En ce moment

Comment identifier les pirates informatiques qui détournent des sites web ?

Posté le 1 novembre 2019
par Philippe RICHARD
dans Informatique et Numérique

Le détournement d'adresses IP (ou IP hijacking) est une forme de cyberattaque de plus en plus populaire. En s’appuyant sur un système d'apprentissage machine (IA), des chercheurs du MIT et de l'Université de Californie comprennent mieux les techniques des pirates.

Tous les appareils connectés à l’Internet disposent d’une adresse IP (« Internet Protocol »). Elle est représentée par une série de nombres séparés par des décimales. Mais ce type d’adresse est trop compliqué à retenir et pénible à retaper à chaque fois que l’on souhaite se connecter à un site.

D’où la création du système de noms de domaine (Domain Name System ou DNS). Il fait correspondre les adresses Web (par exemple https://www.techniques-ingenieur.fr/) avec les adresses IP des serveurs qui hébergent ce site Web. En réalité, toute l’infrastructure réseau passe par le DNS : sites, messagerie électronique, imprimante, gestion des badges d’accès… Demain, ce sont les milliards d’objets connectés qui y seront reliés.

Les adresses IP et les DNS sont donc deux points très sensibles qu’il convient de surveiller de près, car des pirates peuvent tenter de les détourner. Cette technique n’est d’ailleurs pas récente comme on peut le constater en lisant cet article sur le blog de Stéphane Bortzmeyer, informaticien à l’Association française pour le nommage Internet en coopération (Afnic) : le gouvernement du Pakistan avait bloqué YouTube en février 2008.

Lorsqu’un internaute se connecte à un site, le serveur DNS vérifie dans son « cache » l’existence de cette adresse. Mais si ce DNS a été piraté, il sera dirigé vers un autre site. Il lui ressemblera comme deux gouttes d’eau (si les pirates sont très « professionnels ») mais sa finalité sera malveillante (dont la récupération de vos données personnelles).

150 000 dollars en 2 heures !

On estime qu’en 2017, les incidents de routage tels que les détournements IP ont touché plus de 10 % de tous les domaines dans le monde. Toutes les entreprises peuvent être victimes, même les poids lourds du net ! En avril 2018, des pirates avaient détourné le trafic d’Amazon pendant 2 heures : 13 000 adresses IP avaient été redirigées et 150 000 dollars avaient été volés auprès des internautes qui pensaient aller sur le site de ce géant du e-commerce.

Le même mois, des pirates avaient mis en place un détournement des protocoles DNS pour usurper l’identité d’un portefeuille en ligne d’ethers, une cryptomonnaie alternative. Résultat : ils ont volé pour environ 20 millions d’euros.

Une étude de l’année dernière avance l’hypothèse qu’une entreprise chinoise de télécommunications a utilisé cette approche pour recueillir des renseignements sur les pays occidentaux en réacheminant leur trafic Internet par la Chine.

Il est donc important d’anticiper cette menace qui repose principalement sur une lacune importante du Border Gateway Protocol (BGP), un mécanisme de routage, comme le rappelle l’étude du MIT et de l’Université de Californie (CAIDA). La technique malveillante consiste donc à « convaincre »  les réseaux voisins que le meilleur moyen d’atteindre une adresse IP spécifique est de passer par son réseau.

Pour mieux identifier les attaques en série, le groupe de scientifiques a d’abord extrait les données de plusieurs années de listes de diffusion des opérateurs réseau, ainsi que les données BGP historiques prises toutes les cinq minutes depuis la table de routage globale.

À partir de là, ils ont observé les qualités particulières des acteurs malveillants et ont ensuite formé une intelligence artificielle, un modèle d’apprentissage machine pour identifier automatiquement de tels comportements. Ils ont ainsi pu identifier environ 800 réseaux suspects qui pirataient des adresses IP pendant des années.

Les Américains ont découvert que les blocs d’adresse des pirates disparaissent plus rapidement que celles des réseaux légitimes. Les cybercriminels utilisent également des blocs d’adresses IP multiples (préfixes de réseau) qui sont enregistrés dans plusieurs pays à la fois.

Cette étude est donc un excellent moyen de valider ou de réorienter les efforts de la communauté des opérateurs de réseaux pour mettre un terme à ce type d’attaque.


Pour aller plus loin