Attaque de grande ampleur subie par l’ICANN : le point de vue de l’expert

Attaque de grande ampleur subie par l'ICANN : le point de vue de Pierre-Guillaume Gourio-Jewell, expert Proposition 47

Attaque de grande ampleur subie par l'ICANN : le point de vue de Pierre-Guillaume Gourio-Jewell, expert Proposition 47

Le secrétaire d'État chargé du numérique, Mounir Mahjoubi, a confirmé en début de semaine l’attaque de grande ampleur subie par l’ICANN, l’organisation internationale en charge de l’infrastructure du système de nom de domaine (DNS) :

C’est effectivement une alerte. Il faut se poser la question, est-ce que c’était pour montrer ses forces, est-ce que c’était pour des cibles particulières, sur une certaine région du monde ? Il faudra se poser la question de qui avait intérêt, qui avait les moyens de mobiliser les techniques pour le faire.

Au-delà des aspects politiques et même géostratégiques de l’événement, il est capital de comprendre l’impact d’une telle attaque et ses particularités. C’est pourquoi Newsroom a interrogé l’un des experts en cybersécurité de Proposition 47, Pierre-Guillaume Gourio-Jewell.

Docteur en mathématiques appliquées et ingénieur calcul scientifique, spécialiste des questions liées à la défense des entreprises et des institutions contre les cyberattaques, Pierre-Guillaume Gourio-Jewell livre son analyse des impacts d’un événement d’une telle ampleur et des solutions à apporter.

— Newsroom par Proposition 47 : Peut-on parler d’une attaque inédite ?

— Pierre-Guillaume Gourio-Jewell : Pas exactement. En 2016, il y a une série d’attaques qui ciblait les DNS. Il s’agissait d’attaques similaires dans la mesure où elles visaient la structure même d’Internet et où on ne savait pas d’où elles provenaient. Ces attaques étaient toutefois beaucoup plus simples techniquement. Mais l’impact économique était colossal, et les risques potentiels démesurés. Ce fut une prise de conscience de la fragilité d’Internet.

L’objectif de l’attaque : “l’usurpation et non la neutralisation”

— N : Depuis quand ce piratage est-il en cours ?

— PGGJ : Il est difficile de répondre actuellement à cette question avec précision. Il semblerait que les premières traces de ce piratage remontent à fin novembre 2018. On peut donc raisonnablement considérer que ce processus d’attaque est utilisé depuis plusieurs mois.

— N : S’agit-il du même type de piratage que les attaques précédentes ?

— PGGJ : La différence entre les attaques de 2016 et celle d’aujourd’hui repose sur l’intention des hackers. La première série d’attaques visant les DNS consistait en une neutralisation des serveurs DNS (attaque DDoS). Le piratage n’était pas orienté vers l’ICANN mais vers le service Dyn Managed DNS, qui s’est retrouvé en partie hors service, privant de nombreux utilisateurs de l’accès à des services parfois vitaux pour eux (Amazon, Airbnb, Visa, Netflix, CNN, PayPal, …). Aujourd’hui, nous sommes face à un piratage dont la particularité est l’usurpation et non la neutralisation.

“Les pirates ont pu accéder à toutes les informations auxquelles les utilisateurs avaient accès”

— N : Comment cette usurpation se traduit-elle concrètement ?

— PGGJ : Les pirates ont réussi à infiltrer la base de données mondiale de l’ICANN, qui met en correspondance les URL avec les adresses IP. Ils ont pu effectuer des attaques de type “middle man attack” en interceptant la totalité du trafic réseau entre l’utilisateur et le serveur vers lequel il était dirigé.

Plus grave encore : par ce biais, les certificats de sécurité des serveurs concernés restaient valides en apparence.

Cela implique que l’utilisateur pouvait aller sur le site Internet de sa banque et rentrer ses codes d’identification sans qu’il y ait moyen de repérer l’interception des données (le cadenas de la barre d’adresse est resté vert, aucune alerte). Les pirates ont pu accéder potentiellement à toutes les informations privées auxquelles les utilisateurs avaient accès. Ils ont pu ainsi conserver des codes d’identification, des coordonnées bancaires, des mails, et intercepter les communications d’entreprises, d’institutions…

La configuration actuelle des communications pour la plupart des opérateurs d’importance vitale (OIV) est telle qu’il est probable que leurs communications avec l’extérieur puissent avoir été espionnées par cette attaque.

DES motivations difficiles à établir À CE STADE

— N : Dans ce contexte, quelle est, à votre avis, la principale motivation des hackers ?

— PGGJ : Plusieurs pistes sont à envisager : la piste de l’espionnage, la piste d’une action politique, la piste criminelle (récolte de données personnelles à grande échelle, vols, …). Il est très difficile de présumer de ce que les investigations futures pourront nous révéler.

— N : L’ICANN préconise un déploiement du protocole DNSSEC pour réduire les risques. Qu’en pensez-vous ?

— PGGJ : Le protocole DNSSEC permet aux propriétaires de domaines de signer numériquement des enregistrements DNS avec une signature cryptographique réduisant, selon l’ICANN, les risques d’attaques. Mais cela ne semble pas suffisant actuellement, puisque certains des serveurs infectés par l’attaque disposaient de cette sécurité, qui a pu être désactivée par les pirates.

Demain, sécuriser les DNS grâce à la Blockchain ?

— N : Vous voulez dire que nous sommes démunis face à ces attaques ?

— PGGJ : Non, mais les solutions sont ailleurs.

Le système le plus sécurisé pour les DNS reposerait, à mon sens, sur une architecture de type Blockchain, inaccessible aux pirates à moins que ces derniers ne parviennent à accéder à plus de 50% des serveurs constituant cette Blockchain (une quantité hors de portée pour un pirate !).

Une preuve de concept fonctionnelle est déjà en place sur ce sujet : Namecoin. Il faudra faire un choix entre la version centralisée actuelle, rendant le système hiérarchique, et une décentralisation complète, qui rendrait le système complètement autonome. Il s’agit d’un choix politique.