Sommes-nous entrés dans l’ère des cyberinfections à grande échelle ?
L’infection massive des moyens de communication et de traitement semble ne faire que s’accélérer. Hier le ver Wannacry infectait des centaines de milliers d’ordinateurs de par le monde, grâce à une faille technique sur SMB, le système de partage de fichiers de Windows. Aujourd’hui, ce ver a de multiples variantes, mieux conçues et plus efficaces. Ce n’est que le début. Pour un hacker, la quantité de ressources à sa disposition représente le mètre étalon. Avec plus de ressources, on a plus de capacité de nuisance et de monétisation. Il y a peu de chances que le numérique arrête sa progression ou que les utilisateurs deviennent des experts en sécurité et encore moins que les logiciels à venir ne connaissent plus aucune faille. Il ne faut pas non plus sous-estimer l’ego des hackers. Le premier qui fera “tomber Internet” deviendra une légende. Et ce titre est très motivant. La tendance est là. Elle s’installe dans le paysage mondial, tout comme le terrorisme, les crises financières, le moustique tigre ou les glaces aux goûts improbables. Aucune action prise actuellement ne peut réellement endiguer cet emballement. Il faudra donc vivre avec et lentement éduquer les utilisateurs ainsi que les développeurs à la sécurité numérique. Tout comme on est éduqué à la sécurité routière avant de prendre le volant d’un véhicule. A quand le permis Internet ? En attendant, cette semaine, c’est le cas du malware contenu dans le jeu “Chef Judy” qui semble inquiétant. Même si ce malware implanté dans plusieurs jeux ne semblait destiné qu’à générer des faux clics sur des publicités, qu’en sera-t-il demain ?
Face à ces épidémies à grande échelle, quelles sont vos prédictions pour l’avenir du Net ?
Ce qui me frappe le plus du haut de mes 17 années d’expertise dans ce domaine, c’est que pour la première fois, je vois un réel risque pour la stabilité d’Internet tout entier. Ce n’est pas la question du quand (évidemment bientôt) mais plutôt du comment qui importe. Le problème se pose tout simplement en termes mathématiques. Si l’on prend pour acquis les présupposés de l’introduction, le nombre de terminaux infectés ne va faire qu’augmenter, qu’il s’agisse d’imprimantes, de caméras, de téléphones, d’ordinateurs personnels ou de serveurs. Preuve en est, près de 35 millions de terminaux Android ont téléchargé et installé le jeu “Chef Judy”, qui contient un malware. Le fonctionnement de ce dernier importe peu, l’important ici est bien le nombre de machines infectées. Cela signifie qu’un malware prévu pour créer une DDoS (attaque en déni de service distribuée) pourrait utiliser autant de machines-zombies, comme le botnet Mirai il y a peu. Mirai, à son pic de puissance, semble avoir été capable de lancer des attaques DDoS de 1 Tb/s voir plus, en ayant infecté 1/2 million de caméras IP. Il a perturbé notoirement le réseau Internet de la côte Est des États-Unis pendant plusieurs heures, affectant des sites comme Twitter ou AirBnB. 1 Tb/s représente un Terabit de données par seconde. La connexion Internet moyenne en France étant d’environ 10 Mb/s (Megabit par seconde), Mirai à lui seul représentait l’équivalent de 100.000 connexions Internet en France. Le cas de Chef Judy et de ses futurs successeurs est autrement plus préoccupant. 35 millions de téléphones infectés, avec une connexion moyenne de 10 Mb/s, portent une capacité de nuisance potentielle de 35.000.000 de téléphones soit 10.000.000 bit/s de bande passante.
Lors d’une attaque DDoS, les hackers n’utilisent pas nécessairement l’intégralité de la connexion des machines infectées. Même si l’on ne fait qu’extrapoler les chiffres de Mira, ces 35 millions de téléphones pourraient envoyer une attaque a minima de 70 Tb/s, soit 70 fois plus de puissance de feu. Mais que ce chiffre se situe à 50, 100 ou 400 Tb/s importe peu. En visant des infrastructures critiques d’Internet, une telle puissance pourrait coucher n’importe quelle cible, qu’elle s’appelle Amazon, Akamai ou les root DNS. Avec l’effet boule de neige, elle pourrait entraîner dans sa chute d’autres noeuds critiques et donc Internet avec… Si 1 Tb/s a pu faire flancher la dorsale Interne de la côte est des États-unis, que pourrait donner une attaque de plus grande ampleur ? Le problème, c’est qu’il n’existe pas réellement de solution. Quand l’attaque vient de centaines de milliers de terminaux IP, il faut les nettoyer un par un, ou renforcer considérablement les défenses des sites visés. Mais à ce niveau, rien ne peut réellement résister. Et pour stopper une telle attaque, il faudrait alors nettoyer des millions de terminaux, qui sont dans les mains d’utilisateurs finaux.
Et c’est sans compter sur la vulnérabilité des smartphones dont nous faisons une utilisation toujours plus croissante chaque jour…
On ne peut imaginer le prochain défi des hackers mais, un jour, un petit frère de Wannacry ou de Chef Judy sera utilisé pour déstabiliser Internet. De plus, les agences américaines telles que la National Security Agency (NSA), le Government Communications Headquarters (GCHQ) [Quartier général des communications du gouvernement, NDLR], d’autres organismes publics, para-publics ou privés ont déjà des failles de sécurité en stock sur Android et sur iOS. Qu’adviendra-t-il si elles tombent entre de mauvaises mains ? Et que ces failles puissent être exploitées massivement, peut-être par un ver, et se propager sur plusieurs dizaines ou centaines de terminaux mobiles ? On pourrait même imaginer un botnet volontaire, à l’instar de L.O.I.C, qui proposait de fédérer des internautes en les faisant viser tous la même cible pour la rendre indisponible. A l’échelle de terminaux mobiles, un LOIC aurait d’autant plus d’impact que chacun pourra voter pour ou contre une cause.
Quel pourrait-être l’impact des attaques virtuelles sur la vie réelle ?
Que l’attaque soit le fait d’un hacker, d’un groupe de hackers ou même de personnes se portant volontaires pour couper Internet, un site, une opinion ou une infrastructure, le risque démocratique est réel. Si ce petit nombre, pas forcément majoritaire le décide, il pourrait tout à fait faire taire ou contre-carrer une opinion majoritaire. D’ailleurs Mirai n’était, à l’origine, qu’un dispositif de censure visant à faire taire l’excellent Krebs et mettre hors ligne son non moins excellent blog “Krebs on security”. A ce titre, Mirai était en fait l’un des tous premiers dispositif de censure digital massive. Dans le cas du digital, la majorité n’est plus nécessaire pour « exécuter une cible », un grand nombre suffirait amplement. Quand, deux mille ans auparavant, un chef de guerre voulait imposer une opinion, il avait besoin de temps et de ressources pour se construire une armée et éventuellement imposer son point de vue. Le numérique réduit ces délais à des minutes et à des moyens bien moins importants. Quant à Wannacry, il a indirectement tué un patient dans un hôpital dont le système informatique était indisponible. Combien de dispositifs critiques ne fonctionneraient plus sans Internet ou sans serveur comme dans le cas de Wannacry ? Ces attaques digitales ont donc bel et bien un impact dans notre monde réel, physique, sur les personnes, les opinions, les outils de production. La pandémie digitale est donc un risque à envisager, mesurer et préparer !
A qui la responsabilité ?
A court terme, c’est à Google et Apple de réagir, et dans une certaine limite Microsoft également. En effet, ils éditent les OS [Operating Systems : systèmes d’exploitation, NDLR] qui font tourner ces machines, pas les caméras ou les fax certes, mais une part majeure des ordinateurs particuliers, tablettes et téléphones de la planète. Ils sont aussi possesseurs des plates-formes de mise à disposition des logiciels que nous installons sur nos téléphones et ordinateurs. A ce titre, c’est le seul point de passage obligé, le seul réel sas de décontamination qui peut éviter une pandémie digitale. Si eux ne font pas cet effort de chasse aux bugs et aux malwares, personne ne pourra le faire à leur place. De surcroît, les bénéfices colossaux de ces géants leurs permettent cet effort, afin au final de ne pas casser leur propre outil de travail, et le nôtre.
Propos recueillis par Ségolène Kahn
Commentez