La Chine a piraté 15% du trafic mondial en avril, par son réseau de routeurs et sans but affiché

[Katleen Erna]

La Chine a piraté 15% du trafic mondial en avril, par son réseau de routeurs et sans but affiché

C'est une information inquiétante qui vient d'être révélée. Il apparaît qu'en avril 2010, la Chine aurait piraté pendant 18 minutes environ 15% du trafic Internet mondial.

Ce sont donc les réseaux civils et militaires des USA ainsi que ceux d'autres pays situés en occident qui ont été touchés. Leurs données ont été siphonnées via un stratagème assez simple en apparence : les routeurs de l'opérateur local China Telecom ses sont signalés comme les plus rapides disponibles. Aussi, comme le veut le protocole du routage qui est basé sur l'honnêteté, les autres appareils ont redirigé leur trafic vers le réseau chinois.

China Telecom a donc réceptionné toutes ces données, avant de les renvoyer immédiatement vers leurs destinations réelles.

Comme aucun problème de communication n'a été détecté, cela laisse à penser, pour les experts en sécurité informatique, qu'il ne s'agit pas d'un incident, mais bel et bien d'une manoeuvre volontaire.

Chez McAfee, on explique que le pays asiatique a pu faire ce que bon lui semble des informations qui ont transité par ses réseaux. De quoi faire froid le dos, quand on imagine la quantité colossale de données concernées.

Il s'agirait du "plus gros cas de piratage" de l'histoire. Impressionnant. Et son mobile n'a même pas été identifié.

Source : Le National Defense Magazine

Pourquoi la Chine a-t-elle réalisé un piratage d'une telle envergure ?

Pensez-vous que les infrastructures d'autres pays pourraient ainsi gober 15% du trafic Internet mondial ? Lesquels ?

[sevyc64]

Le phénomène n'est pas nouveau, j'ai la sensation d'avoir déjà entendu parler de cette possibilité, il y a plusieurs mois. Peut-être cela n'avait pas été mis en œuvre encore.

D'ailleurs, il n'y avait pas un problème comme ça, il y a quelques années lorsque une FO avait été coupée en méditerranée isolant les pays du moyen orient. Il me semble qu'en plus de la coupure, il y avait des routeurs qui s'étaient déclarés les plus rapides, voulant absorber une grande partie du trafic alors qu'ils n'étaient pas joignables. D'où les problèmes que cette coupure avait généré sur l'internet mondial.

Citation:

Pourquoi la Chine a-t-elle réalisé un piratage d'une telle envergure ?

Tout est imaginable avec ce pays, mais peut-être simplement une démonstration de force !!

Citation:

Pensez-vous que les infrastructures d'autres pays pourraient ainsi gober 15% du trafic Internet mondial ?

Probablement, puisqu'il ne s'agit pas d'un quelconque exploit, mais bien d'une faille dans l'architecture même du réseau mondial

Citation:

Lesquels ?

Tous.
Tout au moins tous ceux capable de rendre le contrôle (et donc hébergeant, certainement) un des principaux routeurs du réseau.

Et à la question, "Est-ce que cela à déjà été fait sans que l'on en sache rien ???"
La réponse est : Probablement oui. Les USA (nsa, cia, ...) , entre-autres, s'ils en ont eu la possibilité, n'ont pas dû se gêner.

[Guicara]

Une mise à jour de l'article de The National Defender indique que :

Citation:

Alperovitch in a McAfee blog has clarified that 15 percent of the world's routes were directed to China, not 15 percent of the traffic. In an earlier interview he stated: “In terms of the overall traffic they took, it’s very hard to estimate, but it was a lot more than 15 percent of the world’s traffic [that] their pipes were able to handle without crashing.

[Marco46]

Citation:

Envoyé par Katleen Erna

La Chine a piraté 15% du trafic mondial en avril, par son réseau de routeurs et sans but affiché

Avant d'avancer une chose pareille il faut clarifier une chose.

Internet est un réseau de réseaux. C'est à dire que des dizaines de milliers de réseaux communiquent entre eux pour faire circuler les données.

Pour parler entre eux, ces réseaux (Autonomous System) utilisent un protocole nommé BGP.

Ce protocole permet à chaque AS d'annoncer quelles IP il connait et à quelle distance (et pas vitesse) il se trouve par rapport à elles.
Par exemple si je suis Orange et que j'ai dans mon réseau l'IP publique 1.2.3.4, j'annonce à tous les routeurs BGP sur lesquels mon réseau est connecté (tous mes réseaux voisins) que je sais joindre l'IP 1.2.3.4 en 0 sauts. Et cette information est relayée à la manière d'un réseau P2P (en fait c'est les réseaux P2P qui fonctionnent réellement sur le principe d'Internet mais passons).
L'AS Free qui est connecté directement à Orange annoncera à ses "voisins" qu'il sait joindre l'IP 1.2.3.4 en 1 saut, et etc ...

Il faut bien comprendre que le fait de dire "je sais joindre tel bloc IP en n sauts" est une assertion basée sur la confiance. Rien ne vérifie une telle chose concrètement si ce n'est l'ensemble des admins réseaux des AS de la planète. Les structures dirigeantes d'Internet, l'ICANN et les RIR attribuent des adresses IP aux AS qui en demandent mais ils ne vont pas vérifier la configuration BGP des AS.

Donc quand quelqu'un fait une connerie sur la config d'un routeur ... elle se répand ... jusqu'à ce que quelqu'un signale et/ou corrige. Un exemple de discussion à propos de cet incident. On remarquera que la discussion démarre à peine 1 heure après l'incident. Oui, visiblement les chinois se sont aperçus de la boulette et ont réglé le problème assez vite d'eux mêmes.

A partir de là on peut comprendre ce qui s'est passé le 8 avril 2010.

Je cite directement une autre source que celle de cette news :

Citation:

On April 8th, starting at 15:50 UTC, China Telecom incorrectly asserted ownership of more than 50,000 different blocks of IP addresses.

En gros, l'AS 23724 (China Telecom) s'est mis subitement a annoncer qu'il lui fallait 0 saut pour joindre 50 000 blocs d'IP ce qui correspond d'après ce que j'ai pu lire à 15% des routes et non 15% du trafic.

Et voilà comment pendant quelques minutes une partie du trafic internet a fait un détour par la Chine.

C'est aussi bête que ça.

Si une telle erreur de configuration avaient été faites par un tout petit AS, le pauvre serait mort sous le poids des données arrivant chez lui et les gens cherchant à joindre dell.com (en fonction depuis où ils le cherche) se seraient très vite aperçu du problème à coup d'erreurs 404.
Mais là on est sur un AS énorme qui a visiblement pu encaisser le surplus de données.

Je parle d'une erreur parce que rien ne prouve qu'il s'agisse d'un détournement délibéré. Si j'en crois cet article et cet article d'autres experts il s'agirait plutôt d'une erreur de config bête et méchante comme il en arrive régulièrement mais jamais à cette échelle.

Et oui car ce "piratage" n'a absolument rien d'impressionnant ou de compliqué sur le plan technique. On obtient ce résultat en se loupant sur l'édition d'un fichier texte. Ce genre d'erreur, que ce soit dans les config BGP ou DNS arrive plusieurs fois par an dans le monde entier.

Attention à la récupération politique sur le sujet de la neutralité du net qui peut être faite suite à un tel évènement. La source de la news prétend avoir des preuves mais je n'ai rien lu dans l'article démontrant le bout d'un début d'un soupçon de preuve.

Un dernier point, si le trafic de certains sites .mil ou .gov des USA a pu passer par la Chine, on doit quand même espérer que leur trafic sensible est chiffré ! Étant donné l'avance considérable des technologies modernes de chiffrement par rapport au décryptage, un tel détournement n'a pas le moindre intérêt direct. Sans parler du fait qu'il n'est absolument pas ciblé et qu'il faudrait déjà faire le tri dans toutes les données collectées, si seulement il est possible d'enregistrer un tel volume à la volée sur des disques durs.

Donc au final, je dirais que cette news n'est pas tellement inquiétante, il s'agit d'un problème largement connu et qu'affirmer que la Chine a délibérément détourné un bout du trafic Internet mondial est largement abusif. Très largement.

[Flaburgan]

C'est peut être abusif, mais ça montre en tout cas que techniquement, elle peut le faire, et rien ne peut l'en empêcher.
Comme tu l'as dit, "Mais là on est sur un AS énorme qui a visiblement pu encaisser le surplus de données."
Donc techniquement, la chine est capable de dévier une bonne partie de l'Internet à sa guise. Et cela reste inquiétant, puisque tout est basé sur une question de confiance, et on ne peut pas exactement dire que tout le monde à confiance en eux...

[Teocali]

Tout a fait d'accord Flaburgan. Mais la Russie aussi peut le faire. Et les US aussi, j'imagine. Donc, on ne peut pas vraiment avoir confiance en personne sur Internet, d'où l'interet du cryptage.

Teocali

[sevyc64]

Citation:

Envoyé par Flaburgan

C'est peut être abusif, mais ça montre en tout cas que techniquement, elle peut le faire, et rien ne peut l'en empêcher.

Tecniquement, elle peut le faire comme tout autre pays d'ailleurs, puisque ce n'est finalement qu'un fonctionnement "normal" de l'architecture réseau actuelle.

Citation:

Comme tu l'as dit, "Mais là on est sur un AS énorme qui a visiblement pu encaisser le surplus de données."
Donc techniquement, la chine est capable de dévier une bonne partie de l'Internet à sa guise. Et cela reste inquiétant, puisque tout est basé sur une question de confiance, et on ne peut pas exactement dire que tout le monde à confiance en eux...

Contrairement à d'autres pays ou la charge est probablement mieux répartie, la Chine essaye de contrôler (censurer?!) son internet intérieur. Donc probablement qu'elle a dû limiter les "portes d'accès" à l'internet mondial en mettant moins de matériel mais bien plus puissant pour absorber la charge.
Et ce qu'il peut absorber dans un sens, il peut aussi l'absorber dans l'autre.

Effectivement la Chine en est capable, même si c'est par erreur, mais rien ne dit que d'autres pays ne le font pas déjà régulièrement et tout à fait volontairement.

[ymoreau]

Citation:

Envoyé par Teocali

Donc, on ne peut pas vraiment avoir confiance en personne sur Internet, d'où l'interet du cryptage.

Tout à fait d'accord, je ne vois pas en quoi il s'agit d'un piratage puisque ce genre de données circule de toute façon à travers de nombreux pays. Elles ne sont normalement pas utilisables, si les 2 parties s'échangeant les informations sont correctement sécurisées.

[Marco46]

Citation:

Envoyé par Flaburgan

C'est peut être abusif, mais ça montre en tout cas que techniquement, elle peut le faire, et rien ne peut l'en empêcher.
Comme tu l'as dit, "Mais là on est sur un AS énorme qui a visiblement pu encaisser le surplus de données."
Donc techniquement, la chine est capable de dévier une bonne partie de l'Internet à sa guise. Et cela reste inquiétant, puisque tout est basé sur une question de confiance, et on ne peut pas exactement dire que tout le monde à confiance en eux...

N'importe quel zozo arrivant à pénétrer un AS peut faire tomber une bonne partie d'Internet en foirant les configs BGP... mais pour une durée très courte.

Rien n'oblige les AS à accepter les routes fournies. Donc en fait la Chine est capable de dévier une bonne partie d'Internet à sa guise ... jusqu'à ce que quelqu'un s'en aperçoive. Et c'est bien ça la grande force du réseau.

[Aurelien.Regat-Barrel]

Citation:

Envoyé par Marco46

Avant d'avancer une chose pareille il faut clarifier une chose.

Un grand merci pour ton message

C'est curieux comment on s'empresse de s'inquiéter dans ce cas alors que d'un autre côté on ne voit aucun problème à ce qu'une entreprise américaine scanne régulièrement l'ensemble de nos mails, qu'une autre détienne l'essentiel de notre vie privée, que notre gouvernement ait adopté HADOPI, etc. L'être humain est étrange quand même

[Flaburgan]

Citation:

Envoyé par Aurelien.Regat-Barrel

C'est curieux comment on s'empresse de s'inquiéter dans ce cas alors que d'un autre côté on ne voit aucun problème à ce qu'une entreprise américaine scanne régulièrement l'ensemble de nos mails, qu'une autre détienne l'essentiel de notre vie privée, que notre gouvernement ait adopté HADOPI, etc. L'être humain est étrange quand même

Personnellement, je m'inquiète pour tout ce que tu as cité, ni plus ni moins que pour le sujet de ce topic. Mais s'inquiéter ne nous donne pas forcément les moyens d'agir.

[crashtib]

Merci Marco46 pour ce complément d'information de qualité, pédagogue et neutre.

[Aurelien.Regat-Barrel]

As-tu visionné les conférences de Benjamin Bayart "Qu'est-ce qu'Internet ?" (pas Minitel 2.0) à Science Po ? Il a l'art de bien recentrer le débat sur ce qui est important, et en l’occurrence, "le péril jaune" n'en n'est pas un : Internet a été conçu pour faire avec ce genre de problèmes.

[jacqueline]

Merci Marco46, l'explication technique est restée accessible.

Je pense que les chinois font toutes les choses à la taille de leur pays..

Ils ont un des trois plus puissants supercalculateurs, j'ai failli répondre de façon humoristique, qu 'ils ont voulu le tester en Live et lui faire déchiffrer toutes les coms sur internet..

Mais c'est peut être l'inverse : c'est peut être un souci pour eux que quelqu'un bascule un jour tout le traffic chez eux, pour écrouler leur système AS.

De ce coté là ils sont un peu menacés avec leur censure d'internet..

Ils l'ont peut être essayé volontairement, et ils savent que ça tient.

C'est une supposition gratuite, mais on leur prête souvent de mauvaises intentions.

[Chauve souris]

YouTube - Song varshavyanka

YouTube - Song varshavyanka

(juste pour mettre une ambiance vieux bolchevik dans votre petite boîte high-tech )

La seule chose que j'ai pu observer et qui va dans le sens de l'article c'est que sur mon serveur de courrier auto-hébergé le journal indique que des adresses IP, toutes chinoises, essaient en permanence de se connecter. Et comme il faut un login/password valable pour cela elles essayent toutes sortes de noms (à consonnance ricaine).

[sevyc64]

Citation:

Envoyé par Chauve souris

La seule chose que j'ai pu observer et qui va dans le sens de l'article c'est que sur mon serveur de courrier auto-hébergé le journal indique que des adresses IP, toutes chinoises, essaient en permanence de se connecter. Et comme il faut un login/password valable pour cela elles essayent toutes sortes de noms (à consonnance ricaine).

Pas uniquement sur ton serveur mail, mais aussi sur les serveurs FTP et autres. Tout ce qui n'est pas http en fait.

Les IP ne sont pas uniquement chinoises, beaucoup sont aussi des pays de l'est, Russie et Ukraine en premier, mais aussi australienne.

Effectivement, ils essayent toutes les possibilités de login/password à raison de 3-4 essais par seconde, avec une préférence pour les logins censés être des comptes administrateur
Les adresses IP change toutes les 4 à 5 secondes pour contourner les filtres automatiques anti-attaque des routeurs évolués.

[parrot]

Citation:

Envoyé par Marco46

N'importe quel zozo arrivant à pénétrer un AS peut faire tomber une bonne partie d'Internet en foirant les configs BGP... mais pour une durée très courte.

Rien n'oblige les AS à accepter les routes fournies. Donc en fait la Chine est capable de dévier une bonne partie d'Internet à sa guise ... jusqu'à ce que quelqu'un s'en aperçoive. Et c'est bien ça la grande force du réseau.

Merci Marco46 pour ces explications!

Encore une question: "une durée très courte", "jusqu'à ce que quelqu'un s'en aperçoive", peux-tu quantifier?

Et j'aimerais préciser un point sur le cryptage dont certains ont parlé. Si cette technique permet effectivement d'éviter la divulgation d'information, elle n'évite pas l'interruption du flux de données. Une organisation mal intentionnée pourrait très bien paralyser le trafic internet, y compris crypté, en manipulant un AS.

[Marco46]

Citation:

Envoyé par parrot

Merci Marco46 pour ces explications!

Encore une question: "une durée très courte", "jusqu'à ce que quelqu'un s'en aperçoive", peux-tu quantifier?

Ben je suis pas admin réseau. Je m'intéresse au sujet et je me suis donc beaucoup documenté mais de ce que j'ai pu lire :

Un exemple avec un problème BGP similaire à celui du sujet de cette news, quand les pakistanais ont voulu bloquer Youtube en 2008.
L'explication est simple, les routeurs BGP de Pakistan Telecom se sont mis à dire au monde entier qu'ils leur fallait 0 sauts pour joindre les IP de Youtube. Du coup gros bordel pour Youtube qui n'était plus joignable.
Problème corrigé en quelques heures.
Les méthodes de correction diffèrent, soit celui à l'origine du problème corrige de lui-même ses annonces, soit chaque AS refuse les routes proposées par l'AS menteur.

Un exemple avec un problème DNS, lorsque tout le domaine .se (les suédois) est devenu indisponible. C'est un vrai problème lorsqu'on vit en Suède
Source du problème ? Un malheureux "." manquant dans un fichier de config et hop tout un pays n'a plus de DNS ! Énorme non ?
Problème réglé en une heure mais dont les répercutions ont été plus longues car il faut du temps une fois le problème réglé pour que le correctif se diffuse dans le réseau aux autres serveurs DNS de plus bas niveau.

Citation:

Envoyé par parrot

Et j'aimerais préciser un point sur le cryptage dont certains ont parlé. Si cette technique permet effectivement d'éviter la divulgation d'information, elle n'évite pas l'interruption du flux de données. Une organisation mal intentionnée pourrait très bien paralyser le trafic internet, y compris crypté, en manipulant un AS.

Oui mais pas longtemps. Si un pays contrôlant directement tous ses FAI (comme l'Iran par exemple) peut effectivement propager des annonces de routes fallacieuses, les autres FAI de la planète peuvent parfaitement ignorer les routes proposées par des FAI connus pour être menteurs.

C'est ce qui fait qu'Internet est un système très solide dans la durée. S'il est facile de l'écrouler temporairement, il est impossible pour qui que ce soit de le contrôler.

[parrot]

Citation:

C'est ce qui fait qu'Internet est un système très solide dans la durée. S'il est facile de l'écrouler temporairement, il est impossible pour qui que ce soit de le contrôler.

Le système a été conçu justement dans ce but par l'armée américaine, c'est le fameux projet DARPA.

[Virgil Scipion]

Un autre pays ? Au hasard, un des premiers à utiliser massivement le Net et qui a une époque devait voir passer 90% du trafic par les serveurs sur son territoire... le Honduras ! Heu non, c'est un peu plus au Nord.

Mais bon, faut pas en vouloir aux Chinois, tout le monde fait ça. Sauf que les Chinois ont été assez malin pour pas payer une fortune leur système Echelon

Mais sérieusement, je pense pas que ça soit un acte délibéré. C'est inefficace et ça doit trop demander de puissance qui serait mieux utiliser à d'autres actes délictueux.
Car dans ce 15% du trafic mondial, on aura un quart de messages type "kikoo lol" sorti du web à la mode, un quart de pornographie, un quart de vidéos du chat qui pète et du dernier blockbuster version illégal, un quart de pubs et autres histoires de commerce en ligne et un quart (oui oui, cinq quarts, c'est la magie du Net ) d'informations publiées et pas du tout difficiles à trouver genre la page "Chine" de Wikipédia.
Tout ça pour un 0.000000001% de données qui peuvent les intéresser, pas forcément complète, très probablement cryptée et difficile à débusquer dans la masse de données.

Ou si c'était volontaire, c'était juste un test. Pour voir si leur système peut encaisser une si forte hausse de flux de données, si cela peut affaiblir le système mondial en prélude à une cyber-attaque majeur, si taper "google" dans Google provoque un nouveau Big Bang ou je ne sais quel délire de ce gout là.