J’utilise Internet depuis plus de 20 ans. Les moins de 20 ans ont toujours connu Internet. Ce service est devenu indispensable pour tout le monde. Il est au cœur de l’économie mondiale. Et si on imaginait un instant qu’Internet pourrait disparaître ?
Ce n’est pas tant que cela de la science fiction. Cela risque même d’arriver à court terme. Internet est un tel enjeu stratégique qu’il devient un lieu de guerre entre états et organisations terroristes. La guerre sur Internet est beaucoup plus facile et moins chère que dans le vrai monde. L’arme du crime ? Les internautes… à l’insu de leur plein gré… ou plutôt en profitant de leur crédulité.
Qu’est-ce qui vous ennuie le plus sur Internet à part les publicités ? J’imagine que c’est saisir votre mot de passe. Alors vous avez un mot de passe facile à taper… et donc à pirater. Lorsque vous vous connectez à différents sites, vous utilisez le même compte et le même mot de passe. Ainsi, quand un site se fait pirater tous ses mots de passe (LinkedIn ou Yahoo pour ne citer qu’eux mais il y a maintenant une annonce de ce type tous les mois), non seulement les pirates peuvent accéder à votre compte, mais aussi à tous vos autres sites et accéder facilement à vos ressources critiques : votre ordinateur, votre carte bancaire…
Aujourd’hui, il y a encore plus simple : les objets connectés. Des appareils qui n’ont pas besoin d’être sécurisés, du moins c’est ce que l’on pense. Il est vrai qu’il n’y a rien de secret à rendre public les images de la caméra de surveillance connectée que vous avez acheté pour surveiller votre domicile. C’est encore moins secret pour une ampoule connectée ou un thermostat connecté. Et comme on veut toujours acheter le moins cher possible, les éditeurs ont fait l’impasse sur la sécurité : pas de mot de passe ou mot de passe par défaut non modifiable ou, si l’on a de la chance, modifiable mais qu’on ne change pas. Commit Strip a d’ailleurs fait récemment une bande dessinée humoristique sur le sujet.
Il existe aujourd’hui 6 milliards d’objets connectés dans le monde, tous piratables aisément. Il y en aura 20 milliards en 2020. Et les pirates ne s’en privent pas. C’est ainsi qu’on bat records sur records dans l’ampleur des attaques de type DDoS, ou Déni de Service Distribué. Le principe : les ordinateurs piratés se connectent tous en même temps sur le même serveur qui s’écroule et ne peut plus servir les autres utilisateurs. Récemment, OVH a subi une attaque de 1 Tb/s, le dernier record connu. OVH est l’un des cinq plus gros hébergeurs de sites Internet au monde et le premier Français. Il héberge notamment ce blog.
Vendredi, un nouveau type d’attaque a eu lieu. Plutôt que d’attaquer les serveurs Web, mieux vaut attaquer les serveurs DNS, les serveurs chargés de transformer les adresses sous forme de texte que l’on saisit en adresse IP pour accéder au site voulu. C’est ainsi que l’un des plus connus, Dyn, a été attaqué. Les serveurs DNS doivent être appelés pour connaitre l’adresse du site où l’on veut aller. Alors si le serveur DNS est bloqué, impossible d’aller sur les sites. Et comme les requêtes DNS sont petites, les serveurs DNS référencent des milliers (millions ?) de sites Internet. En bloquant un seul serveur, on peut ainsi bloquer l’accès à des millions de sites simultanément. Ce risque de vulnérabilité des serveurs DNS est connu depuis bien longtemps. C’est le maillon faible d’Internet.
Pour l’instant, les attaques ont lieu pendant une durée limitée, tout au plus une demi-journée. Imaginez maintenant que ces attaques deviennent permanentes et distribuées simultanément sur tous les serveurs DNS du monde ? A ce moment là, ce sera Internet dans son ensemble qui n’existera plus. Techniquement, on n’en est pas loin.
Pour en savoir plus, lisez l’article de 20 minutes : « Comment une armée d’objets connectés infectés a cassé Internet« .