Détournement de trafic Internet : une pratique devenue courante

Pourquoi aller espionner des câbles sous-marins alors qu’il est si simple de détourner le trafic Internet ? Pour la société Renesys, ce type d’attaques, exploitant une faille connue d’un des protocoles majeurs d’Internet, est devenu très courant. Exemples à l’appui.

En 2008, lors d’une manifestation spécialisée dans la sécurité (DefCon), deux chercheurs en sécurité mettaient au jour une faille dans un des protocoles de routage d’Internet, le BGP (Border Gateway Protocol). Une faille si massive qu’elle permettait de détourner des volumes de trafic Internet considérables, sans que les victimes en soient conscientes ; après détournement, le trafic pouvant être finalement acheminé à son destinataire légitime après avoir été copié ou modifié.

Selon Renesys, société spécialisé dans le monitoring des réseaux, ce scénario, dont la faisabilité était hier démontrée, est aujourd’hui une réalité quotidienne. Cette attaque de type « man-in-the-middle » permet à un assaillant de venir s’insérer dans une chaîne de communication et de copier les données qui transitent, pour en extraire des informations sensibles ou monnayables (numéros de cartes de crédit).

Denver-Denver… en passant par l’Islande

Dans son billet de blog sur le sujet, Renesys parle d’assaillants travaillant pour plusieurs Etats. Et de victimes situées dans 150 villes dans le monde, pour la majorité d’entre elles aux Etats-Unis. Les cibles seraient variées : institutions financières, fournisseurs de service de VoIP, gouvernements… Et Renesys de donner des détails.

Renesys

La firme explique en effet avoir la preuve que des paquets IP destinés à des agences gouvernementales, à des entreprises et à d’autres destinataires ont été détournés vers l’Islande et la Biélorussie avant d’arriver à leur destination prévue. Un manège qui a duré plusieurs mois, selon Renesys qui a dénombré 38 détournements portant sur 1 500 blocs d’adresses IP. Des détournements qui, pour certains, n’ont duré que quelques minutes et, pour d’autres, se sont étendus sur des jours entiers. Renesys pointe le rôle joué par deux FAI, le biélorusse GlobalOneBel et l’islandais Síminn.

Contacté par les équipes de Renesys, ce dernier n’a, dans un premier temps, pas donné de réponse avant d’évoquer, dans un second temps, un bogue logiciel aujourd’hui corrigé. Une hypothèse peu réaliste, note Renesys. Difficile en effet d’imaginer qu’un caprice logiciel dans un routeur puisse entraîner de subtiles opérations de détournement de trafic, se produisant à de multiples reprises sur plusieurs semaines et frappant des cibles variées. Ce qui ne signifie pas pour autant que les deux fournisseurs de services soient directement à l’origine des attaques, leurs infrastructures ayant pu être piratées par les réels assaillants afin de masquer leur identité.

« Des attaques qui ne devraient plus se produire »

« Le mécanisme exact de l’attaque, les motivations et les acteurs restent inconnus », reconnaît Renesys. Qui précise que les détournements biélorusse et islandaise ne sont que deux exemples d’une série plus large d’attaques de ce type. « Ce type d’attaques ne devrait plus se produire, écrit Renesys. On ne peut pas mettre en place ce type de détournement sans laisser des traces permanentes et visibles dans le routage, traces qui mènent tout droit au point d’interception. Nous pensons que des personnes continuent à mener ce type d’opérations parce qu’elles pensent (à raison, très souvent) que personne ne regarde. »


Voir aussi

Silicon.fr étend son site dédié à l’emploi IT
Silicon.fr en direct sur les smartphones et tablettes