Le 5 avril 2007 Susan Crawford, professeur de droit à l’université de Cardozo et membre du conseil de l’ICANN a donné une conférence au Hudson Institute (un think-tank à Washington) sur le thème "Institutions of Internet Security."
Le professeur Crawford a passé en revue les 4 problèmes les plus critiques concernant l’infrastructure de l’Internet :
1 – câbles et switches
2 – sécurité du routage : une attaque de ce genre pourrait contrôler les "routers" et provoquer la perte de connexion et/ou le vol de données personnelles ;
3 – attaques contre les serveurs DNS (Domain Name System) : les spammeurs pourraient compiler des listes d’adresses de courriel en utilisant les registres DNS ;
4 – attaques distribuées de type déni de service (Distributed Denial of Service – DDoS) : les ordinateurs sur un réseau deviennent des zombies ("bot-nets") et sont controlés pour faire tomber un réseau
Selon le professeur Crawford, les risques liés aux attaques sur les DNS et de type DDoS sont les plus urgents et prioritaires pour la sécurité de l’infrastructure de l’Internet, mais il n’y a malheureusement aucune organisation en place actuellement pour y faire face (ni le Department of Homeland Security, ni ICANN, IGF, IETF, CERT, ni l’industrie ne sont organisés). Ces mêmes points critiques de l’infrastructure de l’Internet sont relevés dans le Federal Plan for Cyber Security and Information Assurance Research and Development publié en 2006 par le Interagency Working Group on Cyber Security and Information Assurance du National Science and Technology Council et le NITRD.
Même les fonds nécessaires pour entreprendre des actions ne sont pas là. Le professeur Crawford propose la formation d’une agence internationale dont le seul objet serait de prendre en charge les risques DNS et DOS ainsi que la sécurité du routage.
La cybersécurité est un thème important pour le Department of Homeland Security (DHS), qui voudrait prendre le contrôle des routeurs et renforcer les défenses contre les cyber-attaques. En 2006, DHS avait simulé une attaque sur Internet appelé "Cyberstorm" avec la participation de la défense, de la NSA, des ministères des affaires étrangères, de la justice, de l’industrie (dont Microsoft, Symantec et Verisign), ainsi que des agences homologues canadienne, britannique, australienne et néo-zélandaise.
Pour autant de nombreux observateurs estiment que le DHS n’en a pas fait assez en matière de cybersécurité et n’est pas prêt à assumer le rôle qu’il se propose de prendre en charge. Tout récemment encore, le Government Accountability Office (organisme d’audit gouvernemental) a indiqué dans une lettre le 5 avril 2007 que les centres DHS devraient être plus coordonnés et coopérer davantage avec l’extérieur.
Le professeur a par ailleurs relevé, comme bien d’autres, que les fonds consacrés à la sécurité informatique sont essentiellement dévolus à la résolution des problèmes (détection d’intrusion et contre-mesures en cas d’intrusion) et pas assez à la prévention des risques.
Pour en savoir plus, contacts :
– Hudson Institute : https://www.hudson.org/index.cfm?fuseaction=hudson_upcoming_events&id=384
– DNS attacks – ICANN Fact Sheet : https://www.icann.org/announcements/factsheet-dns-attack-08mar07_v1.1.pdf
– Cyberstorm : l’initiative du DHS : https://www.csmonitor.com/2006/0213/dailyUpdate.html
– GAO Letter: DHS Multi-Agency Operation Centers Would Benefit from Taking Further Steps to Enhance Collaboration and Coordination
https://www.gao.gov/new.items/d07686r.pdf
– Federal Plan for Cyber Security and Information Assurance Research and Development : https://www.nitrd.gov/pubs/csia/csia_federal_plan.pdf
Code brève
ADIT : 42310
Rédacteur :
Elodie Sutton, [email protected] ; Jean-Philippe Lagrange, [email protected]
