«Toute technologie suffisamment avancée est indiscernable de la magie.» Arthur C. Clarke. Ce vendredi 21 octobre, au moment où je vous écris, internet est tombé. Comme on le dit d’un serveur. Des centaines, sans doute des milliers de services ont été touchés.
D’abord, que s’est-il passé? Sans doute la plus grande et violente attaque par déni de service, de son petit nom, DDOS, distributed denial of service. Cette agression prend la forme d’un siège des serveurs qui permettent aux services internet de fonctionner. Par analogie, imaginez que vous avez une boutique, une gentille petite boutique bien organisée, parfaitement adaptée à la demande et à sa zone de chalandise. Tout à coup, un acte malveillant fait que des milliers de personnes se ruent dans le magasin, ou plutôt restent à la porte car le nombre de requêtes est tel que le service –ici notre commerce– est affreusement engorgé. Aucun client ne peut plus entrer, c’est un embouteillage monstre. Un incident qui demande des heures à être réparé, pour que le trafic revienne à la normale.
C’est toute la beauté d’internet. Tout le monde participe, on dit que c’est une technologie distribuée: votre ordinateur connecté est lui aussi un relais du réseau, un de ses milliards de nœuds. Là, dans la fameuse attaque DDOS, votre ordinateur participe en dépit de votre plein gré. Cela revient à dire que vous pouvez vous aussi vous rendre à la porte du magasin attaqué, sans le savoir.
Qui était la cible de cette agression? Une entreprise américaine de la côte est, Dyn, jusqu’alors inconnue (ou presque) des plus de 3 milliards d’internautes du monde. Cette entreprise assure un service de DNS, pour Domain Name System. Pour continuer avec mon analogie, c’est l’annuaire. C’est le service qui fait le lien entre un nom de domaine et une adresse IP. Dans le monde physique, la boutique Stratégies se trouve au 23 bis, rue Barthélémy-Danjou, à Boulogne-Billancourt. Sur internet, Strategies.fr c’est 217.25.180.161. Vous pouvez tester les deux, si vos intentions sont pacifiques, je suis sûr que la porte sera grande ouverte.
Cyber-insécurité
Vendredi dernier, le service DNS est assiégé et patatras. Ce n’est pas uniquement Dyn qui sombre mais tous ceux qui sont inscrits dans son registre, son annuaire. La liste donne le tournis, Twitter, Reddit, New York Times, Spotify et même notre cher Voyages-sncf.fr. Car, oui, troisième fondement de la magie d’Internet dont on découvre les «trucs» à cette occasion, après l’architecture globale du World Wide Web et son DNS, c’est sa globalité et son interopérabilité: des services «locaux» sont hébergés à l’autre bout du monde et la plupart des services sont dépendants d’autres –c’est ce qu’on appelle les API.
Vendredi 21 donc, des millions d’adresses IP ont «appelé» les services de Dyn et ont provoqué la plus grande pagaille de l’histoire d’internet. Je suis persuadé qu’il y aura un avant et un après.
Parlons de l’après. Cela fait de nombreuses années que le Pentagone a placé la cybersécurité comme une menace supérieure à celle du terrorisme. À l’heure du retour de la guerre froide, un internet très américain a bien sûr à craindre des hackers ou mercenaires de Russie ou de Chine. La Corée du Nord aussi est un danger: rappelez-vous des leaks, les fuites, qui avaient ébranlé Sony qui sortait un film ridiculisant Kim Jong-un, il y a deux ans. C’est donc un nouvel ordre géopolitique mondial qui est en jeu, mais ce n’est pas tout. C’est la démocratie et la liberté d’expression aussi. La campagne pour les élections présidentielles américaines a été marquée par les révélations et les attaques dont Hillary Clinton et son parti ont été les cibles.
Machines zombies
Fin septembre, une précédente attaque DDOS avait déjà donné l’alerte. D’ampleur plus faible, «seulement» 600 gigabits par seconde –soit le volume de téléchargement de 1000 films à la… seconde–, elle avait utilisé plus d’un million de webcams comme botnet, réseau de machines zombies, infectées par un virus, pour attaquer un… blog sur la cybersécurité, hébergé chez le géant Akamai. La société n’avait pas eu d’autre choix que d’abandonner le blog et son contenu: le coût de la protection contre ce type d’attaques qui ont doublé cette année serait estimé à 200 000 euros par an et par site. Seul Google grâce à son projet Project Shield, a été capable d’accueillir le blog (bravo).
Internet n’est donc ni magique ni gentil. Vous devez être nombreux à rire sous cape, vous le saviez depuis toujours. Pour moi, c’est une surprise, comme le jour où on se rend compte qu’il faudra toujours mettre un cadenas sur son vélo. Nous sommes désormais avertis: au moment où l’intelligence artificielle est sur toutes les lèvres, où la puissance des machines est à la mesure de notre dépendance, des individus, des organisations voire des États, sont en mesure de lever des armées d’objets connectés pour mettre en pièce vos services. Je vais m’acheter un cadenas, avec la même certitude que pour mon vélo: si internet n’est pas magique, la sécurité l’est encore moins.
