Le Centre national de recherche sur la cybersécurité ATHENE a trouvé un moyen de casser l'un des mécanismes de base utilisés pour sécuriser le trafic Internet. Le mécanisme, appelé RPKI, est en fait conçu pour empêcher les cybercriminels ou les attaquants du gouvernement de détourner le trafic sur Internet.

De telles redirections sont étonnamment courantes sur Internet, par exemple à des fins d'espionnage ou par le biais de mauvaises configurations. L'équipe scientifique ATHENE du professeur Dr. Haya Shulman a montré que les attaquants peuvent complètement contourner le mécanisme de sécurité sans que les opérateurs de réseau concernés ne puissent le détecter. Selon les analyses de l'équipe ATHENE, les implémentations populaires de RPKI dans le monde étaient vulnérables au début de 2021.

L'équipe a informé les fabricants et a maintenant présenté les résultats au public d'experts internationaux.

La mauvaise orientation du trafic Internet fait sensation, comme cela s'est produit en mars de cette année lorsque le trafic Twitter a été partiellement détourné vers la Russie. Des entreprises ou des pays entiers peuvent être coupés d'Internet ou le trafic Internet peut être intercepté ou entendu.

D'un point de vue technique, ces attaques sont généralement basées sur des détournements de préfixes. Ils exploitent un problème de conception fondamental d'Internet :la détermination de quelle adresse IP appartient à quel réseau n'est pas sécurisée. Pour empêcher tout réseau sur Internet de revendiquer des blocs d'adresses IP qu'il ne possède pas légitimement, l'IETF, l'organisation responsable d'Internet, a normalisé l'infrastructure à clé publique de ressources, RPKI.

RPKI utilise des certificats signés numériquement pour confirmer qu'un bloc d'adresses IP spécifique appartient réellement au réseau spécifié. Entre-temps, selon les mesures de l'équipe ATHENE, près de 40 % de tous les blocs d'adresses IP ont un certificat RPKI, et environ 27 % de tous les réseaux vérifient ces certificats.

Comme l'a découvert l'équipe ATHENE dirigée par le professeur Haya Shulman, RPKI présente également un défaut de conception :si un réseau ne trouve pas de certificat pour un bloc d'adresses IP, il suppose qu'il n'en existe pas. Pour permettre au trafic de circuler sur Internet de toute façon, ce réseau ignorera simplement RPKI pour ces blocs d'adresses IP, c'est-à-dire que les décisions de routage seront basées uniquement sur des informations non sécurisées, comme auparavant. L'équipe ATHENE a pu montrer expérimentalement qu'un attaquant peut créer exactement cette situation et ainsi désactiver RPKI sans que personne ne s'en aperçoive. En particulier, le réseau affecté, dont les certificats sont ignorés, ne le remarquera pas non plus. L'attaque, baptisée Stalloris par l'équipe ATHENE, nécessite que l'attaquant contrôle un point de publication dit RPKI. Ce n'est pas un problème pour les attaquants d'État et les cybercriminels organisés.

Selon les enquêtes de l'équipe ATHENE, début 2021, tous les produits populaires utilisés par les réseaux pour vérifier les certificats RPKI étaient vulnérables de cette manière. L'équipe a informé les fabricants de l'attaque.

Aujourd'hui, l'équipe a publié ses conclusions lors de deux des plus grandes conférences sur la sécurité informatique, la conférence scientifique Usenix Security 2022 et la conférence industrielle Blackhat U.S. 2022. Le travail était une collaboration entre des chercheurs des contributeurs ATHENE Goethe University Frankfurt am Main, Fraunhofer SIT et Université de technologie de Darmstadt. + Explorer plus loin

Outil de mesure des technologies de sécurité émergentes Border Gateway Protocol