S'attaquer aux domaines .ch doit coûter cher

SWITCH a amené Internet en Suisse il y a 30 ans. Ce qui était encore, à l'époque, un outil de travail futuriste destiné aux chercheurs des hautes écoles est devenu depuis un bien public dont on ne saurait se passer et constitue aujourd’hui l’épine dorsale de l’économie et de la société. Internet est aujourd’hui considéré comme une infrastructure critique. Martin Leuthold, responsable de la division Sécurité & réseau chez SWITCH, explique l'action de SWITCH en matière de cybersécurité en Suisse.

Commençons par le début: SWITCH est quelque chose comme un annuaire Internet pour les adresses se terminant par .ch et .li. Mais qui est derrière ces adresses ?

SWITCH gère, exploite et protège l’infrastructure des domaines de premier niveau spécifiques à un pays .ch et .li. Derrière chaque nom de domaine se cache une adresse IP unique composée d’une série de chiffres. Pour faire simple, le DNS (Domain-Name-System) garantit l'accès aux adresses de messagerie et de sites Internet depuis n’importe où dans le monde en attribuant aux requêtes les numéros sous lesquels se trouvent les contenus souhaités.

Le code pays suisse .ch fête ses 30 ans d’existence en 2017. Comment a-t-il vu le jour ?

Les impulsions sont venues des hautes écoles: ce code pays a été enregistré en 1987 par Bernhard Plattner de l’EPF Zurich auprès de la Internet Assigned Numbers Authority (IANA). Il a transféré les droits pour le domaine .ch à la fondation d’utilité publique SWITCH créée peu avant par la Confédération et huit cantons universitaires suisses dans le but de promouvoir l’informatisation et la mise en réseau de la formation et de la recherche – cela à l’époque où la technologie Internet en était à ses premiers balbutiements.

Quel est le rôle joué actuellement par SWITCH pour les hautes écoles ?

La mise à disposition de l'accès à Internet et de prestations comme les services d’identification ou de sécurité pour les hautes écoles ainsi que l’exploitation du réseau des hautes écoles suisses SWITCHlan restent le pilier des activités de SWITCH. De tels réseaux nationaux de la recherche et de l’enseignement (en abrégé NREN pour National Research and Education Networks) existent dans la plupart des pays, car la recherche repose sur les réseaux et les hautes écoles ont des exigences particulières en matière de connectivité. Les divers NREN d’Europe sont pour leur part regroupés au sein du réseau européen GÉANT qui est à son tour relié à des réseaux de hautes écoles aux Etats-unis, en Asie et en Australie. SWITCH participe à ces réseaux internationaux et s’implique dans de nombreux projets et initiatives technologiques.

Et la fondation continue de gérer le domaine .ch ?

Oui, et cela est loin d'être une évidence. Au début, les noms de domaine n’étaient pas très nombreux et il s’agissait initialement de relier les universités suisses, puis ultérieurement également la communauté de recherche internationale. Depuis, l’importance d’Internet est devenue telle que le domaine de premier niveau .ch est désormais considéré comme une infrastructure critique par la Confédération. Du fait de la réglementation édictée par l’Office fédéral de la communication (OFCOM), SWITCH ne peux plus proposer directement à ses clients finaux l’enregistrement de noms de domaine .ch et se concentre pleinement sur la gestion technique des noms de domaine .ch. L’année dernière, l’OFCOM a pour la première fois lancé un appel d’offres public pour ce mandat. SWITCH a participé à cet appel d’offres et, grâce notamment à son savoir-faire et à ses compétences dans le domaine de la cybersécurité, a obtenu pour au moins cinq années supplémentaires le contrat pour la gestion de la banque de données des noms de domaines.

Le système des noms de domaine fait aujourd’hui partie des « infrastructures critiques », c’est-à-dire des systèmes dont le dérangement a de graves conséquences pour la population et l’économie. Comment protéger un tel système ?

L’OFCOM fixe des exigences élevées en ce qui concerne la disponibilité du système et l’intégrité des données. Cela nous oblige à développer nos infrastructures de manière correspondante. Concrètement, cela signifie que nous exploitons plus d’un centre de données en Suisse pour des raisons de sécurité. Les données actuelles sont par ailleurs munies d’une signature numérique et exportées chaque heure vers deux serveurs de nom primaire caché. Plus de 60 ordinateurs à travers le monde veillent par ailleurs à ce que les sites Internet demandés s’affichent en un temps minimal également depuis les lieux les plus reculés du monde. Il faudrait donc qu’un événement très grave se produise pour que les noms de domaine .ch et .li ne soit plus accessibles.

Les noms de domaine .ch et .li comptent parmi les plus sûrs du monde. Comment expliquez-vous cela ?

Il faut savoir que SWITCH peut désactiver dans de brefs délais les domaines utilisés frauduleusement pour du hameçonnage (phishing) ou la distribution de malwares en collaboration avec l’OFCOM, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI et les autorités de poursuite pénale, c'est à dire le Service de coordination de la lutte contre la criminalité sur Internet (SCOCI), parce que la Suisse s’est dotée précocement des bases légales nécessaires en édictant l’ordonnance sur les domaines internet (ODI). Ainsi, les criminels n’ont pas grand intérêt à s’attaquer aux domaines .ch et .li, car cela leur coûterait trop cher. Des statistiques internationales témoignent du succès de ce procédé.

Cyber-attaques avec demandes de rançon, malware, phishing, trolls malfaisants...  Des attaques se produisent malgré tout en Suisse – existe-t-il des chiffres et des tendances à ce sujet ?

La propagation à grande échelle de logiciels malveillants via «drive-by download» reste très intéressante. En 2016, 1429 sites Internet .ch et .li ont été utilisés frauduleusement pour la diffusion de malwares. Presque tous les sites Internet impliqués utilisaient un Content Management System (CMS) obsolète. L’année dernière, on a constaté qu’un nombre grandissant de logiciels malveillants d’extorsion avaient été installées par des «exploit kits». Avec 743 cas concernant des sites Internet .ch et .li, le hameçonnage reste également problématique. En plus des sites Internet impliqués, un nombre croissant de noms de domaine ont été enregistrés spécifiquement à des fins de phishing. Nous collaborons étroitement avec la MELANI afin d’identifier de tels noms de domaine et pour les désactiver aussi rapidement que possible. Un nouveau phénomène est observé actuellement: on nous a en effet signalé des boutiques en ligne en Suisse qui avaient installé des plug-ins pour transmettre les données des cartes de crédit des clients aux auteurs de délits.  

 

  

    Action-réaction : nombre des attaques et des ripostes entre fin 2010 et fin 2016.

 

Un nombre croissant de choses et de systèmes sont interconnectés – est-ce que nous ne plongeons pas à vue d'œil dans une dépendance toujours plus fatale ?

Dans le domaine de la sécurité, nous vivons en effet une époque intéressante. Deux grandes tendances se chevauchent et se multiplient. D’un côté, nous assistons à une professionnalisation de la cybercriminalité organisée, un marché mondialisé très dynamique et absolument libre qui ne s’arrête ni aux frontières spatiales ni aux des espaces judiciaires et est donc totalement imprévisible. La menace ne doit donc pas être sous-estimée et évolue constamment. Le nombre d’appareils pouvant faire l’objet d’une attaque et les dommages potentiels par attaque réussie augmentent continuellement. Cependant, il ne faut pas tout peindre en noir: les organisations ne sont pas toutes exposées de la même façon à cette menace. Chaque organisation doit considérer l’évolution dans son contexte et évaluer ses risques spécifiques avant de définir les mesures qui s’imposent. Pour une situation de risque donnée, cela fait une grande différence si j’exploite une papeterie locale, le réseau à haute tension suisse ou une grande banque active au plan mondial.

La deuxième grande tendance est la numérisation avec l’Internet des objets et l’interconnexion de systèmes auparavant séparés, pour lesquels une mise en réseau sur Internet n’avait jamais été prévue. De plus, des millions de gadgets du côté des utilisateurs n’offrent pas une sécurité suffisante, car aujourd’hui, personne n’est intéressé à y intégrer les paramètres de sécurité requis. Une véritable aubaine pour les cyber-criminels, qui peuvent atteindre des millions d’appareils d’un seul coup. C’est ce facteur multiplicateur qui rend les cyber-attaques si lucratives. En même temps, la numérisation constitue aussi une énorme opportunité pour l'économie suisse.

Comment cela ?

Dans de nombreuses branches, le recours accru aux technologies numériques permet d’élaborer de nouveaux business cases passionnants et parfois disruptifs, par exemple grâce à de nouveaux concepts de services et à la rationalisation de la logistique et de la chaîne d’approvisionnement dans l’industrie, à des concept d’énergie intelligente dans l’approvisionnement énergétique ou à de nouvelles offres de soins ambulatoires dans le secteur de la santé, comme les soins à domicile. Pour rester à la pointe, nous devrons participer à ces évolutions. Le fait que la dépendance des technologies de l’information et des télécommunications s’accompagne d’une augmentation des dommages potentiels en cas d’attaque réussie menace en fin de compte la numérisation elle-même, car celle-ci repose entièrement sur la confiance. Si les clients bancaires n’ont par exemple pas confiance dans l’e-banking, ils refuseront de l’utiliser. Et si une entreprise se méfie de ses partenaires, elle ne partagera plus de données et ne voudra plus intégrer ses processus aux procédures interentreprises. La confiance et la sécurité sont étroitement liées. Dans cet esprit, une gestion efficace de la sécurité peut constituer un facteur d’implantation décisif. C’est pourquoi l’Etat doit également s’intéresser à ce sujet et contribuer lui aussi à la sécurité dans le cyber-espace. La clé du succès réside dans une collaboration fructueuse dans le cadre de partenariats publics-privés.

Où faudrait-il intervenir, selon vous ?

La cyber-criminalité organisée est présente dans le monde entier, évolue rapidement et devient toujours plus professionnelle. Avec notre système fédéraliste et notre démocratie directe, nous sommes en revanche plutôt lents à réagir. La coopération internationale est également compliquée par les frontières et les espaces juridiques. La branche TIC, et donc également asut, peuvent apporter une contribution substantielle en sensibilisant la politique, l’économie et surtout les directions des entreprises à cette problématique et en les encourageant à agir.

En matière de cyber-sécurité, l'une de nos principales conclusions est assurément que nous devons faire ce que les hackers font depuis longtemps: mettre sur pied des centres de compétence collaborant étroitement. Justement dans le petit pays qu’est la Suisse, nous devons exploiter ensemble le potentiel limité de spécialistes, partager les connaissances et les informations ainsi que les investissements et les frais d’exploitation de nouveaux domaines d’activité comme les renseignements locaux sur les menaces, et mettre à disposition en commun les capacités de détection et de réaction. Ce qui était suffisant par le passé pour protéger ses propres données sensibles, par exemple grâce à la protection de son propre périmètre et à la segmentation du réseau de l’entreprise, ne le sera plus à l’avenir. Même les grandes entreprises ne disposent plus, aujourd’hui, des ressources nécessaires pour faire face seules aux nouveaux dangers. SWITCH-CERT, notre Computer Emergency and Response Team apporte déjà son soutien à l’économie: nous mettons par exemple à la disposition des hautes écoles et d’un groupe de banques notre savoir-faire en matière de sécurité ainsi que des informations compilées spécifiquement, issues du réseau international de relations que nous entretenons depuis des années, et offrons également à d’autres branches des plateformes de collaboration neutres.

Un réseau par définition ouvert, comme Internet, peut-il être protégé ?

Vouloir protéger Internet contre lui-même est une entreprise relativement difficile. Il en ressort des choses aberrantes comme les blocages réseau que le Conseil national a inscrit dans la loi au début mars. Avec de telles velléités de protection, le danger est grand que l’on finisse par anéantir ce qui fait justement la force d’Internet: l’absence de gestion centralisée et l’incapacité des grandes organisations étatiques à censurer entièrement la liberté d’opinion pour contrôler et isoler un pays. A l’inverse, cela signifie en effet que les réseaux ne peuvent être protégés que jusqu’à un certain point contre les attaques. Nous devons remédier à cela.

 

 

S'attaquer aux domaines .ch doit coûter cher

SWITCH a amené Internet en Suisse il y a 30 ans. Ce qui était encore, à l'époque, un outil de travail futuriste destiné aux chercheurs des hautes écoles est devenu depuis un bien public dont on ne saurait se passer et constitue aujourd’hui l’épine dorsale de l’économie et de la société. Internet est aujourd’hui considéré comme une infrastructure critique. Martin Leuthold, responsable de la division Sécurité & réseau chez SWITCH, explique l'action de SWITCH en matière de cybersécurité en Suisse.

Commençons par le début: SWITCH est quelque chose comme un annuaire Internet pour les adresses se terminant par .ch et .li. Mais qui est derrière ces adresses ?

SWITCH gère, exploite et protège l’infrastructure des domaines de premier niveau spécifiques à un pays .ch et .li. Derrière chaque nom de domaine se cache une adresse IP unique composée d’une série de chiffres. Pour faire simple, le DNS (Domain-Name-System) garantit l'accès aux adresses de messagerie et de sites Internet depuis n’importe où dans le monde en attribuant aux requêtes les numéros sous lesquels se trouvent les contenus souhaités.

Le code pays suisse .ch fête ses 30 ans d’existence en 2017. Comment a-t-il vu le jour ?

Les impulsions sont venues des hautes écoles: ce code pays a été enregistré en 1987 par Bernhard Plattner de l’EPF Zurich auprès de la Internet Assigned Numbers Authority (IANA). Il a transféré les droits pour le domaine .ch à la fondation d’utilité publique SWITCH créée peu avant par la Confédération et huit cantons universitaires suisses dans le but de promouvoir l’informatisation et la mise en réseau de la formation et de la recherche – cela à l’époque où la technologie Internet en était à ses premiers balbutiements.

Quel est le rôle joué actuellement par SWITCH pour les hautes écoles ?

La mise à disposition de l'accès à Internet et de prestations comme les services d’identification ou de sécurité pour les hautes écoles ainsi que l’exploitation du réseau des hautes écoles suisses SWITCHlan restent le pilier des activités de SWITCH. De tels réseaux nationaux de la recherche et de l’enseignement (en abrégé NREN pour National Research and Education Networks) existent dans la plupart des pays, car la recherche repose sur les réseaux et les hautes écoles ont des exigences particulières en matière de connectivité. Les divers NREN d’Europe sont pour leur part regroupés au sein du réseau européen GÉANT qui est à son tour relié à des réseaux de hautes écoles aux Etats-unis, en Asie et en Australie. SWITCH participe à ces réseaux internationaux et s’implique dans de nombreux projets et initiatives technologiques.

Et la fondation continue de gérer le domaine .ch ?

Oui, et cela est loin d'être une évidence. Au début, les noms de domaine n’étaient pas très nombreux et il s’agissait initialement de relier les universités suisses, puis ultérieurement également la communauté de recherche internationale. Depuis, l’importance d’Internet est devenue telle que le domaine de premier niveau .ch est désormais considéré comme une infrastructure critique par la Confédération. Du fait de la réglementation édictée par l’Office fédéral de la communication (OFCOM), SWITCH ne peux plus proposer directement à ses clients finaux l’enregistrement de noms de domaine .ch et se concentre pleinement sur la gestion technique des noms de domaine .ch. L’année dernière, l’OFCOM a pour la première fois lancé un appel d’offres public pour ce mandat. SWITCH a participé à cet appel d’offres et, grâce notamment à son savoir-faire et à ses compétences dans le domaine de la cybersécurité, a obtenu pour au moins cinq années supplémentaires le contrat pour la gestion de la banque de données des noms de domaines.

Le système des noms de domaine fait aujourd’hui partie des « infrastructures critiques », c’est-à-dire des systèmes dont le dérangement a de graves conséquences pour la population et l’économie. Comment protéger un tel système ?

L’OFCOM fixe des exigences élevées en ce qui concerne la disponibilité du système et l’intégrité des données. Cela nous oblige à développer nos infrastructures de manière correspondante. Concrètement, cela signifie que nous exploitons plus d’un centre de données en Suisse pour des raisons de sécurité. Les données actuelles sont par ailleurs munies d’une signature numérique et exportées chaque heure vers deux serveurs de nom primaire caché. Plus de 60 ordinateurs à travers le monde veillent par ailleurs à ce que les sites Internet demandés s’affichent en un temps minimal également depuis les lieux les plus reculés du monde. Il faudrait donc qu’un événement très grave se produise pour que les noms de domaine .ch et .li ne soit plus accessibles.

Les noms de domaine .ch et .li comptent parmi les plus sûrs du monde. Comment expliquez-vous cela ?

Il faut savoir que SWITCH peut désactiver dans de brefs délais les domaines utilisés frauduleusement pour du hameçonnage (phishing) ou la distribution de malwares en collaboration avec l’OFCOM, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI et les autorités de poursuite pénale, c'est à dire le Service de coordination de la lutte contre la criminalité sur Internet (SCOCI), parce que la Suisse s’est dotée précocement des bases légales nécessaires en édictant l’ordonnance sur les domaines internet (ODI). Ainsi, les criminels n’ont pas grand intérêt à s’attaquer aux domaines .ch et .li, car cela leur coûterait trop cher. Des statistiques internationales témoignent du succès de ce procédé.

Cyber-attaques avec demandes de rançon, malware, phishing, trolls malfaisants...  Des attaques se produisent malgré tout en Suisse – existe-t-il des chiffres et des tendances à ce sujet ?

La propagation à grande échelle de logiciels malveillants via «drive-by download» reste très intéressante. En 2016, 1429 sites Internet .ch et .li ont été utilisés frauduleusement pour la diffusion de malwares. Presque tous les sites Internet impliqués utilisaient un Content Management System (CMS) obsolète. L’année dernière, on a constaté qu’un nombre grandissant de logiciels malveillants d’extorsion avaient été installées par des «exploit kits». Avec 743 cas concernant des sites Internet .ch et .li, le hameçonnage reste également problématique. En plus des sites Internet impliqués, un nombre croissant de noms de domaine ont été enregistrés spécifiquement à des fins de phishing. Nous collaborons étroitement avec la MELANI afin d’identifier de tels noms de domaine et pour les désactiver aussi rapidement que possible. Un nouveau phénomène est observé actuellement: on nous a en effet signalé des boutiques en ligne en Suisse qui avaient installé des plug-ins pour transmettre les données des cartes de crédit des clients aux auteurs de délits.  

 

  

    Action-réaction : nombre des attaques et des ripostes entre fin 2010 et fin 2016.

 

Un nombre croissant de choses et de systèmes sont interconnectés – est-ce que nous ne plongeons pas à vue d'œil dans une dépendance toujours plus fatale ?

Dans le domaine de la sécurité, nous vivons en effet une époque intéressante. Deux grandes tendances se chevauchent et se multiplient. D’un côté, nous assistons à une professionnalisation de la cybercriminalité organisée, un marché mondialisé très dynamique et absolument libre qui ne s’arrête ni aux frontières spatiales ni aux des espaces judiciaires et est donc totalement imprévisible. La menace ne doit donc pas être sous-estimée et évolue constamment. Le nombre d’appareils pouvant faire l’objet d’une attaque et les dommages potentiels par attaque réussie augmentent continuellement. Cependant, il ne faut pas tout peindre en noir: les organisations ne sont pas toutes exposées de la même façon à cette menace. Chaque organisation doit considérer l’évolution dans son contexte et évaluer ses risques spécifiques avant de définir les mesures qui s’imposent. Pour une situation de risque donnée, cela fait une grande différence si j’exploite une papeterie locale, le réseau à haute tension suisse ou une grande banque active au plan mondial.

La deuxième grande tendance est la numérisation avec l’Internet des objets et l’interconnexion de systèmes auparavant séparés, pour lesquels une mise en réseau sur Internet n’avait jamais été prévue. De plus, des millions de gadgets du côté des utilisateurs n’offrent pas une sécurité suffisante, car aujourd’hui, personne n’est intéressé à y intégrer les paramètres de sécurité requis. Une véritable aubaine pour les cyber-criminels, qui peuvent atteindre des millions d’appareils d’un seul coup. C’est ce facteur multiplicateur qui rend les cyber-attaques si lucratives. En même temps, la numérisation constitue aussi une énorme opportunité pour l'économie suisse.

Comment cela ?

Dans de nombreuses branches, le recours accru aux technologies numériques permet d’élaborer de nouveaux business cases passionnants et parfois disruptifs, par exemple grâce à de nouveaux concepts de services et à la rationalisation de la logistique et de la chaîne d’approvisionnement dans l’industrie, à des concept d’énergie intelligente dans l’approvisionnement énergétique ou à de nouvelles offres de soins ambulatoires dans le secteur de la santé, comme les soins à domicile. Pour rester à la pointe, nous devrons participer à ces évolutions. Le fait que la dépendance des technologies de l’information et des télécommunications s’accompagne d’une augmentation des dommages potentiels en cas d’attaque réussie menace en fin de compte la numérisation elle-même, car celle-ci repose entièrement sur la confiance. Si les clients bancaires n’ont par exemple pas confiance dans l’e-banking, ils refuseront de l’utiliser. Et si une entreprise se méfie de ses partenaires, elle ne partagera plus de données et ne voudra plus intégrer ses processus aux procédures interentreprises. La confiance et la sécurité sont étroitement liées. Dans cet esprit, une gestion efficace de la sécurité peut constituer un facteur d’implantation décisif. C’est pourquoi l’Etat doit également s’intéresser à ce sujet et contribuer lui aussi à la sécurité dans le cyber-espace. La clé du succès réside dans une collaboration fructueuse dans le cadre de partenariats publics-privés.

Où faudrait-il intervenir, selon vous ?

La cyber-criminalité organisée est présente dans le monde entier, évolue rapidement et devient toujours plus professionnelle. Avec notre système fédéraliste et notre démocratie directe, nous sommes en revanche plutôt lents à réagir. La coopération internationale est également compliquée par les frontières et les espaces juridiques. La branche TIC, et donc également asut, peuvent apporter une contribution substantielle en sensibilisant la politique, l’économie et surtout les directions des entreprises à cette problématique et en les encourageant à agir.

En matière de cyber-sécurité, l'une de nos principales conclusions est assurément que nous devons faire ce que les hackers font depuis longtemps: mettre sur pied des centres de compétence collaborant étroitement. Justement dans le petit pays qu’est la Suisse, nous devons exploiter ensemble le potentiel limité de spécialistes, partager les connaissances et les informations ainsi que les investissements et les frais d’exploitation de nouveaux domaines d’activité comme les renseignements locaux sur les menaces, et mettre à disposition en commun les capacités de détection et de réaction. Ce qui était suffisant par le passé pour protéger ses propres données sensibles, par exemple grâce à la protection de son propre périmètre et à la segmentation du réseau de l’entreprise, ne le sera plus à l’avenir. Même les grandes entreprises ne disposent plus, aujourd’hui, des ressources nécessaires pour faire face seules aux nouveaux dangers. SWITCH-CERT, notre Computer Emergency and Response Team apporte déjà son soutien à l’économie: nous mettons par exemple à la disposition des hautes écoles et d’un groupe de banques notre savoir-faire en matière de sécurité ainsi que des informations compilées spécifiquement, issues du réseau international de relations que nous entretenons depuis des années, et offrons également à d’autres branches des plateformes de collaboration neutres.

Un réseau par définition ouvert, comme Internet, peut-il être protégé ?

Vouloir protéger Internet contre lui-même est une entreprise relativement difficile. Il en ressort des choses aberrantes comme les blocages réseau que le Conseil national a inscrit dans la loi au début mars. Avec de telles velléités de protection, le danger est grand que l’on finisse par anéantir ce qui fait justement la force d’Internet: l’absence de gestion centralisée et l’incapacité des grandes organisations étatiques à censurer entièrement la liberté d’opinion pour contrôler et isoler un pays. A l’inverse, cela signifie en effet que les réseaux ne peuvent être protégés que jusqu’à un certain point contre les attaques. Nous devons remédier à cela.