Une Crise Internet possible ?

Voici un article dont tout le mérite revient au cabinet de Consultants Altaïr de le révéler et le mettre en relief via des enjeux spécifiés. Nous avons connu en effet un phénomène d’une ampleur inédite.


"La rupture de deux câbles sous-marins de télécommunications en Méditerranée
semble à l’origine d’une panne qui affecte fortement les services Internet au
Moyen-Orient, en Asie du Sud et dans le nord de l’Afrique. L’Egypte, les Émirats
Arabes Unis, le Koweït, l’Arabie Saoudite, le Qatar, l’Inde, le Bangladesh et le Sri
Lanka ont d’ores et déjà annoncé d’importantes perturbations de leurs réseaux de
télécommunications. Le président de l'association indienne des fournisseurs
d'accès à internet, évoque la possibilité d’une interruption des liaisons haut débit
pendant une durée de deux semaines.
Un goût de déjà vu
Ce nouvel incident qui affecte le fonctionnement d’Internet n’est pas sans
rappeler le séisme qui s’était produit le 26 décembre 2006 au large de Taïwan et
qui avait eu pour effet d’endommager six câbles sous-marins posés en pleine mer
et pour résultat de couper pratiquement toute l’activité Internet de l’Asie de l’Est
du reste du monde. Au total, l’addition de cette catastrophe a été extrêmement
lourde. A en croire le portail Sina.com, plus de cent millions de personnes ont été
concernées et plusieurs semaines ont été nécessaires pour réparer les câbles
endommagés. Parmi les victimes qui avaient vu toutes leurs liaisons téléphoniques
et leurs connexions large bande interrompues, le lendemain de Noël, on recensait
les nombreuses filiales de banques étrangères et les intervenants sur les places
boursières asiatiques.
La vulnérabilité d’un modèle de développement ?
Avec 40% du marché mondial de la sous-traitance informatique, des centres
d'appels aux services de gestion des cartes de crédit, de comptabilité, ou
d’assurance, en passant par la fabrication de logiciels, on imagine les
conséquences induites en Inde par cette nouvelle catastrophe sur le plan
commercial, financier et humain. 700000 personnes travaillent dans le domaine de
la sous-traitance informatique et dépendent directement d’internet pour vivre et
travailler.
L’effet papillon à l’autre bout de la planète:
Les dommages collatéraux pour les clients occidentaux sont considérables. Et pèse
sur de nombreuses activités du tertiaire commercial et financier un risque
d’interruption totale ou partielle du service. Conséquence immédiate de
l’effondrement de la vitesse des connexions à haut débit, les prestations fournies
aux clients situés en Europe et sur la côte Est des Etats-Unis, sont en effet
fortement dégradées compte tenu de l’embouteillage ou du coût excessif des
autres voies d’acheminement des appels téléphoniques et des données
numériques : satellite ou liaisons filaires avec le continent américain notamment.
Le manque de contrôle et de résilience des technologies et systèmes
Les mésaventures de l’Internet asiatique viennent compléter, à leur manière,
l’épisode récent de la Société Générale et soulignent la haute vulnérabilité
technologique des entreprises du troisième millénaire.
L’affaire de la Société Générale illustre, en effet, à quel point les failles dans les
pratiques de gouvernance, de sécurité des systèmes d’information et de contrôle
interne peuvent faire dévaler rapidement une entreprise réputée solide et qui
faisait figure de modèle en matière de bonne gestion financière vers les abymes
vertigineux du discrédit et de la méfiance.
La panne de l’internet en Inde apporte une nuance au mythe de la puissance
technologique inébranlable de pays émergents. En coupant du monde 20% du
secteur informatique en Inde, la panne de l'internet consacre la vulnérabilité
technologique et la dépendance stratégique des entreprises qui ont fait choix d’un
modèle d’organisation fondé sur une délocalisation poussée à l’extrême des
processus et fonctions de production, de support et parfois même de pilotage
(analyse des dossiers de crédit par exemple).
Une remise en cause des modèles d’externalisation délocalisée ?
A l’ère de l’économie numérique, pour des entreprises dont le commerce n’existe
qu’en ligne ou dont l’informatique est l’outil de production essentiel, la pérennité
ne tient plus qu’à un câble. Les expériences récentes démontrent mieux que
n’importe quel discours que la fragilité des infrastructures de télécommunications
intercontinentales et du réseau Internet menace à tout moment le bon
fonctionnement de processus exigeant une continuité de bout en bout du service.
Le sacro-saint principe de la globalisation trouverait-il ses propres limites dans la
prise en considération de paramètres nouveaux liés à la vulnérabilité des
infrastructures technologiques ? Juste retour des choses face à une logique
ramenant trop souvent à l’arrière-plan les paramètres sociaux et environnementaux
au bénéfice de préoccupations financières excessives. Nulle entreprise ne pourra à
l’avenir se départir d’un doute sur le niveau de robustesse d’alléchantes solutions
de délocalisation d’activités informatiques ou de services offertes au coût le plus
bas.
L’omniprésence des risques:
Comme l'actualité le démontre quotidiennement, les entreprises peuvent être
brutalement confrontées à un arrêt partiel ou total de leurs activités : pannes
d’Internet ou des réseaux de télécommunications mais aussi attentats, fraudes et
autres attaques internes, incendie, inondations, conflits sociaux, retournement des
marchés, dépendance stratégique, crises sanitaires & épidémies, troubles à l’ordre
public, rupture de la chaîne d'approvisionnement énergétique, black-out, etc.
Aujourd’hui, constatons-le, la menace est davantage polymorphe, mais aussi plus
intense et plus présente que jamais : raison de plus pour s’y préparer. Certes, et les
évènements de ces dernières années l’ont démontré, on ne peut en aucun cas tout
prévoir. Cependant, il existe désormais des mesures d’anticipation qui permettent
de limiter l’ampleur ou les conséquences des dégâts, d’éviter qu’ils ne soient
irrémédiables et d’accélérer le retour à la normale."

rédigé par Altaïr Conseil


Avec mes remerciements à Altaïr et à tous les lecteurs intéressés à cette question.


------------------------------------------------------------------------------------------

Nous sommes aujourd'hui le 10 Juillet 2007.

Une crise internet aurait encore pu éclater via la sécurité du réseau cette fois, et non son support comme il était question dans le précédent article.

"Mobilisation sans précédent pour la sécurité d'Internet : Microsoft, Cisco, Sun, Juniper... les grandes entreprises informatiques les plus impliquées dans le fonctionnement du réseau mondial ont coordonné leurs efforts pendant six mois dans le plus grand secret pour parer à une importante faille de sécurité dans laquelle des pirates malintentionnés risquaient de s'engouffrer. Les faits n'ont été révélés que mardi aux Etats-Unis. Découverte par hasard, cette brèche pouvait permettre à des spécialistes du « phishing » de récupérer les données personnelles, notamment bancaires, des internautes aux quatre coins de la planète. Alertés par Dan Kaminsky, un expert américain mondialement reconnu, les grands du secteur se sont réunis en conseil de guerre à Redmond, au siège de Microsoft, afin de trouver la parade. Ils ont élaborés des logiciels de correction pendant plusieurs semaines et les ont diffusé sur le réseau avant que l'histoire n'éclate au grand jour. Cette affaire met à nouveau en lumière la vulnérabilité du réseau mondial. En France, un rapport du Sénat appelle à un renforcement « urgent » des moyens de lutte contre les attaques informatiques.

A priori sans précédent, la faille en question porte sur le coeur même de l'architecture d'Internet : les serveurs « DNS » (domain name system), c'est-à-dire les machines qui font automatiquement le lien entre un nom de domaine et son adresse IP (Internet Protocol).

Cette brèche invisible pour le commun des internautes - et même des informaticiens - pouvait permettre à des pirates de modifier cette correspondance et de rediriger une adresse Web vers d'autres sites de leur choix. D'où la possibilité pour des escrocs d'envoyer des internautes vers de faux sites de banques par exemple, pour récupérer leurs numéros de carte bancaire. Or le « phishing » est en plein essor sur le Net. A lui seul, le Centre opérationnel de la sécurité des systèmes d'information (Cossi) a fait fermer plus de 1.500 sites de ce type l'an dernier en France !

Considérée comme « sérieuse » par les spécialistes, la faille des serveurs DNS a donc été découverte en début d'année par Dan Kaminsky, un expert mondialement reconnu du domaine. Mais celui-ci a préféré garder l'information secrète et contacter des poids lourds comme Cisco, Microsoft ou Sun pour corriger cette vulnérabilité. Ces acteurs se sont réunis pour la première fois en conseil de guerre sur le campus de Microsoft à Redmond le 31 mars, afin d'imaginer des solutions et coordonner la publication de leurs correctifs. Ce travail a pris plusieurs mois. « Les gens peuvent être inquiets mais ne doivent pas paniquer, car nous avons gagné autant de temps que nous pouvions, afin de tester et de mettre en application le correctif. Aucune opération de sécurité n'a jamais été réalisée à cette échelle », a expliqué mardi Dan Kaminsky, lors d'une conférence de presse.

Menée en toute discrétion, cette opération souligne la maturité croissante des acteurs high-tech en matière de sécurité, mais aussi la fragilité de l'ensemble du système. Comme beaucoup de protocoles Internet, le DNS a été conçu sans se préoccuper véritablement de la sécurité. Résultat, « la faille est de nature structurelle », explique un expert français. Autrement dit, elle ne peut pas être totalement éliminée, mais seulement sensiblement réduite.

Pour autant, la faille de sécurité ne porte que sur certains serveurs DNS. En début d'année, le Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (Certa) de l'Etat français, qui dépend de Matignon, évaluait le nombre des serveurs vulnérables à environ 17 millions dans le monde. Un potentiel plus que suffisant pour beaucoup d'escrocs de l'Internet."