Conseil des technologies de l'information
--> Lire le rapport intégral (format PDF 4,6Mo)
Rapport
présenté par
Pierre FRITZ, Ingénieur général
Avec la participation de
Pierre-Yves SCHWARTZ et Bernard PRUNEL, Ingénieurs généraux
Rapport N° 1-4.1-2002 JANVIER 2003
Rapport n° 1-4.1 - 2002 Janvier 2003
Rapporteurs :
P. FRITZ, P. Y. SCHWARTZ, B. PRUNEL, Ingénieurs Généraux
Les risques présentés par le réseau Internet
L'insécurite de
l'lnternet est bien connue des utilisateurs. Les installations informatiques
connectées à l'lnternet sont exposées à I'intrusion
et aux attaques par saturation (DDoS). Les conséquences de ces attaques
peuvent se limiter à une simple indisponibilité temporaire de
la connexion à l'lnternet; elles peuvent aller jusqu'au saccage complet
ou au vol des données conservées dans I'installation, ou encore
a la prise de contrôle total, qui permet notamment de monter des attaques
de masse. La resistance a I'intrusion est theoriquement I'affaire de I'utilisateur,
dont la gestion prudente et attentive peut sinon exclure, du moins rendre les
intrusions peu probables et peu durables. En revanche, I'utilisateur est tres
desarme devant les attaques par saturation, dont I'extinction releve des operateurs.
L'etat actuel de I'lnternet ne fournit pas aux operateurs une identification
ftable de la source des paquets. Faute de cette identification, une recherche
laborieuse est necessaire pour remonter aux sources de I'attaque par saturation
et I'interrompre. La collaboration des utilisateurs. (jux-memes est necessaire
pour prevenir ou endiguer les attaques de tres grande envergur€, menees
par Ie relais involontaire d'utilisateurs negligents ; la multiplication. des
ordinateurs connectes en permanence a haul debit accroitra encore ce risque.
La sécurité de l'Internet est l'affaire de tous... hélas
En l'état actuel de l'Internet, les échanges d'information nécessaires au fonctionnement du réseau sont effectués sans précaution excessive sur I'lnternet lui-même, donc avec les memes risques qu'encourent les utilisateurs normaux. Outre cette vulnérabilité générale, il existe un risque - mal cerné actuellement - lié au mécanisme de routage adaptatif qui régit l'lnternet.
Les échanges et équipements vulnérables sont :
Les données dispensées par les DNS racine sont relativement stables
dans Ie temps et peu volumineuses. Des copies en existent chez tous les opérateurs
ou utilisateurs importants. On peut donc estimer qu'une indisponibilité
même relativement prolongée des DNS racine ne provoquerait pas
un effondrement durable du trafic; surtout si, à la suite d'attaques
répétées, les utilisateurs ont systematisé la gestion
des copies.
De la même façon, on peut penser que des attaques d'envergure, comparables à celle de Code Red II, mais plus rapides, dépourvues d'autolimitation, et dirigées expressément contre I'lnternet, finiraient par être jugulées par les opérateurs travaillant en catastrophe. La bonne coordination des opérateurs sera indispensable pour des opérations de ce type.
On peut donc raisonnablement exclure un arrêt total de l'lnternet, et s'attendre àce que les désordres importants ne persistent pas au-delà de 24 ou 48 h. Mais des désordres récurrents ne peuvent être exclus.
II reste Ie cas d'une attaque d'un type totalement inédit, dont I'analyse exigerait un délai supplémentaire avant action.
La vérification des adresses source et I'élimination, au niveau des routeurs péripheriques, des paquets dont I'adresse source est manifestement fausse est une mesure envisagée depuis longtemps; il existe des équipements commercialement disponibles effectuant cette opération; mais I'application généralisée et rétroactive de cette verification souleverait un problème de financement pour les fournisseurs d'accès à Internet..
L'intrusion et la saturation peuvent être combattues en mettant les accès sensibles hors d'atteinte du commun des usagers. Diverses methodes sont concevables; certaines d'entre elles n'impliquent pas I'introduction de normes nouvelles, et ont été ou sont mises en oeuvre ici ou là. Une methode plus radicale consisterait à créer un sous-réseau dédié aux échanges propres à l'lnternet, et d'accès strictement interdit aux usagers normaux. Cette mise hors d'atteinte ne pourrait s'appliquer rétroactivement àtous les routeurs existants.
L'IETF a bien avancé la definition des applications de I'authentification et du cryptage aux données des serveurs de nom et aux échanges de données de routage. (DNSsec, MDS, S-BGP). Ces techniques sont efficaces pour éliminer certaines conséquences des intrusions (falsification astucieuse des données), ou pour empecher certaines formes d'intrusion ; mais elles ne peuvent lutter contre toutes les formes d'intrusion ni contre les attaques par saturation. Elles apparaissent donc comme complémentaires des autres mesures. La mise en ceuvre de ces techniques est onéreuse et laborieuse pour les opérateurs.
L'amélioration du protocole de routage est une préoccupation de I'IETF, mais dont I'aboutissement n'apparaît pas proche. En attendant, Ie suivi attentif par les operateurs des tables de routage et de leurs modifications constitue la seule protection contre des modifications aberrantes dues à quelque négligence ou mauvaise intention d'un acteur.
La résistance de I'lnternet aux attaques des pirates informatiques est I'objet d'une grande attention de la part du gouvernement américain. ("The National Strategy to Secure Cyberspace"). La version actuellement disponible du projet repose exclusivement sur la concertation entre les acteurs ; mais la menace de contrainte fédérale joue peut-être un rôle décisif en arrière plan. Les mesures qui sortiront éventuellement de cette stratégie ont toutes chances de s'imposer aux autres pays industrialisés.
Le choix et la mise en oeuvre des méthodes évoquées relèvent davantage de I'élaboration de règles d'exploitation pour les opérateurs que de normalisation technique. La difficulté réside dans I'aspect financier pour les fournisseurs d'accès à Internet, dont la situation actuelle n'est généralement pas très favorable àI'investissement dans la qualité. Par ailleurs, il n'existe pas actuellement, du moins en Europe, d'autorité ni de mécanisme comme Ie service universel qui permette d'imposer rapidement Ie respect de normes de performance. La "task force de cybersécurité" dont la création est prévue dans Ie cadre de e-Europe semble devoir être un centre d'expertise sans association directe àI'exploitation autre que !'information.
La constitution d'un organe europeen de coordination des opérateurs de l'lnternet, et comportant des représentants des utilisateurs permettrait au moins de poser les problèmes de sécurité relevant de I'exploitation. Par ailleurs, I'organisation formelle de la coopération entre les opérateurs pour la résolution des crises accélérerait la remise en ordre en cas de nécessité.
Les améliorations sur lesquelles se focalise la discussion actuelle conduiraient à une diminution très nette des risques de désordre étendu sur l'lnternet. Certaines d'entre elles (vérification de I'adresse source) autoriseraient de plus une meilleure efficacité de la lutte contre les attaques par saturation (DDoS) dirigées contre les simples usagers. Mais cela ne suffirait pas à faire de l'lnternet un service bien protégé. II devrait donc rester impératif de ne pas confier à l'lnternet des applications cruciales en matière de securité ou même de fonctionnement général de I'économie. Les modifications à faire subir rétroactivement à l'Internet pour Ie rendre apte à jouer ce rôle seraient sans doute excessives. .
Les messageries constituent un service de télécommunications construit en partie au-dessus de I'lnternet. Ce service, distinct de I'lnternet, est très important par son utilité pour les particuliers et les professionnels, mais aussi parce qu'en cas de crise (par ex. Ie 11/09/2001), il constitue un recours pour tous. Un soin particulier devrait donc être accordé à sa résistance aux catastrophes, et pour toutes les variantes répandues (SMS, messageries "instantanées", .. ), ce qui est relativement plus facile que pour les autres services, compte tenu des faibles debits numériques concernés.
I • INTRODUCTION
I .1 - Qu'est-ce que l'lnternet ?
I.2 - Problèmes de sécurité
I.3 - Conséquences sociales et économiques d'une défaillance
étendue d'internet
II • Sécurité
individuelle et collective
II.1 - Vulnérabilité des ordinateurs, géneralités
II.2 - Conséquences générales de ces vulnérabilités
II.3 - Conséquences sur Ie fonctionnement d'internet
III • Risque
de paralysie étendue de l'lnternet àla suite d'attaques de pirates
III.1 - Les attaques visant les Serveurs de Noms « racine» (DNS
racine)
III.2 - Les attaques visant les routeurs
IV· Généralites
sur les attaques par saturation réparties (DDoS), rôle de la falsification
d'adresses d'origine
IV.1 - Fausses adresses
IV.2 - Lutte contre la falsification des adresses, traitement des attaques
IV.3 - Facilités d'exploitation
V • Généralités sur I'intrusion et la lutte
contre I'intrusion
V.1 - Lutte contre I'intrusion;
V.2 - Lutte contre la vulnérabilité et son utilisation pour I'intrusion
VI • Améliorations générales possibles
VI.1 - Mise a I'abri
des accès sensibles
VI.2 • IPV6
VI.3 - Lutte par des moyens légaux
VII • Conséquences sur les DNS racine
VI1.1 - Que faudrait-il faire pour sécuriser les DNS racine ?
VI1.2 - Les Serveurs de noms de domaines Racine sont-ils indispensables au fonctionnement
d'internet ?
VIII • Perturbations
du mecanisme de routage exterieur (BGP4)
IX· Lutte
contre la vulnérabilité de l'lnternet aux USA
X· L'lnternet peut·il s'effondrer de façon durable?
XI • Actions palliatives
XI.1 - Actions relevant de I'exploitation par les opérateurs
XI.2 - Actions par I'intermédiaire des utilisateurs
XI.3 - Actions par I'intermédiaire des fabricants de logiciels et les
fabricants d'ordinateurs
XI.4 - Incidences sur la normalisation
XI.5 - Mise en oeuvre pratique
XII • Conclusion
Faut-il securiser tres fortement l'lnternet ?