Aujourd’hui, les grandes entreprises et administrations publiques hésitent entre continuer à utiliser des logiciels propriétaires ou basculer vers les Logiciels Libres. Pourtant, la plupart des logiciels libres sont capables de bien traiter les données issues des logiciels propriétaire, et parfois avec une meilleur compatibilité.
C’est alors la barrière de la prise en main qui fait peur, et pourtant...
Les logiciels libres
L’aspect « Logiciel Libre » permet une évolution rapide et une plus grande participation des utilisateurs. Les aides et tutoriels foisonnent sur Internet ou sont directement inclus dans le logiciel lui-même.
Enfin, les concepteurs sont plus proches des utilisateurs, ce qui rend les logiciels libres plus agréable à utiliser et conviviaux.
Grâce à la disponibilité des logiciels libres, vous trouverez facilement des services de support techniques et la licence n’est plus un frein à l’utilisation de ces logiciels par votre personnel.
Notre support technique concerne essentiellement les logiciels libres, que ce soit sous forme de services ponctuels ou de tutoriels.
Le 20 janvier 2021, l'armée des États-Unis
a soudainement annoncé sur l'Internet des millions d'adresses IP qui n'avaient jamais été
actives sur l'Internet. Les causes exactes ne
sont pas connues (il y a des explications officielles mais qui ne
répondent pas à toutes les questions). Comment a-t-on vu cela et
quelles conclusions (forcément assez spéculatives) peut-on en
tirer ?
Au début, cela ressemblait à un détournement BGP classique, provoqué
soit par une erreur humaine (cas de l'accident malaisien), soit par une
volonté délibérée de détourner du trafic (cas de l'attaque
contre MyEtherWallet). Le protocole BGP permet à un
routeur Internet d'annoncer les préfixes
d'adresses IP qu'il sait joindre. S'il se trompe ou qu'il ment, ses
pairs vont parfois accepter l'annonce et l'utiliser, envoyant alors
le trafic vers les détourneurs. Le 20 janvier 2021, ce fut la
première réaction, « quelqu'un annonce les adresses IP de
l'armée ». Comment le voit-on ? Rappelez-vous
que l'Internet est très transparent. Tout routeur de la DFZ va voir les annonces et,
même si vous n'avez pas accès à un tel routeur, plusieurs services
vous fournissent les données. Servons-nous du classique RouteViews. Vous pouvez
récupérer toutes les annonces du 20 janvier 2021 et les analyser
(ici, on convertit les données qui étaient au format MRT du RFC 6396, avec l'outil bgpdump) :
% wget http://archive.routeviews.org/bgpdata/2021.01/UPDATES/updates.20210120.1645.bz2
% bunzip2 updates.20210120.1645.bz2
% bgpdump updates.20210120.1645 > updates.20210120.1645.txt
On a alors un fichier texte avec les annonces BGP, qu'on peut
regarder avec l'éditeur ou l'afficheur de son choix. Voici la
première annonce bizarre (l'heure est évidemment UTC) :
TIME: 01/20/21 16:57:35.081428
TYPE: BGP4MP_ET/MESSAGE/Update
FROM: 64.71.137.241 AS6939
TO: 128.223.51.102 AS6447
ORIGIN: IGP
ASPATH: 6939 8003
NEXT_HOP: 64.71.137.241
ANNOUNCE
11.0.0.0/8
(La dernière annonce pour ce même préfixe, relayée par plusieurs
routeurs avant d'atteindre RouteViews, a été vue à 17:04:19.316776,
ce qui donne une idée de la rapidité de la propagation des routes
dans l'Internet.)
En quoi est-ce que cette annonce était bizarre ? D'abord, le
préfixe 11.0.0.0/8
, un préfixe comportant
beaucoup d'adresses (surtout depuis l'épuisement des adresses
IPv4) n'avait jamais été annoncé publiquement sur l'Internet
avant (comme on peut le voir sur
RIPEstat) ou, plus exactement, jamais été annoncé en dehors
de quelques détournements ponctuels. Mais qui, en 2021, a encore un
préfixe /8 non annoncé ? whois nous montre
que c'est le DoD :
% whois 11.0.0.0
...
NetRange: 11.0.0.0 - 11.255.255.255
CIDR: 11.0.0.0/8
NetName: DODIIS
NetType: Direct Allocation
OriginAS:
Organization: DoD Network Information Center (DNIC)
RegDate: 1984-01-19
Updated: 2007-08-22
...
OrgName: DoD Network Information Center
(Pour la petite histoire, ce préfixe a été alloué au DoD en 1985,
dans le RFC 943 ; oui, à l'époque, les RFC
servaient de registres d'adresses IP.)
Tout de suite, on pense à un détournement des adresses IP de l'armée
états-unienne par des Chinois/Russes/Cubains/Iraniens. D'autant plus
que la date est curieuse : 16:57:35.081428 UTC, c'est moins de trois
minutes avant la fin officielle du mandat de
Trump, fin de mandat qui avait été marquée
par plusieurs troubles graves. Et puis
l'AS qui a fait les
annonces, l'AS 8003, n'était pas tellement connu avant, appartenant
à une
entreprise très discrète et sur laquelle les investigations
n'ont pas révélé grand-chose, à part son association passée à des
activités bizarres. (whois AS8003
pour avoir
les informations sur cet AS.)
Dans les jours et les semaines suivants, d'autres préfixes
autrefois inutilisés ont été annoncés, par exemple le
7.0.0.0/8
.
Finalement, le Pentagone (via son service
DDS)
a révélé que l'annonce était normale : il ne s'agit pas d'un
détournement mais d'une opération légitime. Mais quels sont ses
buts ? Pourquoi l'armée qui n'annonçait pas ses adresses IP depuis
si longtemps (ce qui ne veut pas dire qu'elles n'étaient pas
utilisées en interne) a-t-elle tout à coup changé sa politique ?
Inutile de préciser qu'on ne saura de toute façon pas tout. Mais on
peut toujours spéculer :
- Un tel volume d'adresses IP représente beaucoup d'argent en
période de pénurie (le marché est entre 20 et 30
dollars par adresse),
- ou bien l'armée est en train de monter un pot de
miel géant, pour attraper plein de trafic
malveillant,
- certains administrateurs réseau ont été assez incompétents
et imprudents pour utiliser ces préfixes d'adresses IP apparemment
inutilisés pour
numéroter leurs réseaux internes ; l'annoncer sur l'Internet
permettrait de capter ce trafic interne (on dit que l'armée
chinoise était dans ce cas),
- ou encore le but est vraiment de s'en servir, par exemple
pour y héberger des services.
La possibilité d'une vente de ces adresses, et donc peut-être
d'un test pour s'assurer qu'elles ne posaient pas de problèmes
techniques, a été souvent mentionnée, vu le « trésor » d'adresses IP
de l'armée. Mais relativisons : au cours actuel (mais qui baisserait
si le DoD vendait d'un coup toutes ces adresses), cela ferait certes
plusieurs centaines de millions de dollars mais c'est une goutte
d'eau par rapport aux budgets militaires de ce pays. Et puis le
GAO (la « Cour des Comptes ») avait noté dans
un rapport de
2020 les difficultés, notamment légales, à vendre ces
adresses IP. Un
rapport parlementaire estimait que la vente d'adresses IP par
le DoD soulevait de nombreux problèmes et n'était pas forcément une
solution viable.
Autre hypothèse, celle du pot de
miel. C'est nettement plus vraisemblable : tout préfixe
important annoncé sur l'Internet reçoit un « rayonnement de fond »,
l'Internet Background Radiation (IBR), et les nouveaux préfixes annoncés vont
certainement attirer beaucoup de trafic, permettant des études qui
intéressent certainement les services de cyberguerre.
Et, en parlant de cyberguerre, qu'en est-il de l'hypothèse d'un
détournement délibéré du trafic des réseaux qui ont été assez
stupides pour utiliser ces préfixes d'adresses IP ? Là, je ne vous
étonnerai pas en vous disant que mes contacts au Pentagone sont
muets et ne m'ont pas tenu informé :-)
Enfin, s'agissant de l'hébergement de services, ça reste possible
mais l'annonce faite par une petite société inconnue et discrète ne
plaide pas en ce sens. Notez que le très utile
Shodan trouve déjà des machines connectées
dans le préfixe 11.0.0.0/8
. (Attention si vous
essayez de les pirater : le propriétaire n'a pas le sens de
l'humour.) Ma préférée (mais rappelez-vous qu'il peut s'agir d'un
pot de miel) est un routeur Ubiquiti annonçant comme nom
HACKED-ROUTER-HELP-SOS-HAD-DUPE-PASSWORD
.
Quelques lectures en plus :