"Une attaque identifiée et pratiquée depuis des années" : pourquoi la vague de piratage en cours sur internet ne doit pas nous faire paniquer

Internet est sous le coup d'une attaque d'une ampleur inédite : c'est le message relayé samedi 23 février par de nombreux médias (dont franceinfo.fr), sur la base d'une communication de l'Icann, autorité internationale de régulation qui attribue les noms de domaine (en .com, .gov, .fr par exemple). Dans un communiqué (en anglais) publié le 21 février, l'organisme explique que cette vague d'attaques informatiques consiste à "effectuer des changements non autorisés" dans les adresses et "à remplacer les adresses des serveurs" autorisés "par des adresses de machines contrôlées par les attaquants". Des experts interrogés par l'AFP ont affirmé que les pirates visaient aussi bien des gouvernements que des services de renseignement ou de police.

Faut-il s'inquiéter de ces piratages "à très grande échelle" de noms de domaine ? Franceinfo a posé la question à Stéphane Bortzmeyer, ingénieur-réseaux et spécialiste de la sécurité informatique.

Franceinfo : Sommes-nous réellement face à une attaque inédite d'internet ?

Stéphane Bortzmeyer : L'état global de la cybersécurité n'est pas terrible, il y a un vrai problème, mais il n'y a pas de raison urgente de paniquer. L'Icann, et les médias qui ont repris son communiqué, ont un discours sensationnaliste, dramatique, du genre des films hollywoodiens. Un gouvernement qui pirate les sites web d'un autre gouvernement, c'est l'activité permanente et normale sur internet, c'est un bruit de fond. L'attaque en question, qui vise le système des noms de domaine, est identifiée et pratiquée depuis des années.

Quand vous allez sur votre banque, vous tapez par exemple "www.mabanque.ex" et, derrière, le système des noms de domaine va traduire cela en informations techniques pour que tout se passe bien. Pour capter les mots de passe des clients d'une banque, on utilise le piratage de ce système car c'est un maillon faible de la sécurité de nombreuses organisations. 

Avec le contrôle du système des noms de domaine, vous pouvez diriger les gens non pas vers le site web de la banque mais vers un site contrôlé. Pour effectuer ce détournement, on n'attaque pas le site lui-même (qui est plutôt bien défendu), on attaque le système de noms de domaine qui y mène. Il y a un déséquilibre entre la sécurité du site web et celle du nom de domaine, qui est souvent négligée.

Pourquoi l'Icann s'inquiète-t-elle ?

Nous l'avons appris au début de l'année : un groupe bien organisé, assez compétent, mène ce genre d'attaques, à une assez vaste échelle en visant plutôt des organismes financiers, des médias ou des organismes gouvernementaux, en général au Moyen-Orient. Je n'en sais pas plus et il ne sert à rien de spéculer sur l'identité de ce groupe et pourquoi il fait cela. 

Ce groupe a donc transformé une attaque traditionnelle en une campagne sérieuse, sur le long terme, visant de nombreux objectifs. Possiblement, ce groupe a détourné les gens pour récupérer des mots de passe à des fins d'espionnage. Ce qui n'est guère nouveau : les Etats se piratent entre eux depuis des années… Cela ne justifie donc pas de paniquer, comme si une bombe allait exploser demain ! En revanche, cela devrait servir de piqûre de rappel pour déployer le protocole de protection appelé "Domain Name System Security Extensions" (DNSSEC). 

De quoi s'agit-il ?

Ce protocole permet de s'assurer que les données présentes dans un système de nom de domaine et qui arrivent dans l'ordinateur de monsieur Tout-le-monde n'ont pas été modifiées. Il faut le déployer, c'est un message que répètent tous les professionnels de la sécurité depuis des années. L'Icann a voulu une nouvelle fois faire passer ce message, mais son communiqué exagère un peu car une bonne partie des attaques actuelles n'auraient pas été gênées par DNSSEC.

Comment se protéger contre ces attaques ?

Il n'y a pas de solution magique immédiate. Je crains un peu que lundi, un certain nombre de décideurs ne convoquent leurs surbordonnés, réclament le déploiement dans la journée de DNSSEC et que, dans trois mois, on n'en parle plus. Ce n'est pas la bonne façon d'aborder le problème. Et, en même temps, il faut le faire. 

On voit de nombreuses organisations, y compris de grosses entreprises, qui prennent plein de précautions pour leur sécurité informatique et dépensent beaucoup d'argent sur ces questions. Mais on constate ensuite que sur le nom de domaine, le mot de passe de l'hébergeur est trivial, ou alors il est sur une note sur un bureau du service communication ou du service juridique et tout le monde le connaît… Il y a donc des mesures à prendre. 

Mais les bonnes solutions ne sont pas décidées dans la panique. Par exemple, déployer le protocole DNSSEC ne se fait pas en cinq minutes… Les efforts de long terme que l'on essaie de fournir pour la sécurité se combinent mal avec ce mode de fonctionnement, qui alterne crises de panique et moments de passivité.