Interception de trafic sur fond de guerre froide

Miniature de l'image pour S INTERNATIONAL.gif

L'information a été confirmée le 17 novembre par la très sérieuse commission "US-China Economic and Security Review Commission" dans son dernier rapport annuel à destination du Congrès américain.

L'annonce est digne des grands blockbusters Hollywoodiens : "Durant 18 minutes le 8 avril 2010, 15% du trafic Internet en provenance des Etats-Unis, et de certains autres pays, a été routé sur les équipements de l'opérateur China Telecom".

Les acteurs

La commission "US-China Economic and Security Review Commission" a pour objectif de surveiller, d'enquêter, et de soumettre au Congrès un rapport annuel sur les implications de sécurité nationale du commerce bilatéral (et des relations économiques) entre les États-Unis et la République populaire de Chine, et de formuler des recommandations à des fins d'actions législatives et administratives.

La société China Telecom est l'opérateur d'état l'un des opérateurs dominants (mise à jour 04/12/2011) de la téléphonie en Chine. Fort de 670.000 employés, il revendique 189 millions d'abonnés en téléphonie fixe, 56 millions d'abonnés en téléphonie mobile et environ 53 millions d'abonnés Internet.

La société McAfee, éditeur et fournisseur de solution de sécurité informatique. C'est sur le blog McAfee Labs que va tout d'abord être confirmée la nouvelle dans un billet très explicite intitulé "U.S.-Based Internet Traffic Redirected to China".

 

Le décor

A première vue, le théâtre des opérations ressemble beaucoup à celui de la nuit de Noël 2004 quand la sociéte turque TTNet avait rerouté une grosse partie du trafic IP (plus de 100.000 routes) vers ses infrastructures. Cette fois-là, les utilisateurs avaient constaté durant quelques heures une impossibilité de se connecter à de nombreux serveurs car l'opérateur TTNet n'avait pas pu absorbé ce pic de trafic.

Le 8 avril 2010, ce sont 15% des routes (entre 32.000 et 37.000) qui sont soudainement annoncées par les équipements réseaux de China Telecom, et ce durant 18 minutes. Selon McAfee, les données des réseaux militaires et gouvernementaux américains, ainsi que celles de pays comme la Corée du Sud, l'Inde et l'Australie durent alors transiter par l'opérateur Chinois.

La question que se posent alors les experts réseaux est la suivante : s'agit-il d'un acte intentionné ou non ? Une chose est sûre cependant : le trafic détourné a ensuite été routé vers sa destination initiale, n'entraînant ainsi aucuns désagréments pour les utilisateurs.

Le scénario

Le titre de ce billet est bien entendu volontairement provocateur : devons-nous parler ici d'interception de trafic ou de routage de trafic ? Les mauvaises langues affirmeront que les administrations en ont rêvé (voir l'article "les écoutes électroniques "As a Service"), les opérateurs l'ont fait !

Le rapport 2010 de l'USCC nous apporte plus d'informations sous le titre "Interception of Internet Traffic" page 243 : aucun élément n'indique clairement une intention volontaire de l'opérateur chinois, ni si tel était le cas l'objectif de cette action. Néanmoins, les experts en sécurité s'accordent à dire que des activités malveillantes auraient pu être perpétrées à cette occasion.

Le 8 avril 2010, l'opérateur Internet "IDC China Telecommunication" aurait annoncé des routes IP erronées durant 18 minutes, ces annonces étant immédiatement reliées par l'opérateur national. Le trafic en provenance et à destination des organisations militaires et gouvernementales US (.mil et .gov) est alors immédiatement routé via les infrastructures chinoises, dont entre autres :
  • le Sénat,
  • les forces militaires terrestres, aériennes et navales (Navy, Marines, Air Force),
  • le Secrétariat d'Etat à la Défense,
  • la NASA,
  • le Département du Commerce,
  • l'Administration Nationale Océanique et Atmosphérique
Certaines organisations commerciales auraient également été concernées. Sont citées les sociétés Dell, Yahoo!, Microsoft et IBM, qui sont quelques-unes des perles de l'industrie informatique d'outre-atlantique.

Les effets spéciaux

Les non-initiés aux protocoles de routage IP vont tout naturellement se demander comment un opérateur de télécommunications peut tout simplement "annoncer" à la planète entière que le trafic de telle ou telle zone doit lui être envoyé.

La réponse tient en trois lettres : BGP pour Border Gateway Protocol, un protocole d'échanges de routes, mis en œuvre sur tous les routeurs des opérateurs. De savantes manipulations de ce protocole peuvent alors vous permettre d'échanger avec vos amis routeurs (qu'ils soient en interne ou en externe) et de calmement leur faire comprendre que le
moyen le plus court, pour envoyer un paquet IP vers la société X ou l'organisation Y, est de passer par vous. Simple, non ?!

Pour mieux comprendre le principe de ce type de détournement de trafic, je vous invite à lire (ou relire) les articles ci-dessous de Jean-François Audenard :
L'un de nos experts BGP, Laurent Guinchard, m'a également transmis cet article intitulé "Chinese ISP hijacks the Internet". Plus pointu, cet article daté du jour même de l'incident, révélait de nombreux détails techniques sur les routes IP concernées.

Les critiques

Nous venons de le voir, la communication autour de cet incident s'est déroulée en deux actes: une communication restreinte et technique dans les jours qui ont suivis le 8 avril 2010, puis une tournure plus politique et diplomatique depuis la sortie du rapport 2010 de l'USCC.

A ce jour, l'événement prend des proportions internationales : déclarations du porte-parole du Ministère Américain de la Défense d'un côté, déclarations du porte-parole des Affaires Étrangères Chinois de l'autre. Et le ton n'est pas encore aux embrassades et le terme "Guerre froide" est semble-t-il prononcé.

Certains experts, quant à eux, affirment qu'une telle opération peut permettre à l'attaquant d'analyser les données interceptées et de récupérer les données relatives aux sessions web (mots de passe, données bancaires), aux communications (messagerie instananée, voix sur IP), même si ces dernières sont cryptées via SSL (par la technique du "man-in-the-middle").

Une telle attaque est utopique me direz-vous ? L'utilisation d'un certificat SSL racine serait alors nécessaire ? Sachez que chaque navigateur web reconnaît dans ses autorités de confiance SSL "racine" le certificat "CNNIC" :

Interception Trafic Internet - CNNIC SSL Root Certificate

Ce certificat a été délivré à l'organisation à but non lucratif "China Internet Network Information Center" qui, selon son site web, "reçoit ses ordres du Ministère de l'Industrie et des Technologies de l'Information".

Conclusion

Loin de toute polémique de nature politique, cet article a simplement pour vocation de sensibiliser nos lecteurs sur les difficultés de communication qu'engendre ce type d'incident. Doit-on parler de "détournement", d'"interception", de "routage" de trafic ? De point de vue technique, il s'agit plus sûr de "routage" de trafic..

Mais il va de soi que dans un monde où l'économie numérique a pris une dimension mondiale, le moindre incident technique fait basculer les réflexions vers les stratégies politiques éventuelles des acteurs concernés. Simple provocation de l'un ou réelle volonté de
déstabilisation de l'autre ? Comme tout bon blockbuster, seul le spectateur a la réponse !

Vincent Maurin

Chez Orange Business, je suis en charge du domaine Sécurité au sein de la Direction du Développement des Produits et des Services. Mes expériences passées au cœur d'entités opérationnelles m'amènent à porter un regard particulier sur les difficultés de mise en œuvre des politiques et stratégies de sécurité pour les entreprises. Sécurité, efficacité et pragmatisme sont mes principaux axes de réflexion.