Pour le directeur de l'agence de cybersécurité, les opérateurs ont une position unique pour prévenir certaines cyberattaques. Le débat serait nécessaire, avant une loi hypothétique. Selon un spécialiste, les boites noires installées sur les réseaux des fournisseurs d'accès pourraient y aider.
À l'occasion des Assises de la sécurité de Monaco, le directeur de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), Guillaume Poupard, a donné l'une de ses prochaines priorités. « Je veux travailler avec les opérateurs télécoms », dans l'idée d'agir contre certaines menaces, a-t-il déclaré lors d'une conférence de presse.
L'agence se dit motivée par les attaques distribuées par déni de service (DDoS) de la fin 2016, principalement celle qui a touché la société Dyn, emportant dans sa chute de nombreux sites outre-Atlantique. Le responsable : le botnet Mirai, composé de centaines de milliers d'objets connectés mal sécurisés.
« Quand bien même ceux ciblés sont très bons [en matière de défense], il est trop tard pour les victimes. Les technologies consistant à dérouter les flux malveillants au dernier moment marchent dans certaines limites. Travailler en amont est aussi très compliqué. On aura toujours des flopées d'équipements non sécurisés, déployés en masse, qui serviront de points de départ de ces attaques en DDoS » constate l'ANSSI. La solution serait donc d'agir directement sur le réseau.
Une position unique, peut-être une loi
« À mon avis, le seul endroit où on peut agir de manière efficace, c'est au niveau des opérateurs qui transportent ces choses-là. Eux ont probablement la capacité d'agir à ce moment-là » pense Guillaume Poupard. Il s'agirait d'une contravention à la neutralité du Net, ce dont le directeur a bien conscience. Protégé par l'Arcep en France, le principe de non-discrimination des contenus donne une marge de manœuvre pour une gestion raisonnable du réseau, rien de plus.
Pour l'ANSSI, il faut donc débattre de mesures de protection avec les opérateurs et d'autres acteurs, « pour s'assurer que ce ne soit pas dévoyé ». Il voit déjà une discussion en France, voire une loi si nécessaire. La question doit venir sur la table après la transposition de la directive NIS en droit français, en mai 2018. L'idée d'une concertation européenne semble encore lointaine.
L'institution pense d'abord s'inspirer du modèle allemand, qui autoriserait certaines entorses à la neutralité du Net aux opérateurs pour la sécurité, plutôt que de les imposer. Nos voisins d'outre-Rhin réagissent, pour leur part, à l'infection de 900 000 routeurs du géant Deutsche Telekom par une variante de Mirai.
Le spectre de l'inspection de paquets
Si le patron de l'ANSSI ne présume pas des méthodes pour agir sur les réseaux, une technologie a déjà fait son nid. Traiter en temps réel les flux des fournisseurs d'accès est déjà le travail des « boites noires » de la loi Renseignement, censées détecter la menace terroriste en ligne. Si elles n'étaient toujours pas déployées ces derniers mois, elles posent des bases techniques, dont l'inspection profonde des paquets (DPI).
En janvier 2016, Guillaume Poupard évoquait sans détour l'utilisation de cette technique intrusive, qui permet de connaître le contenu des données transmises. Elle est à la fois présente dans les futures « boites noires » espionnes mais aussi dans les sondes installées chez les opérateurs d'importance vitale (dont font partie les groupes télécoms), pour protéger leurs infrastructures.
Pour un spécialiste proche d'un grand opérateur télécoms, l'idée serait bien d'exploiter les « boites noires » de la loi Renseignement, DPI inclus. « À un moment, il faudra que cela devienne une réalité, pas pour de l'espionnage [des internautes] mais pour détecter des patterns en temps réel, donc retirer du malware à la volée » estime-t-il.
Pour lui aussi, le débat sera plus éthique que technique. Les opérateurs auraient déjà la capacité d'analyser de larges flux de données en temps réel pour reconnaître des schémas, sachant que le transport des données implique déjà leur modification. « Il y a une question globale sur la manière dont le Net a été construit et la manière de l'épurer, au sens noble du terme, pour [qu'un malware] n'existe plus pour l'internaute » ajoute-t-il.
La discussion pourrait donc avoir lieu dans quelques mois, sans présager d'une éventuelle mise en œuvre. La collaboration avec les opérateurs est, en tous cas, une piste importante pour l'agence de sécurité informatique de l'État.
À noter :
Cet article a été rédigé dans le cadre de notre participation aux Assises de la sécurité de Monaco, du 11 au 13 octobre, où nous avons été conviés par les organisateurs. Ces derniers ont pris en charge nos billets d'avion, notre hébergement et la restauration sur place. Conformément à nos engagements déontologiques, cela s'est fait sans aucune obligation éditoriale de notre part, et sans ingérence de la part des organisateurs.
Commentaires (52)
#1
Facile, suffit de scanner la mer numérique à la recherche des bateaux pirates " />
On devrait survivre à quelques attaque DDOS par an je pense ;)
#2
La petite note à la fin est tout à votre honneur. Bravo !!
#3
Au niveau législatif, y a-t-il dse différence à la définition de la neutralité, entre la France et l’Allemagne ?
#4
S’attaquer à la cause est évacué du débat “On aura toujours des flopées d’équipements non sécurisés, déployés
en masse, qui serviront de points de départ de ces attaques en DDoS” et rien à foutre d’une quelconque neutralité du net. L’avenir s’annonce radieux.
#5
Le soucis avec de tels engagement c’est l’effet de bord qu’ils peuvent avoir.
Dans le fond cela peut se défendre. Mais la forme est tout de même assez complexe à mettre en place sur le plan éthique, législatif et technique, en donnant en plus la possibilité de fliquer TOUTES les données transitant sur le réseau.
Et ça entre de mauvaises mains…
Et puis peu importe la rustine posée, les pirates trouveront toujours un moyen d’agir.
Alors je ne dis pas qu’il faut rester les bras croisés et encaisser. Mais qu’il ne faut pas, sous couvert de toujours plus de sécurité, ouvrir de potentielles boites de Pandore.
Il faudrait plutôt sécuriser les systèmes plutôt que “filtrer” le réseau (et ces boites noires ne sont pas une sécurité amha).
Les lois sécuritaires entravent déjà trop la neutralité du Net.
Pas la peine d’en rajouter une couche…
#6
Pas mieux. Le problème est très complexe et ils évacuent la plus grosse partie de la chose. " />
#7
Je pense que M. Poupard confond les torchons et les serviettes. On se prend un programme malveillant sur son PC car nous n’appliquons pas l’hygiène et ça c’est de notre responsabilité. On joue à ne rien faire, et bien on va perdre. Vouloir infantiliser les gens ne les a jamais conduit à mieux se comporter, au contraire.
Par contre, pour le DDOS, oui, je pense que déployer des outils de protection est important car c’est un acte que je qualifie de délictueux et les personnes et les biens doivent être protégés.
#8
NON " />
Pas l’ANSSI " />
C’est le pied dans la porte ça, si on peut retirer du malware on va pouvoir retirer du contenu copyrighté
Pour l’ANSSI, il faut donc débattre de mesures de protection avec les opérateurs et d’autres acteurs, « pour s’assurer que ce ne soit pas dévoyé »
On est en France, les AD le dévoieront forcément pour lutter contre le “piratage”
#9
Les FAI vont devenir des Usines à gaz " />
#10
#11
Il y a unintéressant RFC publié récemment qui cause des mises à jours des objets connectés. Ça permet de bien voir l’étendue et la difficulté du problème :)
#12
Non ce n’est pas au opérateurs de faire ça et l’analogie est toute simple :
Oblige -t-on La Poste à inspecter chaque pli pour savoir s’il ne s’agit pas d’un acte criminel-délictuel en devenir.
La réponse est non donc : non.
CDQF
#13
#14
#15
Lien super intéressant qui prouve effectivement l’étendue du problème.
#16
#17
détrompes toi olivier, sinon pourquoi y aurait il des services de douanes intégrés sur certains hub de dispatche (drogues/armes/tabacs)?
#18
Selon un spécialiste, les boites noires installées sur les réseaux des fournisseurs d’accès pourraient y aider.
Gné ? Je croyais que les boites noires n’étaient pas encore installées. " />
#19
#20
#21
#22
#23
" />
mais quand même " /> pour l’effort
#24
if(GetPurpose(packet) == DDOS)
Too easy " />
#25
#26
#27
Le pied est déjà dans la porte, c’était la mise en place des boites noires chez les opérateurs pour prévenir le terrorisme, là c’est la deuxième étape quand la personne essaie de s’inviter chez toi
#28
#29
#30
C’est un DDoS uniquement si tu l’envoies de multiples endroits, sinon, c’est juste un DoS.
#31
#32
#33
Encore un bricoleur qui ne mesure pas l’étendu de la catastrophe en lavant chaque paquet plus blanc que blanc. OUI ca impacte le réseau, latence, protocoles pas forcément connus, faux positifs, MTU à la con, éléments critiques du réseau non maitrisé…
Sans parler de ces boites noires qui sont des aberations d’architecture de reseau en créants des trous noirs de réseau en attirant le trafic sur leur position. Et nouveau point of failure… Ca serait le comble qu’en plus ces boites imposent un archi beaucoup centralisée et donc fragile aux opérateurs. Une belle attaeinte à la résilience qu’il souhaite voir.
Ce type, et son organisation, devient de plus en plus néfaste… (déjà rien que de flinguer les élections parlementaires en obligeants certains francais de l’etranger à faire des centaines de kilometres pour aller dans les urnes du consulat au lieu de vote à distance…sur ses recommendations)
#34
Et en plus il justifie son délire par Mirai et l’internet des objets au lieu de traiter le pb à la racine : interdiction des imports de logiciels embarqués à la con EU-wide ca serait un bon début pour faire reflechir les fabricants
#35
“Pour un spécialiste proche d’un grand opérateur télécoms” c’ets le nouveau “d’apres une source proche du pentagone” chez Nextimpact ?
#36
Franchement si tu trouves beaucoup de bricoleurs avec ce cursus, tu m’appelles.
je te conseille de te renseigner un peu sur l’ANSSI et son patron, visiblement t’as raté des trucs.
On va pas entrer une nième fois dans les discussions stériles sur le vote électronique, mais il m’étonnerait beaucoup que le bricoleur en question prenne la chose à la légère.
#37
tu voudrais qu’il cite ses sources? " />
#38
#39
Cest un peu tordu mais disons que dans le cas d’un appel d’offre tu répondes assez vite (genre 12jours avant la fin)
Puis tu envoies 1000 lettres les 10 derniers jours.
Ca te coute 10000 envois mais tu as evincé les concurrents qui aurait envoyé leur pli après toi.
Le pauvre secrétariat étant submergé de lettres bidons à ouvrir \o/
Une rapide recherche me dit que le cachet de la poste ne fait pas foi. Peut être plus d’actualité
#40
#41
" />
#42
#43
#44
Les députés n’ont rien à décider sur les moyens utilisés pour un vote donné, c’est le ministère de l’intérieur qui est responsable de l’organisation du vote, sous le contrôle du Conseil Constitutionnel.
Qu’un tel document commence par une introduction où on demande s’il n’est pas temps d’entrer dans le 21 ème siècle et abandonner le vote papier est ridicule et manque de maturité.
Sur le fond, je n’ai rien vu qui permettait au votant de s’assurer que son vote était bien pris en compte et pas transformé avant d’être introduit dans la blockchain. Et comme ensuite, on dissocie votant et vote pour conserver l’anonymat, il ne peut pas le vérifier après.
D’ailleurs, si on veut préserver l’anonymat, cela est inévitable : le votant ne peut plus vérifier que son vote est bien dans la blockchain puisqu’il devient anonyme. Et là où le papier garantit au votant que c’est bien son vote qui va dans l’urne, rien de le garantit dans un vote électronique qui vise l’anonymat.
Je veux bien que la partie sur la blockchain soit correcte techniquement, mais il y a une faille énorme au départ.
En fait, on ne sait pas si ce que l’on sécurise est bien le vote réel ou un vote modifié.
Ce document est un document écrit par 3 étudiants, sûrement un projet d’étudiant, pas un document académique revus par des pairs et validé. Il suffit d’aller voir leurs profils LinkeIn pour s’en convaincre. D’ailleurs aucun des 3 ne citent ce papier dans leur profil, ce qu’ils feraient s’il avait une valeur académique.
#45
Ces papiers décrivent des systèmes réels en état de marche et utilisés pour des votes. C’est bien plus fort que des “revues de pairs” ou “profil linkedin” (marrant que tu parles de valeurs académiques, au lieu de démolir le papier en grossissant les pbs qu’ils pointent…) Et le doc parle de petites améliorations
Non désolé c’est bien les députés qui écrivent le code électoral. C’est eux qui autorisent ou pas les machines à voter etc. Et subordonner les modalités du vote à une décision de technicien c’est l’inversion qui devrait choquer tout le monde. Le ministère est responsable de l’orga du vote parce que les députés vont pas se coltiner les dépouillages et les envois de cartes.
Ah j’oubliais : pour s’assurer de la prise en compte de son vote suffit de regarder dans la blockchain si son code est bien dedans, et il y est dedans parce que c’est l’origine du décompte des voix. S’il avait été transformé… non on peut pas… la crypto permet de garantir l’intégrité.
#46
#47
#48
#49
la protection des sources ca veut pas dire publier des trucs louches à la limites du bruit de couloir pas vérifiable.
#50
T’as loupé le passage où le votant peut corriger son vote aussi souvent qu’íl veut.
Et sisi c’est bien le systeme réel de vote actuel en Estonie https://www.nextinpact.com/news/81189-lestonie-publie-code-source-son-systeme-vo… et sa version d’origine en anglais https://arstechnica.com/tech-policy/2013/07/estonia-publishes-its-e-voting-sourc…
#51
Tu racontes n’importe quoi !
“We researched some of these systems to familiarise ourselves with current implementations, particularly Estonia.”
Ils n’ont dit nulle part que ce qu’ils présentent est le système de vote actuel de l’Estonie. De plus, ils décrivent le système de vote de l’Estonie et nulle part dans cette description, ils ne parlent de blockchain.
Soit tu comprends mal l’anglais ou ce document technique, soit tu es de mauvaise foi et tu ne veux pas reconnaître ton erreur.
Si tu penses malgré tout avoir raison, je te propose de citer les passages du document plymouth.pdf qui prouvent tes affirmations. Ça permettra d’avancer, là, j’ai un peu de mal à vouloir continuer la discussion.
#52
par contre ça veut dire ne pas les citer.