Sécurité: les enjeux de l’attaque qui a cassé internet vendredi [fr]

Ma newsletter hebdomadaire “Demande à Steph” est archivée ici pour la postérité. Chaque semaine, un tuyau ou une explication touchant à la technologie numérique, ou une réponse à vos questions! Inscrivez-vous pour recevoir directement la prochaine édition. Voici l’archive originale. Et la page Facebook!

Note: cette semaine, vu le caractère “actu” du sujet, je la reproduis ici immédiatement, mais normalement je fais ça avec beaucoup de retard…

Vendredi, internet a subi une attaque sans précédent. Facebook n’a pas été touché, donc la terre a continué de tourner, mais des dizaines de sites comme Twitter, Spotify, PayPal, SoundCloud, Etsy ou encore Netflix ont été touchés. Il y a un peu moins d’un mois c’est l’hébergeur français OVH qui faisait les frais d’une attaque similaire, extrêmement impressionnante alors, mais bien pâle en comparaison à celle-ci.

Si vous débarquez, filez lire l’article (bien fichu) de 20 minutes.

Une attaque DDOS (distributed denial of service) fonctionne un peu comme inonder un standard téléphonique d’appels pour le surcharger. Si un serveur reçoit trop de requêtes, il n’arrive simplement pas à y répondre et tout ce qu’on entend en retour c’est le “bip bip bip” d’une ligne occupée. A l’échelle d’internet, ce n’est pas juste qu’il y a quelques centaines de personnes qui appellent alors qu’on s’attend à avoir 3 ou 4 appels dans la file. Plutôt des millions. Un véritable déluge, seconde après seconde. Le serveur n’a aucune chance.

Comme demander à plein de copains de rester devant leur ordinateur à recharger une page web toute la nuit c’est un peu pas très fun, comment fait-on pour mener une telle attaque? Réponse: on installe sur tout un tas d’ordinateurs un petit programme qui va envoyer les requêtes (= l’équivalent de demander une page web) au serveur visé, sur commande.

Ce petit programme, ça s’appelle un virus. Eh oui, les virus ne sont pas juste des vilains programmes qui vont tout effacer sur votre disque dur ou prendre vos fichiers en otage. Notre ordinateur peut très bien avoir un virus sans qu’on s’en rende compte, dormant jusqu’au moment où le “botmaster” en aura l’utilité. Antivirus et mises à jour de sécurité, mes amis — une bonne raison de ne pas utiliser un vieil ordi avec un système d’exploitation désuet.

Il n’y a pas que les ordinateurs qui peuvent être victimes de ce genre d’infiltration. Tous nos comptes sur les médias sociaux, bien entendu, qui peuvent être utilisés pour envoyer du spam. Et aussi les ordinateurs-qu’on-ignore, tous ces “objets connectés” comme les caméras de sécurité, nos téléphones, l’imprimante wifi, votre montre connectée, l’appareil photo wifi, et bien d’autres.

Pour installer un virus quelque part, il faut un accès. Tout “ordinateur” a un compte administrateur, techniquement parlant, qui a plein pouvoirs sur la machine. Si on a le nom d’utilisateur et le mot de passe de ce compte, bingo! La machine est à notre merci. Le souci avec beaucoup de ces objets connectés c’est qu’on ne peut pas changer le mot de passe administrateur et que celui-ci est souvent vraiment tout con (“admin”, “root”, “1234”).

Quand je vous casse les pieds pour mettre des meilleurs mots de passe à vos comptes et machines, ce n’est pas pour rien. C’est pour protéger vos données, mais aussi pour éviter que vous ne soyez complices malgré vous d’attaques du genre de celle de vendredi. Je le répète encore une fois: ce n’est jamais vous personnellement qu’on vise, on cherche juste les maillons les plus faibles, comme un cambrioleur qui fait le tour de tous les apparts de l’immeuble pour voir s’il n’y a pas par hasard quelqu’un qui a laissé sa porte ouverte.

Exercer une saine sécurité sur le plan personnelle va aussi de la responsabilité citoyenne — comme se faire vacciner. Au-delà de l’égoïsme de sa propre protection, nous avons des responsabilités vis-à-vis de la communauté dont nous faisons partie. Si votre conscience vous pèse et que vous désirez faire quelque chose, voici quelques instructions que vous pouvez suivre.

La sécurité des objets connectés va s’améliorer. Je ne suis pas trop inquiète sur ce plan-là, même si ça va sans doute prendre son temps. Ce qui me préoccupe plus c’est que cette attaque nous montre qu’internet est devenu bien trop centralisé. A la base, toute l’idée d’internet est d’être un réseau très distribué: si on en détruit une partie, cela ne remet pas en cause l’intégrité du réseau, et celui-ci continue à fonctionner.

En mettant à genoux non pas certains sites spécifiques, mais le système d’adresses qui nous permet de nous connecter à ces sites (les fameux DNS, panneaux de signalisation du web), c’est une grosse portion du réseau qui n’était plus là. Et ça nous rappelle aussi que nos activités en ligne sont dépendantes d’un nombre limité de gros acteurs dont la disparition subite nous handicaperait grandement: Twitter, Facebook, Wikipedia, Google.

Vendredi, je n’avais plus accès à Twitter, et durant un bon moment, ni Google ni Wikipédia ne répondaient. Je n’avais du coup plus accès à rien (ou presque), parce que je ne connais que très rarement les adresses complètes des pages auxquelles je veux accéder: je demande à Google.

Facebook a été épargné, mais une prochaine fois ça pourrait ne pas être le cas.

Addendum: jeudi soir qui vient, je donne à Genève une conférence introductive sur Twitter (et autres choses sociales). C’est ouvert au public et j’ai des invitations.

Also published on Medium.