Allez, c'est l'heure pour un petit cours réseau et sécurité :)
Expliquons succintement comment la chine a pu récupérer 15% du trafic internet mondial le 8 avril dernier :
http://www.nationaldefensemagazine.org/blog/Lists/Posts/Post.aspx?ID=249# Le routage (principe permettant de dire à une communication de passer par tel ou tel endroit pour atteindre son but) est régit sur internet par une suite de protocole.
IP (Internet Protocol), qui fournit notament les couches réseaux avec les fameuses adresses IP comme vous pouvez avoir chez vous en 192.168.*, puis il y a
BGP (Border Gateway Protocol) qui va ajouter un dynamisme à tout ça en permettant d'échanger ces routes. Jusque là tout le monde suit ? Donc...
Toutes ces routes sont connues par des "routeurs" justement, qui connaissent donc toutes les routes pour tous les réseaux qui sont annoncés sur internet. Si une personne décide de devenir un "acteur d'internet" alors qu'il commande un préfixe IP et il lui est attribué un numéro d'AS (qui est un identifiant). Cet AS lui permet de s'annoncer à d'autres routeurs, et de faire en sorte que cette annonce soit propagée partout sur internet, jusqu'à convergence.
Un moyen de gérer les routes, est d'apprendre dynamiquement par un mécanisme d'annonce. Mais que se passe-t-il si on annonce un réseau IP qui n'est pas le nôtre ? Et bien exactement ce qui s'est passé l'été dernier lorsque le pakistan a voulu bloquer Youtube. Le trafic mondial est alors redirigé vers Pakistan Telecom, qui le redirige dans un trou noir.
Mais ceci est très visible et peu malin... comment être plus discret... On peut également faire croire qu'on est la meilleure destination pour atteindre quelqu'un. C'est précisement ce qu'a fait la Chine. Sauf qu'au lieu de diriger le trafic dans un trou noir, elle l'a redirigé sur Internet, faisant "uniquement" "passerelle". Notez les guillemets car faire passerelle ne veut pas dire qu'on ne peut pas récupérer le trafic. En effet une petite configuration d'une ligne permet de dupliquer le trafic pour l'analyser à sa guise. Ni vu ni connu, la Chine a sniffé 18 minutes de 15% du trafic mondial.
Oui mais j'utilise des sites sécurisés HTTPS (avec le cadenas)
Le problème des autorités de certification, c'est qu'elles fonctionnent sur un principe de confiance. Les certificats publics intégrés aux navigateurs sont même là pour nous éviter de les ajouter manuellement. Le problème ici... c'est que la Chine a aussi son certificat public (ROOT CA) implanté partout. Vous pouvez le vérifier en allant dans vos préférences (par exemple sous firefox, "
préférences" > "
avancées" > "
Encryption" > "
Voir Certificats", puis chercher la ligne
CNNIC pour "
China Internet Network Information Center").
Allons donc un peu plus loin qu'une simple redirection de trafic comme je l'ai suggeré un peu plus haut. Si, maintenant, la Chine met un peu plus d'intelligence et se met en coupure avant de rediriger le trafic... Si, lors de la négociation SSL pour se connecter en HTTPS (SSL est le nom de la sécurité apportée par le S de HTTPS), c'était non pas avec le site web mais avec un serveur chinois qu'on était en train de se connecter de manière sécurisée ?
Oui mais Steven, le site, lui, veut du HTTPS... Certes :) mais rien n'empèche le serveur Chinois de se comporter en un client quelconque. Ainsi, le client qui fait son achat sur Internet se connecte sur son site de vente, de manière sécurisée, mais pas de bout en bout. il existe un serveur, en chine, où le trafic sera en clair pendant 18 minutes, et où y transiteront probalement mot de passe, numéros de cartes bancaire, etc... mais surtout quelques informations militaires, quelques email de dissident chinois, des conversations instantannées, etc...
Mais alors, comment continuer à échanger avec mon ami chinois Pong à propos de droit de l'homme ? Il existe d'autre moyen de sécuriser une communication. Au lieu de faire confiance à une autorité qu'on ne connait en fait pas vraiment... pourquoi ne pas faire confiance plutôt à la personne directement ? C'est de ce postulat qu'est né "
pgp" (ou "
gpg" pour son implémenation libre). pgp va permettre de créer un "réseau de confiance" par signature réciproque de clé. Moi Steven, confirme que je connais Pong, alors je signe sa clé. Pong me connais, il signe ma clé. Ainsi, sa clé comme la mienne s'en trouvent enrichies, et Pong peut chiffrer des messages à l'aide de ma clé, et moi seul pourrait lire son message. Certains protocoles de messagerie instantannée, à l'instar de
jabber (xmpp), gère gpg, et permettent ainsi un chiffrement des conversations de bout en bout (E2E ou End to End Encryption). Utile pour parler de choses confidencielles, comme pour assurer un secret professionel à travers Internet par exemple...
La messagerie c'est bien, mais un Professionel et ses partenaires sur Internet alors ?
Hey, hey ,hey Jeunes padawans ! ne sous-estimez pas la puissance de la force^H^H^H^H^H^H^H^H^H^Hdes équipes infrastructure/réseau ;) Afin de blinder les communications avec des partenaires sur Internet, nous utilisons un autre mécanisme qui consiste non plus seulement à sécuriser l'échange, mais qui authentifie également une connexion client. C'est pourquoi il existe aussi la notion de certificat client (vous vous souvenez de vos paiement d'impôts en ligne ? bien c'était ça que vous aviez installé ;) ). Ce certificat permet alors pour le serveur de s'assurer du client qui se connecte. Or ce certificat est privé, et aucune autorité de certification n'en dispose ou ne peut en abuser. Donc notre serveur chinois (et ils auront beau être 1,4 millards ça n'y changera rien :) ) ne pourra alors pas se faire passer pour un client auprès du site partenaire, car ils ne disposeront pas du certificat client nécessaire. (ahah the look of your faces chineses !)
Ceci-dit, les certificats clients sont lours à utiliser, et trop cher à l'échelle de tous les internautes multiplié par tous les sites web qui pourraient en user, donc c'est utilisé au compte-goute.
Pour plus d'info, me demander par mail/jabber ou en commentaire.
