Quand le spam et les botnets s’invitent au Collège de France share
back to to

Quand le spam et les botnets s'invitent au Collège de France

12 mars 2011

Le spam et les botnets élevés au rang de sujets d’étude au Collège de France, ce « le lieu de sacralisation des hérétiques » (la formule est de Bourdieu) : c’est un amphithéâtre plein à craquer qui a accueilli, jeudi 10 mars, Martin Abadi, venu prononcer sa leçon inaugurale, dans le cadre de la chaire « Informatique et Sciences Numériques ».

>> Nous y étions et nous vous en proposons de larges extraits – d’autant que la question est résolument d’actualité … .

Une chaire « Informatique et Sciences Numériques », c’est-à-dire ?

Créée en partenariat avec l’INRIA (l’Institut National de Recherche en Informatique et en Automatique), elle se donne l’objectif de « penser, modéliser et maitriser le calcul informatique ». En clair : de faire valoir l’importance de l’informatique et des sciences numériques en tant que discipline scientifique et de lui accorder une place de choix. Elle était précédemment occupée par Gérard Berry.

Cette année, la grande thématique de la chaire est la sécurité informatique : des politiques de sécurité au contrôle des flots d’information, en passant par la fiabilité des logiciels, la cryptographie ou les protocoles…

Le programme est vaste pour Martin Abadi qui sera aidé par de prestigieux intervenants qui viendront apporter leur pierre à l’édifice : parmi eux, John Mitchell (Standford), Ron Rivest (MIT) ou encore Adi Shamir (Institut Weizmann).

Qui est Martin Abadi ?

martin-abadi Né à Buenos Aires, docteur en informatique de Stanford, il est professeur à l’University of California, à Stanford et est « principal researcher » à Microsoft Research dans la Silicon Valley depuis 2006. (Disclaimer : Microsoft est l’éditeur de RSLN, NDLR)

Passionné par la sécurité informatique et les langages de programmation, il a notamment travaillé sur le développement de la théorie des langages de programmation orientés-objet et à la conception et l’analyse des protocoles de communication sécurisés sur l’Internet.

Une leçon inaugurale ?

Le Collège de France est une maison qui repose sur plusieurs traditions fortes : la première est celle de la gratuité des cours, non diplômants, qui sont ouverts à tous.

La seconde est celle qui consiste tout nouveau professeur à débuter son programme d’enseignements par une leçon inaugurale : au cours d’une petite heure, le nouvel entrant peut poser les bases de son enseignement, en présenter les objectifs, mais également exposer un certains nombre de présupposés.

De Claude Lévi-Strauss à Roland Barthes en passant par Raymond Aron ou Michel Foucault, les penseurs et les chercheurs les plus influents et les plus brillants de leurs temps se sont livrés à ce même exercice, et leurs leçons inaugurales sont des moments forts dans leur parcours intellectuel.

La sécurité informatique dans un monde numérique

Martin Abadi commence sa leçon en montrant que les questions de la sécurité informatique dépassent largement le cadre de cette seule discipline pour se retrouver jusqu’en première page des journaux : du contrôle du débat politique sur l’Internet en Chine, au Moyen-Orient et dans de nombreux autres pays, de Wikileaks aux inquiétudes des fraudes bancaires en passant par la question de la vie privée en ligne, les exemples sont nombreux.

La sécurité est ainsi non seulement au cœur du monde politique et militaire mais également au centre des activités publiques et privées :

« Le monde devient numérique : la sécurité devient numérique elle aussi, dans l’industrie, le commerce, la gestion de données médicales et bien d’autres domaines. »

Et les questions qu’elle suscite sont délicates : les systèmes et les réseaux sont ouverts, multi-supports (ordinateurs, Smartphones, télévisions, tablettes…) et gérés par des entités individuelles plus ou moins compétentes.

Le spam, « malgré lui » au cœur de la sécurité informatique

Martin Abadi développe son propos en prenant pour exemple le spam : il peut paraître moins impressionnant ou dangereux que l’espionnage industriel ou que les virus mais par son volume (environ ¾ des mails envoyés), il entraine une baisse de la qualité de la communication. Et c’est surtout un révélateur de nombre de pratiques et de problématiques au cœur de la sécurité informatique.

A commencer par l’accent mis par les spams sur deux des notions clefs de la sécurité informatique : l’authentification – c’est-à-dire répondre à la question : de qui vient le message – et l’autorisation – doit-on délivrer ou non le message.

  • Mais d’où viennent tous ces spams ?

Leur grande majorité provient de vastes réseaux d’ordinateurs contrôlés par des attaquants, à l’insu de leurs propriétaires : c’est ce qu’on appelle les « botnets », littéralement des réseaux où chacun des ordinateurs est un « bot », un robot.

Outre pour les spams, les botnets sont également utilisés dans des buts criminels, politiques ou idéologiques, comme dans le cas des attaques par déni de service (plus connues sous le nom d’attaques DOS pour « denial of service ») à l’image de celle contre l’Estonie en 2007, contre les sites de Paypal, Visa et Mastercard par Anonymous ou encore contre les serveurs de Wikileaks, fin novembre 2010.

Les botnets, en plus d’amplifier le pouvoir des attaquants, leur garantit un certain anonymat : un botnet peut compter des dizaines de milliers de robots et des estimations en 2007 annoncées déjà peut-être 100 ou 150 millions de bots.

Le travail des bots est typiquement coordonné par des ordinateurs, maîtres ou relais, qui se chargent de commander et de contrôler le réseau. Lutter contre ces immenses réseaux et les décapiter est extrêmement compliqué : les maîtres ne sont pas toujours les mêmes, ne restent pas toujours aux mêmes adresses sur l’Internet voire sont parfois décentralisés en utilisant les systèmes de pair-à-pair.

  • Des techniques de lutte de plus en plus puissantes

Pour autant, les moyens de lutter contre les botnets sont de plus en plus puissants et permettent la détection, la compréhension de leurs modes de fonctionnement et de leurs activités, pour les bloquer voire les détruire.

Il est par exemple possible de repérer des similarités et des régularités dans les actions des bots, pour les reconnaître, en déduire leurs alliances et mieux dépister et comprendre leurs attaques.

Ces techniques demandent néanmoins des capacités de calcul et de traitement de données à très grande échelle, pour analyser des milliards d’événements sur l’Internet.

  • Mais, à l’origine, comment un ordinateur devient-il un bot ?

Un bot est un ordinateur dont la sécurité a été compromise, grâce à des failles dans un logiciel, à des erreurs de ses usagers voire aux deux. Les techniques pour rendre un ordinateur « esclave » sont extrêmement variées et si certaines sont très sophistiquées, d’autres sont… bêtes et méchantes.

Exemple : un internaute peut recevoir une « proposition amoureuse tentante » du type iloveyou.exe. Un fichier en .exe signifie que la carte contient un logiciel et le programme se lance quand l’usager clique dessus. Le programme contacte alors les maîtres d’un botnet et suivent ces ordres : l’ordinateur est devenu un bot, sans que son propriétaire ne s’en soit nécessairement rendu compte.

La technique paraît simpliste pourtant elle fonctionne pourtant toujours… Mais le réel risque réside dans le fait que même si le nom du fichier est iloveyou.jpeg (une image) ou iloveyou.pdf, l’ordinateur reste vulnérable : des erreurs dans le logiciel d’affichage des images peuvent permettre à l’attaquant de contourner les mécanismes de défenses de l’ordinateur.

C’est ainsi qu’en 2004, une image JPEG corrompue pouvait lancer des programmes sur Windows ou plus récemment en 2010, des failles dans la gestion des fichiers PDF sur Iphone et sur Ipad permettaient de prendre contrôle des terminaux.

Les usagers jouent un rôle essentiel dans la sécurité

Les internautes sont souvent le maillon le plus faible de la chaîne : parce qu’ils choisissent des mots de passe trop simples (oui, « 123456 » n’est pas un mot de passe fiable… même si il est déjà meilleur que « 12345 »), parce qu’ils sont toujours prêts à cliquer sur des liens ou des programmes attirants sans savoir ce qui se cache derrière.

Martin Abadi explique qu’il ne faudrait pas pour autant les blâmer car la donne actuelle ne les incite pas nécessairement à prendre les bonnes précautions : payer pour un programme plus fiable mais pas nécessairement plus plaisant à utiliser n’est, par exemple, pas très motivant. La sécurité accrue d’un logiciel est difficile à prouver et ne présente pas forcément un bénéfice direct pour l’utilisateur.

Pour revenir à l’exemple des spams, son ordinateur n’enverra peut-être plus de spams aux autres mais lui en recevra toujours autant. C’est pour cela qu’il faut que les nouvelles techniques plus sécurisées soient plus faciles à utiliser correctement, qu’elles en valent la peine pour les usagers.

En faisant l’analogie avec la médecine, le chercheur montre que la sécurité n’est pas seulement un problème individuel ou technique mais que c’est bel et bien aussi un problème social et sociétal :

« Les maladies de chaque individu (ou de chaque ordinateur) créent un danger pour les autres. »

Pour aller plus loin :

Chaque semaine,
recevez les immanquables
par email