Piratage : les opérateurs doivent prendre le relais des entreprises

Par 26 novembre 2008 1 commentaire

Traditionnellement effectué par les routeurs des entreprises, le blocage des adresses IP malicieuses serait plus efficace s'il était organisé en amont par les fournisseurs d'accès à Internet. Un voeu pieux ?

Il faut que les opérateurs prennent en charge le filtrage des adresses IP afin de prévenir les attaques par déni de service distribué (DDoS). C'est en tout cas ce que proposent trois chercheurs en sciences informatiques (*) dans un article intitulé "Optimal filtering of Malicious IP sources". Consistant à utiliser à leur insu un grand nombre d'ordinateurs infectés par des virus, ces attaques permettent d'envoyer à un système informatique un nombre de requêtes trop important pour qu'il puisse les honorer. Pour faire face à de telles menaces, les routeurs des entreprises sont en général équipés de fonction ACL (Access Control Lists) qui permettent de bloquer les adresses malicieuses. Problème : ces systèmes de filtrage ralentissent le trafic. Et ne sont pas suffisamment rapides pour répondre instantanément à une attaque distribuée. C'est la raison pour laquelle les chercheurs proposent que les sociétés passent le relais aux fournisseurs d'accès. Lesquels placeraient lesdits filtres sur les routeurs de leurs propres réseaux.
Redistribuer le filtrage des adresses malicieuses
Le blocage de l'attaque se ferait donc en amont. Comme l'explique à L'Atelier Nicolas Kerschenbaum, consultant en sécurité informatique chez Xmco Partners, "toute mise en place de filtre suppose d'effectuer un test afin d'identifier l'adresse IP malicieuse. Or, s'il y a un trop grand nombre de requêtes mal intentionnées, il est très difficile pour un seul routeur de blacklister manuellement et à temps toutes les adresses dont elles émanent". Même s'il était possible de le faire automatiquement, la puissance de calcul nécessaire à cette opération est par ailleurs telle que le routeur serait momentanément rendu indisponible. "C'est pourquoi on envisage de redistribuer l'ensemble des filtres sur les différents routeurs des réseaux opérateurs". Objectif du projet : mieux répartir la puissance de calcul nécessaire à la recherche des sources IP malicieuses. "Il serait de la sorte possible de faire de très nombreux tests à partir de plusieurs routeurs sans qu'ils risquent d'être mis hors service".
Problèmes juridiques et technologiques
Ce déchargement du filtrage des routeurs des entreprises sur ceux des opérateurs est séduisant. Mais des problèmes demeurent, à la fois technologiques, politiques et juridiques. Les messages qui transitent sur le Web passent souvent par des routeurs appartenant aux réseaux de plusieurs opérateurs, eux-mêmes soumis à des systèmes législatifs différents. La mise en place optimale du dispositif suppose donc que la plupart si ce n'est tous les fournisseurs d'accès du monde y participent. Or, il est pour l'instant peu probable qu'ils le fassent. Car un tel filtrage préventif reviendrait à interdire aux propriétaires de machines zombies - dont la majorité ignore l'usage qui est fait de leurs ordinateurs - l'accès à la totalité du Web. Ces actions sont d'ailleurs totalement interdites par la loi dans certains pays, où elles sont considérées comme une atteinte aux droits de l'utilisateur. Reste donc à trouver une solution technique grâce à laquelle les routeurs des opérateurs ne bloqueraient pas toutes les requêtes des postes infectés.
(*) Deux de l'université de Californie, une autre de l'Ecole Polytechnique fédérale de Lausanne.

Haut de page

1 Commentaire

Si il n'est pas possible de filtrer les adresses sources, pourquoi les routeurs des opérateurs ne filtreraient-ils pas l'adresse de destination qui est celle du site visé par l'attaque DDoS, avec l'accord et sur demande du responsable du site attaqué ?

Soumis par Jacques PIAU (non vérifié) - le 01 décembre 2008 à 19h25

Mentions légales © L’Atelier BNP Paribas