir des entreprises avec lesquelles j’ai parlées, les tendances sont les mêmes : “Au deuxième trimestre 2016, les attaques ont continué à devenir plus fréquentes, persistantes, et complexes.”

Et il y a plus. Une compagnie m’a parlé d’une variété d’attaques par sondes en plus des attaques DDoS : il s’agit de tester la capacité de manipuler des adresses et des routages Internet, de voir combien de temps prend la défense pour y répondre, et ainsi de suite. Quelqu’un a largement testé les capacités défensives de base des sociétés qui fournissent des services Internet critiques.

Qui ferait cela ? Cela ne ressemble pas à quelque chose fait par un activiste, un criminel, ou à ce que ferait un chercheur. Le profilage d’une infrastructure de base est une pratique courante dans l’espionnage et la collecte de renseignements. Il n’est pas normal pour les entreprises de le faire. En outre, la taille et l’échelle de ces sondes – et surtout leur persistance – pointe vers les acteurs étatiques. Cela ressemble au CyberCommand militaire d’une nation qui essaye de calibrer ses armes dans le cadre d’une cyberguerre. Cela me rappelle le programme de la guerre froide des États-Unis qui consistait à faire voler des avions à haute altitude au-dessus de l’Union soviétique pour forcer leurs systèmes de défense aérienne à s’activer, et à cartographier leurs capacités de réaction.

Que pouvons-nous faire à ce sujet ? Rien, vraiment. Nous ne savons pas d’où les attaques proviennent. Les données que j’ai suggère la Chine, et c’est une évaluation partagée par les gens avec qui j’ai discuté. D’autre part, il est possible de dissimuler le pays à l’origine de ces sortes d’attaques. La NSA, qui a plus de capacité de surveillance de la dorsale Internet que tout le monde combiné, a probablement une meilleure idée, mais à moins que les États-Unis décide d’en faire un incident international nous ne saurons pas qui est à l’origine de ces attaques.

Mais cela se passe actuellement. Et les gens doivent le savoir.

Bruce Schneier.