Le détournement d'adresses IP est une forme de cyberattaque de plus en plus répandue. Cela se fait pour diverses raisons, de l'envoi de spam et de logiciels malveillants au vol de Bitcoin. On estime qu'en 2017 seulement, les incidents de routage tels que les détournements d'adresses IP ont affecté plus de 10 % de tous les domaines de routage dans le monde. Il y a eu des incidents majeurs chez Amazon et Google et même dans des États-nations - une étude de l'année dernière a suggéré qu'une entreprise de télécommunications chinoise a utilisé cette approche pour recueillir des renseignements sur les pays occidentaux en redirigeant leur trafic Internet via la Chine.

Les efforts existants pour détecter les détournements d'adresse IP ont tendance à examiner des cas spécifiques lorsqu'ils sont déjà en cours. Mais et si nous pouvions prédire ces incidents à l'avance en remontant jusqu'aux pirates eux-mêmes ?

C'est l'idée derrière un nouveau système d'apprentissage automatique développé par des chercheurs du MIT et de l'Université de Californie à San Diego (UCSD). En mettant en lumière certaines des qualités communes de ce qu'ils appellent « les pirates de l'air en série, " L'équipe a entraîné son système à identifier environ 800 réseaux suspects et a découvert que certains d'entre eux pirataient des adresses IP depuis des années.

« Les opérateurs de réseaux doivent normalement gérer ces incidents de manière réactive et au cas par cas, permettre aux cybercriminels de continuer à prospérer facilement, " dit l'auteur principal Cecilia Testart, un étudiant diplômé du Laboratoire d'informatique et d'intelligence artificielle du MIT (CSAIL) qui présentera l'article lors de la conférence ACM Internet Measurement à Amsterdam le 23 octobre. « C'est une première étape clé pour pouvoir faire la lumière sur le comportement des pirates de l'air en série et se défendre de manière proactive contre leurs attaques."

Le document est une collaboration entre CSAIL et le Center for Applied Internet Data Analysis du Supercomputer Center de l'UCSD. L'article a été rédigé par Testart et David Clark, un chercheur scientifique principal du MIT, aux côtés du postdoctorant du MIT Philipp Richter et du data scientist Alistair King ainsi que du chercheur Alberto Dainotti de l'UCSD.

La nature des réseaux de proximité

Les pirates de l'air IP exploitent une lacune clé du Border Gateway Protocol (BGP), un mécanisme de routage qui permet essentiellement à différentes parties d'Internet de se parler. Grâce à BGP, les réseaux échangent des informations de routage afin que les paquets de données trouvent leur chemin vers la bonne destination.

Dans un détournement de BGP, un acteur malveillant convainc les réseaux à proximité que le meilleur chemin pour atteindre une adresse IP spécifique passe par leur réseau. Ce n'est malheureusement pas très difficile à faire, puisque BGP lui-même n'a aucune procédure de sécurité pour valider qu'un message provient réellement de l'endroit d'où il dit qu'il vient.

"C'est comme un jeu de téléphone, où vous savez qui est votre voisin le plus proche, mais vous ne connaissez pas les voisins à cinq ou dix nœuds, " dit Testart.

En 1998, la toute première audience du Sénat américain sur la cybersécurité mettait en vedette une équipe de pirates informatiques qui affirmaient qu'ils pouvaient utiliser le piratage IP pour mettre Internet hors service en moins de 30 minutes. Dainotti dit que, plus de 20 ans plus tard, le manque de déploiement de mécanismes de sécurité dans BGP est toujours une préoccupation sérieuse.

Pour mieux cerner les attaques en série, le groupe a d'abord extrait des données de plusieurs années de listes de diffusion d'opérateurs de réseau, ainsi que les données BGP historiques prises toutes les cinq minutes à partir de la table de routage globale. À partir de ce, ils ont observé des qualités particulières d'acteurs malveillants et ont ensuite formé un modèle d'apprentissage automatique pour identifier automatiquement de tels comportements.

Le système a signalé des réseaux qui avaient plusieurs caractéristiques clés, notamment en ce qui concerne la nature des blocs spécifiques d'adresses IP qu'ils utilisent :

• Modifications volatiles de l'activité :les blocs d'adresses des pirates de l'air semblent disparaître beaucoup plus rapidement que ceux des réseaux légitimes. La durée moyenne du préfixe d'un réseau signalé était inférieure à 50 jours, contre près de deux ans pour les réseaux légitimes.
• Blocs d'adresses multiples :les pirates de l'air en série ont tendance à annoncer beaucoup plus de blocs d'adresses IP, également connus sous le nom de « préfixes de réseau ».
• Adresses IP dans plusieurs pays :la plupart des réseaux n'ont pas d'adresses IP étrangères. En revanche, pour les réseaux que les pirates de l'air en série ont annoncé qu'ils avaient, ils étaient beaucoup plus susceptibles d'être enregistrés dans différents pays et continents.

Identifier les faux positifs

Testart a déclaré qu'un défi dans le développement du système était que les événements qui ressemblent à des détournements d'IP peuvent souvent être le résultat d'une erreur humaine, ou autrement légitime. Par exemple, un opérateur de réseau peut utiliser BGP pour se défendre contre les attaques par déni de service distribué dans lesquelles il y a d'énormes quantités de trafic vers son réseau. La modification de la route est un moyen légitime d'arrêter l'attaque, mais il semble pratiquement identique à un véritable détournement.

En raison de ce problème, l'équipe devait souvent intervenir manuellement pour identifier les faux positifs, qui représentaient environ 20 pour cent des cas identifiés par leur classificateur. Avancer, les chercheurs espèrent que les futures itérations nécessiteront une supervision humaine minimale et pourraient éventuellement être déployées dans des environnements de production.

"Les résultats des auteurs montrent que les comportements passés ne sont clairement pas utilisés pour limiter les mauvais comportements et empêcher les attaques ultérieures, " dit David Plonka, un chercheur principal chez Akamai Technologies qui n'a pas été impliqué dans le travail. "Une implication de ce travail est que les opérateurs de réseau peuvent prendre du recul et examiner le routage Internet mondial au fil des ans, plutôt que de se concentrer de manière myope sur des incidents individuels. »

Alors que les gens comptent de plus en plus sur Internet pour les transactions critiques, Testart dit qu'elle s'attend à ce que le potentiel de dommages du piratage IP ne fasse qu'empirer. Mais elle espère également que cela pourrait être rendu plus difficile par de nouvelles mesures de sécurité. En particulier, les grands réseaux fédérateurs tels que AT&T ont récemment annoncé l'adoption d'une infrastructure à clé publique de ressources (RPKI), un mécanisme qui utilise des certificats cryptographiques pour garantir qu'un réseau n'annonce que ses adresses IP légitimes.

"Ce projet pourrait bien compléter les meilleures solutions existantes pour prévenir de tels abus qui incluent le filtrage, anti-usurpation, coordination via des bases de contacts, et partager des politiques de routage pour que d'autres réseaux puissent le valider, " dit Plonka. " Il reste à voir si les réseaux qui se comportent mal continueront à se frayer un chemin vers une bonne réputation. Mais ce travail est un excellent moyen de valider ou de réorienter les efforts de la communauté des opérateurs de réseau pour mettre fin à ces dangers actuels. »

Cette histoire est republiée avec l'aimable autorisation de MIT News (web.mit.edu/newsoffice/), un site populaire qui couvre l'actualité de la recherche du MIT, innovation et enseignement.