Va t-on réellement réussir à détruire Internet ?
Peut-on détruire internet ? Vrai ou Faux ?
Le 13 Septembre 2016, Bruce Schneier un expert en sécurité informatique reconnu comme l’un des pionniers du milieu a publié un article quelque peu alarmant. D’après lui certaines personnes testeraient la solidité d’internet et ainsi détruire Internet.
Internet c’est quoi ?
C’est un ensemble de sous réseau qui permet de faire communiquer tout le monde entre eux. D’où son nom d’ailleurs Inter pour InterConnected et net pour réseau. Mais un réseau ne comprend pas que de simple ordinateur, il peut être composé de portables, ordinateurs, montres, thermomètres connectés…enfin de compte on peut représenter Internet par cette image :
Et le fonctionnement d’internet par celle-ci (à noter que je n’ai pas représenté les sous réseaux et leurs inter-connectivités).
Ce schéma n’est qu’à titre explicatif et est dessiné de façon à vous faire comprendre qu’internet repose sur des piliers. En effet, sans les register DNS impossible de faire les liens entre nom et adresse IPde tel site.
Les CDN ont pour rôle de rapprocher les contenus au plus près des utilisateurs et accélère ainsi les temps d’accès :
Si vous accédez à www.google.com, vous accéderez à un CDN contenant www.google.com, mais sur un serveur au plus proche de vous et non sur le serveur officiel. Cela permet également de répartir le nombre d’utilisateurs sur différents serveurs. Les CDN réduisent l’impact et le temps d’accès par conséquence ils servent aussi à contrer les attaques DDOS. L’attaque étant composé de millier d’ordinateurs, ces demandes seront dispatchées par le CDN pour répartir la demande. Ils seront également dispatchés car tous ces ordinateurs ne sont pas tous en France. Cela réduira la force de l’impact.
Donc il serait en théorie possible de faire tomber internet en attaquant ces dits piliers ?
Si on attaquait tous les piliers en même temps il serait possible de surcharger le réseau et de le rendre par conséquent inopérant. D’ailleurs il n’y a pas qu’un seul register ou CDN, il faudrait tous les attaquer. Et vous pensez que ces piliers d’internet ne sont pas protégés ? Internet fait partie de l’économie, il est donc sensible et par conséquent ils sont protéger ou du moins essayent.
Quels types d’attaques et comment s’en protéger ?
Pour paralyser un site il n’y a pas 36 solutions. On va essayer de manger toute la bande passante, cela s’appelle l’attaque par Déni De Service. L’idée c’est qu’un ordinateur A envoi des requêtes sur l’ordinateur B (ou serveur c’est la même chose). Si A possède 5go/s de bande passante et que B n’en possède que 3 go/s alors B sera surchargé et ne pourra répondre aux autres demandes. Cependant si B a une bande passante de 10 go/s l’attaque ne fonctionnera pas. Enfaite c’est de la bande passante attaquant vs bande passante victime. Ici on parle d’une simple attaque DOS. Il suffit alors que B détecte qu’un grand nombre de requête viennent de A et le blacklist afin de ne plus y répondre. L’attaque ne fonctionnera donc plus. Ce type d’attaque est appelé attaque directe.
Toutes les grosses attaques utilisent à 99% ce système (Déni De Service).
Il existe des attaques qui améliore le système précédent. Par exemple un hacker peut prendre le contrôle d’un ordinateur C, lui dire d’envoyer des requêtes sur B sans se faire voire directement. On appelle cela des attaques indirectes par rebonds. Encore mieux, il est possible de dire à C d’envoyer des demandes de requêtes à tout un réseau de pc compromis (pc zombies) pour qu’ils attaquent B. Et là c’est déjà beaucoup plus difficile à bloquer. B se retrouver avec des miliers de requêtes venant d’IP différentes, c’est du DDOS. Et le pirate reste caché. L’attaque FTP Bounce utilise la technique des attaques indirectes par rebonds.
Le dernier type d’attaque est bien plus efficace, c’est des attaques indirectes par réponses : DrDOS. L’idée est d’appelé un grand nombre de serveurs DNS (et oui on peut corrompre nos piliers pour attaquer des piliers d’internet… ironique ?) en utilisant le protocole UDP. Ce protocole sert à faire transmettre des données entre deux ordinateurs. L’intérêt c’est que je peux falsifier cette requête pour la faire rebondir sur C qui fera rebondir la réponse sur B. La requête est faible mais la réponse peut être lourde, imaginer le PSN ou le XBOX Live qui recoivent des milliers réponses de plusieurs centaines de mo/s … et oui les serveurs tombent le temps de trouver le souci.
Les principales solutions sont d’une, d’absorber la charge d’impacte (et bonjour la facture car il vous faudra de gros serveurs puissants), de faire migrer le trafic sur un serveur assez costaud (c’est la technologie qu’utilise OVH pour protéger les sites des attaques DDOS), ou de définir des règles dans le pare-feu, switch etc.
Il est également possible de mettre l’IP attaquée en « Blackhole« . Le Blackholing consiste à informer les routeurs d’Internet, grâce au protocole BGP, que l’IP ne pointe nulle part et qu’il est inutile d’envoyer du trafic à celle-ci. En clair, l’IP n’existe plus.
Pour en revenir à notre sujet, Bruce Schneier précise que quelqu’un sonde les différents moyens utilisés par les piliers pour se protéger. Je ne vais pas vous parler de toutes les attaques qu’il y a eu lieu dernièrement, juste celle visant Dyn.
Dyn est un register DNS, ils ont subits une attaque DDOS vendredi 21 octobre 2016. Vous imaginez bien que Dyn dispose d’une large bande passante, mais leur réseau à réussie à être perturber, ralentissant au début puis bloquant l’accès aux sites qu’il gère (Tweeter, PSN …). On suppose que l’attaque venait de millier d’objet connecté comme des caméras grâce au malware Mirai. Maintenant imaginer que ces appareils envoient des DrDos … là clairement l’attaque serait vraiment efficace.
J’en conclue que oui il est tout à fait possible de casser internet, il faut juste la bonne attaque, un nombre incalculable d’ordinateurs, serveurs, objets connectés compromis.