Le gouvernement envisage la mise en œuvre de sondes de détection sur les réseaux des opérateurs télécoms afin de protéger les infrastructures sensibles du pays.
Mirai, WannaCry, NotPetya… La multiplication des grandes attaques informatiques inquiète les responsables gouvernementaux qui sont en train de se demander comment protéger au mieux les infrastructures sensibles du pays.
A l’occasion d’un évènement organisé par Orange Cyberdefense, Guillaume Poupard, directeur général de l’ANSSI, a de nouveau fait part de son idée qui devrait bientôt se transformer en projet de loi : s’appuyer sur les opérateurs télécoms pour détecter voire bloquer les cyber-agressions les plus dangereuses. « Dans le cas d’une attaque massive de déni de service distribué, par exemple, les opérateurs sont les seuls à pouvoir agir », a-t-il expliqué. Un argument qu’il avait déjà donné il y a quelques semaines, à l’occasion du Forum International de la Cybersécurité, à Lille.
On ne sait pas quand ce projet de loi sera présenté. Sur le plan technique, l’ANSSI souhaite partager – au moins en partie – des signatures d’attaques avec les opérateurs pour que ceux-ci puissent les détecter directement dans leurs réseaux avant qu’elles ne fassent des victimes. Cette détection pourrait s’appuyer sur une série de marqueurs techniques comme les domaines DNS, les adresses IP ou les formats des paquets. Une analyse des flux approfondie de type « Deep Packet Inspection » est également envisagée. Pour y arriver, il faudrait évidemment que l’opérateur déploie sur son réseau des sondes de détection. « Cela me fait mal que des partenaires étrangers nous signalent des attaques sur notre territoire sans que nous soyons capables de les détecter », avait expliqué le directeur général à Lille, tout en ajoutant qu’il ne souhaitait pas « savoir comment ils font ».
Une technique qui présente des risques
Le problème, c’est que cette détection peut aller à l’encontre de certains principes comme le respect de la vie privée et la confidentialité des échanges. L’opérateur pourra-t-il inspecter le contenu des courriels qui transitent sur son réseau ? En cas de détection, pourra-t-il agir sur son réseau ? Et si oui, sous le contrôle de quelle instance ? En effet, pour bloquer une attaque DDoS, il peut être utile de désactiver temporairement des domaines DNS et de casser certains flux jugés malveillants, ce qui serait contraire à la neutralité du net.
Pour l’instant, les discussions sur ces points sont en cours. Pour Guillaume Poupard, en tous les cas, « il faut pouvoir détecter sans remettre en cause la neutralité du net ». De même, il faut pouvoir assurer la protection sans aller dans le contrôle ou l’espionnage, car « l’ANSSI n’est pas une agence de renseignement ». En même temps, il estime qu’il serait bien de « pouvoir inspecter ponctuellement l’infrastructure d’un hébergeur pour voir si un attaquant est là ». L’équilibre ne sera pas facile à trouver.