2008, la fin de l’Internet ?

Pourquoi l’Internet a-t-il disparu ? On pourrait dire que l’année 2008 a été l’année de la surenchère dans le domaine des annonces catastrophiques…. Petit retour sur l’actualité :• Début juillet 2008, Dan Kaminsky [1], avec « sa » faille DNS, annonçait la fin du monde, car le protocole DNS serait totalement insécurisé : n’importe qui peut faire du « cache poisoning », c’est-à-dire modifier des enregistrements DNS sur un serveur de type cache récursif. Il est ainsi théoriquement possible de réorienter le trafic choisi (mail, web…) d’un abonné ou d’un réseau vers la destination de son choix.• Début septembre 2008, Robert E. Lee et Jack C. Louis déclaraient avoir découvert une terrible faille dans les piles TCP/IP des systèmes d’exploitation. La faille permet une atteinte à la disponibilité (DOS) de tous serveurs connectés… Le sujet a été un peu introduit lors d’une première conférence sécurité, Sec-T, puis a fait l’objet d’une annonce plus importante [2] sur le site « slashdot ». Le CERT finlandais « CERT-FI » a d’ailleurs aussi publié un avis [3] critique…• Un mois plus tard, début octobre donc, c’est au tour de la société Elcomsoft [4] d’annoncer la fin de l’Internet, ou plutôt celle du Wi-Fi, avec leur solution rendant possible le cassage des solutions de sécurité / chiffrement les plus puissantes utilisées dans le Wi-Fi, à savoir WPA et WPA2… suivi très rapidement par une autre annonce encore plus effrayante sur le « cassage » de TKIP [5]…Alors, que penser de tout cela ? Visiblement, de nombreuses personnes et sociétés n’hésitent plus à annoncer la fin du monde.La faille DNS annoncée par Dan Kaminsky est clairement une faille importante. Mais la présenter comme critique pour l’Internet était peut être un peu exagéré. De plus, la gestion de l’annonce (faille annoncée début juillet, en indiquant que les informations techniques seraient fournies lors de la grande conférence « BlackHat 2008 » de Las Vegas (voir le compte rendu publié dans la lettre Sécurité Sans fil, éditions TI, n° 19) sent clairement le coup de pub… et n’ai pas forcément le meilleur moyen de gestion de ce type d’incident à l’échelle d’Internet…La faille TCP, à l’heure de l’écriture de cet article, n’est toujours pas publiée, mais on peut d’ores et déjà dire que la médiatisation de l’affaire semble un peu disproportionnée… Les auteurs n’ont pas non plus hésité à annoncer qu’ils détailleraient leurs trouvailles lors de la conférence T2 [1] prévue mi octobre 2008. Malheureusement, aucune information n’a été fournie lors de ladite conférence… le sujet est-il encore trop dangereux pour être abordé ?Enfin, penchons nous sur Elcomsoft et son annonce de la fin de la sécurité sur les réseaux Wi-Fi. Il est probablement inutile de rappeler qu’Elcomsoft est une société commerciale, vendant des solutions de cassage de mot de passe reposant sur l’utilisation de matériel atypique (GPU de carte graphique notamment) pour améliorer les performances. En décortiquant un peu l’annonce, on apprend qu’Elcomsoft a tout simplement, grâce à une puissance de calcul accrue, amélioré d’un facteur 100 (à discuter…) la vitesse de cassage de clef. Et alors ? Rien de neuf, car comme l’explique mon confrère Cédric Blancher sur son blog [2], une simple clef PSK de 8 caractères nécessite… 2103 années de calcul… Reste l’annonce des faiblesses sur TKIP. Mais là encore, les journalistes ont peu être un peu trop parlé avant de connaître (et comprendre ?) tous les détails…La mode est à la surenchère, tout est bon pour attirer l’attention des médias, quitte à mentir un petit peu ne serait-ce que par omission… Gardons notre esprit critique lors de la lecture de l’actualité Internet…Franck Veysset, expert en sécurité des réseaux[1] La conférence T2 : http://www.t2.fi/schedule/2008/#speech8 [2] Le blog de Sid : http://sid.rstack.org/blog/index.php/299-ca-fout-les-boules[1] Doxpara, le blog de M. Kaminsky : http://www.doxpara.com/?p=1204[2] http://it.slashdot.org/it/08/10/01/0127245.shtml[3] https://www.cert.fi/haavoittuvuudet/2008/tcp-vulnerabilities.html[4] L’annonce de Elcomsoft, http://www.elcomsoft.com/news/268.html reprise notamment ici: http://mobile.slashdot.org/article.pl?sid=08/10/12/1724230&from=rss [5] « Gone in 900 Seconds, Some Crypto Issues with WPA« , conférence PACSEC 2008, Erik Tews