Allons-nous vers la fin des détournements d’adresses IP, encore appelé IP hijacking ? On ne peut le dire avec certitude. Ce dont on est sûrs, par contre, c’est que grâce à l’intelligence artificielle (IA), on en sait davantage sur le mode opératoire des auteurs de cette forme de cyberattaque qui ont beaucoup sévit ces derniers temps. Décryptage avec EPSI !
Pour mieux comprendre le phénomène de l’IP hijacking, il faut d’abord connaître le système et le fonctionnement des adresses IP. Pour rappel, chaque appareil connecté à l’Internet dispose d’une adresse « Internet Protocol » (IP). Il s’agit d’une série de nombres séparés par des décimales qui devrait normalement servir à se connecter à un site. Mais le problème pour ce type d’adresse est qu’il est non seulement difficile à retenir, mais il peut s’avérer également éprouvant de l’introduire chaque fois dans la barre d’adresse pour accéder au site que l’on souhaite visiter.
Pour simplifier la vie aux utilisateurs, on a procédé à la création du système de noms de domaine (Domain Name System ou DNS). Par exemple https://www.epsi.fr/. Ce dernier agit comme un masque sur une adresse IP et constitue un point de passage pour toute l’infrastructure réseau ; des sites à l’imprimante en passant par la messagerie…, soit « des milliards d’objets connectés qui y seront reliés » (source techniques-ingenieur.fr). Une aubaine pour les pirates informatiques qui tentent de plus en plus de détourner les adresses IP et les DNS.
La finalité de l’IP hijacking est de récupérer des données personnelles, pour détourner le plus souvent de l’argent. Lorsqu’un site est victime d’IP hijacking, l’internaute, après être connecté à la plateforme électronique, est dirigé vers un site « piège » qui généralement ressemble trait pour trait à celui dont il souhaiterait visiter le contenu. C’est l’une des attaques informatiques les plus populaires ces derniers temps.
En 2017, plus de 10 % de tous les domaines dans le monde ont été victimes de détournements d’IP, selon techniques-ingenieur.fr. Pis, aucune entreprise n’est à l’abri de cette activité malveillante et ce n’est pas Amazon qui dira le contraire. En effet, en 2018, 13 000 adresses IP qui souhaitaient se connecter au site du géant de la vente en ligne ont été redirigées, pour un montant de 150 000 dollars volés auprès des internautes concernés. Dans la même année, les pirates ont utilisé la même technique pour voler environ 20 millions d’euros en cryptomonnaies, toujours selon techniques-ingenieur.fr. Il y a donc urgence à agir pour stopper l’avancée de ce type d’attaques.
Un groupe de scientifiques et de chercheurs du MIT et de l’Université de Californie se sont penchés sur la question, afin de mieux comprendre les techniques des pirates. En s’appuyant sur un système d’apprentissage machine (machine learning), ils ont pu identifier environ 800 réseaux suspects qui ont piraté des adresses IP pendant des années. Pour mieux opérer, ils ont également découvert que les pirates utilisaient des adresses IP multiples enregistrés dans plusieurs pays à la fois. D’autre part, les blocs d’adresse des pirates disparaissent plus rapidement que celles des réseaux légitimes, ont expliqué les chercheurs.
Cette étude a été réalisée grâce à l’extraction des données de plusieurs années de listes de diffusion des opérateurs réseau et « des données BGP historiques prises toutes les cinq minutes depuis la table de routage globale ». Elle pourrait apporter un coup de pouce dans la recherche de solutions efficaces contre l’IP hijacking.
Si vous souhaitez un jour devenir un acteur de la cybersécurité, découvrez notre programme d’ingénierie informatique – bac+5.