A ce sujet, on parle d’usurpation d’adresse IP…
L’adresse IP, qui permet aux appareils du réseau de se « reconnaître » mutuellement, est souvent assignée par le fournisseur d’accès à la box qui relie les PC à Internet. Or, cette box est faillible. Elle peut être victime d’une prise de contrôle à travers une attaque de ver, virus, etc. Elle peut alors faire partie d’un botnet [un réseau de box, dans ce cas, contrôlé à distance par des cybercriminels, ndlr] utilisé à des fins criminelles sans que l’abonné s’en rende compte. Sécuriser le PC sans sécuriser la box ne suffit pas, donc. Or, si l’utilisateur peut gérer les options de configuration de sa box il ne peut pas ajouter de couche de sécurité. C’est la même chose avec le piratage du réseau wifi qui offre un accès privilégié à la box elle-même. Le FAI aura l’adresse IP de la box mais pas l’identité de utilisateur réel qui l’utilise. Quels sont les risques?
Outre le fait que l’utilisateur qui sera poursuivi dans le cadre de la loi Hadopi aura bien du mal à prouver sa bonne foi en cas d’usurpation de son adresse IP, on peut imaginer l’émergence de botnets de box qui fourniront des services d’anonymisation sur Internet car les gens sont prêts à payer pour profiter d’accès VPN. C’est un filon que les cybercriminels seront tentés d’exploiter (ce qui revient a utiliser presque la même méthodologie que Ants, mais sans consentement de l’intermédiaire.) Cependant, un juge n’a jamais condamné un particulier ou une entreprise qui a involontairement participé à une attaque par dénie de service lancée depuis botnet. Mais à court terme, il est certain qu’on va se retrouver avec des technologies de dissimulation plus efficaces qu’aujourd’hui. Or, les réseaux P2P véhiculent beaucoup de spywares et autres agents malveillants. En allant vers plus de dissimulation, nous autres, éditeurs de solutions de sécurité, aurons plus de mal à repérer les tentatives d’attaques en amont. Nous pourrons agir seulement quand le fichier infectieux sera sur le disque dur de l’utilisateur.
De plus les changements de technologie sont aussi souvent accompagnés d’une recrudescence de malwares et autre forme de criminalité du Net. N’oublions pas que le fait de se connecter sur un VPN c’est exposer sa machine au propriétaire dudit VPN sans bénéficier de la protection de base que représente un modem routeur qui bloque par défaut les accès entrant, et de lui confier ses moyens des paiements, sans véritablement savoir de qui il s’agit.
D’un point de vue technique, Hadopi présente de sérieuses faiblesses à avoir concentré l’exhaustivité de la surveillance sur le seul critère de l’adresse IP. Mais au final, quelle alternative ? Comment le particulier peut-il se protéger?
Aujourd’hui, les entreprises les plus sensibles ont déjà un mal fou à sécuriser leur infrastructure, alors la famille lambda… On ne peut pas demander à l’utilisateur de sécuriser sa box à moins de développer de nouveaux protocoles ou déployer des antivirus sur les boxes mais c’est peu probable à court terme car elles n’ont pas les ressources processeurs nécessaires pour supporter ces applications. Eteindre la box quotidiennement ne sert pas à grand chose. A moins de renouveler la clé d’identification à chaque fois et générer les certificats qui authentifient la transaction, ce qui est coûteux en plus d’être difficile à mettre en place à l’échelle du grand public. Il est extrêmement difficile d’atteindre le niveau de sécurité demandé par Hadopi. Et l’on ne traiterait là qu’une infime facette des problématiques d’usurpation. Quoi qu’il en soit, la sécurité minimum reste avant tout de ne pas installer des logiciels dont on ne connaît pas l’origine, de posséder un anti virus et un firewall à jour, d’appliquer les correctifs de sécurité et de demander conseil autour de soi. Avez-vous été consultés sur le chapitre technique lors de la préparation de la loi ?
A ma connaissance, aucune société de sécurité informatique n’a été sollicitée pour donner son avis antérieurement au projet de loi. Propos recueillis le 16 septembre 2009.
(Article mis à jour le 24/09/2009.)
Page: 1 2
Le 3 juin 2024, Matt Garman prendra la tête d'AWS. Il succédera à Adam Selipsky,…
Workplace passera en lecture seule en septembre 2025, puis fermera en juin 2026. Retour sur…
Selon le Financial Times, la Commission européenne se prépare à déposer des accusations antitrust formelles…
OpenAI a codifié en un document (la « Model Spec ») son approche concernant le…
Vers des opérations malveillantes sous le couvert du support Dell ? L'entreprise a subi un…
La liste des plaintes contre Microsoft s'allonge à l'initiative d'une association espagnole de start-up.