Les plans d’Orange pour « nettoyer » le trafic Internet, avec l’aide de l’ANSSI

Orange veut aider les clients qui hébergent des appareils participant à des botnets à se désinfecter. Il compte aussi « nettoyer » le trafic entrant d'entreprises avant qu'il ne les atteigne. Ces deux projets seraient contraires à la loi CNIL et à la neutralité du Net. L'opérateur historique demande donc l'aide de l'ANSSI pour revoir le cadre légal.

Doit-on revoir la neutralité du Net pour que les opérateurs protègent Internet des cyberattaques ? C'est la question que posait Guillaume Poupard, le directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), aux dernières Assises de la sécurité à Monaco, le mois dernier.

L'agence compte lancer le débat dans les prochains mois, en premier lieu avec les opérateurs, qui pourraient bloquer les attaques informatiques dirigées depuis et vers leurs réseaux. L'idée n'est d'ailleurs pas née à l'ANSSI. Elle a été soufflée par Orange, qui se heurte à des obstacles légaux dans ses projets de protection de ses clients.

Dans un entretien, le président d'Orange Cyberdefense, Michel Van Den Berghe, nous détaille les plans de l'entreprise. D'un côté, l'opérateur souhaite prévenir les clients dont les équipements participent à une attaque. De l'autre, il prépare Cyberfiltre, un système de « lessiveuses » en cœur de réseau filtrant le trafic pour les entreprises souscrivant à une option spécifique. Sans jamais scruter le contenu, promet le groupe.

« Aujourd'hui, une mairie vous garantit que l'eau du robinet est potable. Vous ajoutez ensuite vous-mêmes un adoucisseur si vous voulez qu'elle soit douce. C'est la première démarche que nous voulons assurer chez Orange » nous déclare Van Den Berghe. Problème : la législation sur les données personnelles et la neutralité du Net empêcheraient l'opérateur d'avancer sur le sujet, malgré certaines portes déjà grandes ouvertes.

L'impossibilité technique de surveiller tout le trafic

Le cas le plus commun est l'attaque par déni de service distribué (DDoS), où de nombreuses connexions saturent un site ou un service particulier, en l'inondant de requêtes. Depuis un an, le phénomène a gagné en ampleur avec l'exploitation de centaines de milliers d'objets connectés mal sécurisés, comme des caméras IP ou des routeurs, via des botnets comme Mirai. Tous ces équipements « zombies » sont pilotés par un serveur de contrôle, les dirigeant vers la cible.

Aujourd'hui, Orange est capable de détecter des « signaux faibles » suggérant la préparation d'une attaque DDoS. À cet effet, des sondes sont installées sur son réseau, signalant des flux inhabituels. « Nous avons même mis des leurres, qui sont réveillés par le pirate en même temps que les zombies. Nous arrivons parfois à connaître l'adresse IP visée et à prévenir nos clients qu'ils seront attaqués » avance le patron d'Orange Cyberdefense.

Par contre, un opérateur de cette taille ne pourrait pas scruter tout son réseau. Un outil communément utilisé est NetFlow, un système d'analyse des métadonnées du trafic (protocole, adresses IP, ports...). Il permet de repérer certains comportements, comme la connexion de nombreux clients à un même serveur, et de les catégoriser.

« Sur des réseaux d'opérateurs, analyser tous les flux NetFlow est simplement hors de portée. On identifie plutôt des flux massifs, avec un échantillonnage d'un pour mille ou d'un pour plusieurs milliers » nous détaille un responsable de la sécurité d'Orange. Un phénomène plus restreint peut passer entre les mailles du filet.

Son expérience est rejointe par celle de Raphaël Maunier, cofondateur d'Acorus Networks, start-up spécialisée dans la protection DDoS. « Seuls quelques groupes savent vraiment ce qui se passe, sur des zones bien spécifiques de leur réseau » affirme-t-il.

Automatiser la réponse à incident

Actuellement, Orange est en mesure de prévenir une cible qu'elle sera attaquée. Voire de la protéger dans certains cas. Cette protection passe par « de grosses machines à laver », situées dans trois centres, qui seraient capables de bloquer jusqu'à 2 Tb/s.

Pour les commander, Orange Cyberdefense dispose de deux « centres opérationnels », dits CyberSOC, dont l'européen est situé à Rennes depuis octobre 2016, l'autre aux Etats-Unis. C'est là que sont gérées la détection et la réponse à incident. « On essaie via un CyberSOC d'automatiser cette réponse à incident. On préfère réveiller les sondes de nettoyage pour rien que de le faire une demi-heure trop tard. »

Prévenir les clients qu'ils contribuent à des attaques

Désormais, Orange Cyberdefense ne veut plus seulement protéger la victime, mais signaler à un internaute qu'un de ses appareils participe à des attaques, pour qu'il se désinfecte... et ainsi réduire l'ampleur des menaces.

« En cas d'inondation, on ajoute des quantités de sacs de sable, de plus en plus haut. Ce que nous voudrions, c'est éviter la crue, donc qu'il y ait de moins en moins d'appareils zombies, en prévenant nos propres clients qu'ils en hébergent » nous déclare Michel Van Den Berghe. Avec la multiplication des objets connectés, un particulier peut de plus en plus facilement contribuer à un réseau de zombies, sans le savoir.

Techniquement, Orange détecte bien les adresses IP fautives, mais ne pourrait pas encore associer cette adresse au client. « On n'a pas le droit de lui dire. Le fait qu'il soit infecté par un virus est une donnée personnelle, et la CNIL nous l'interdit » prétend le groupe.

À terme, l'objectif est d'associer une adresse IP suspecte à un client puis de le contacter, automatiquement ou manuellement. Il sera enfin dirigé vers Antidote, un outil de désinfection en cours de conception chez Orange, qui compte le proposer sur son site.

« Prévenir une entreprise qu'elle se fait prendre un réseau de caméras, en lui donnant les moyens de réagir, nous permettrait de lutter efficacement... plutôt que de faire de la remédiation systématique » pointe l'entreprise.

Mais d'abord, une forêt légale à défricher

Malheureusement pour Orange, la jurisprudence Hadopi et ses prémices risquent d'entraver ses plans. Il est interdit aux structures privées, ici des ayants droit, d'à la fois identifier les adresses IP et de les lier à un internaute. Cette dernière mission a donc été confiée à la haute autorité, compétente pour adresser les lettres d'avertissement.

Orange pense donc revoir la loi avec l'ANSSI, et la CNIL si nécessaire... D'autant qu'un tel système de prévention nécessiterait possiblement une autorisation après avis de la commission, non une simple déclaration.

Aujourd'hui, l'identification d'un internaute au système vulnérable et son avertissement seraient des prérogatives de l'ANSSI, obtenues à l'occasion de la loi de Programmation militaire (LPM) de 2013  qui a mis à jour l'article L. 2321-3 du Code de la défense. Ce mécanisme est déjà mis en œuvre, mais Orange aimerait bien s'atteler elle-même au contact des clients.

Pourtant, l'article L32-3 du Code des postes et des communications électroniques ne fait pas « obstacle au traitement automatisé d'analyse, à des fins d'affichage, de tri ou d'acheminement des correspondances, ou de détection de contenus non sollicités ou de programmes informatiques malveillants, du contenu de la correspondance en ligne, de l'identité des correspondants ». Autrement dit, l'opérateur peut identifier un internaute pour protéger son réseau.

Il reste que la participation à une attaque DDoS peut constituer une infraction pénale. Si un internaute a été prévenu mais ne se désinfecte pas, sa responsabilité ne pourrait-elle pas être engagée ? Orange prévoit-elle des sanctions contre ses abonnés indélicats, voire de transmettre ses coordonnées aux autorités ? Rien de tout cela pour le moment, assure Michel Van Den Berghe. Il compte déjà déblayer le terrain légal pour prévenir ses clients, ne sachant pas exactement quel texte revoir.

Cyberfiltre, pour nettoyer le trafic avant d'atteindre le client

Ce n'est pas la seule solution envisagée. L'opérateur historique compte bientôt proposer de nettoyer le trafic Internet des clients TPE et PME, qui auront souscrit à une option dédiée. Présenté au Show Hello d'avril, l'offre Cyberfiltre intégrera un pare-feu, un antivirus, un anti-rançongiciels, une protection contre les attaques persistantes (APT) et contre les intrusions (via IDS et IPS). L'idée : empêcher les contenus indésirables les plus facilement détectables de passer.

Tout doit se passer au sein du réseau de l'opérateur, via du matériel dédié, avant que le moindre octet n'atteigne la Livebox Pro du client. « On utilise des technologies du marché. L'objectif est d'installer de gros équipements de cybersécurité chez nous, plutôt que de demander à chacun de nos clients de l'installer de son côté » résume encore le PDG de la branche cybersécurité d'Orange.

Ce type de produit clés-en-main est réclamé par l'ANSSI et le secrétaire d'État au numérique, Mounir Mahjoubi, qui y voient une solution pour sécuriser les petites entreprises. À cause de l'installation des (lourds) équipements nécessaires sur son réseau, Orange a repoussé la mise en place de son Cyberfiltre du premier trimestre à la mi-2018. Si le succès est au rendez-vous, il pourrait être étendu aux particuliers le désirant.

Respecter la neutralité du Net, éviter l'analyse du contenu

Dans l'esprit de l'opérateur, cette offre de nettoyage du trafic se heurte à un accroc : la neutralité du Net. Adopté fin 2015 dans l'Union européenne, le principe de non-discrimination des contenus permet mais limite un tel filtrage du réseau. Il consent à une gestion raisonnable du trafic « transparente, non-discriminatoire et proportionnée » fondée sur des critères objectifs. 

L'article 3 du règlement autorise ainsi de filtrer le trafic pour « préserver l’intégrité et la sûreté du réseau, des services fournis par l’intermédiaire de ce réseau et des équipements terminaux des utilisateurs finals ». Exactement ce qu'envisage Orange.

Pourtant, l'opérateur le pense, « Il y a un problème légal, la neutralité du Net. C'est là qu'on travaille avec Guillaume Poupard pour modifier un peu la loi, pour mettre chez nous une grosse solution » de filtrage, activée à la demande de chaque client. Ici, l'ANSSI a clairement évoqué la piste d'une nouvelle loi. Orange attend une sécurité juridique avant de poser le moindre équipement.

Pour trier le bon grain de l'ivraie, le règlement européen exclut explicitement l'analyse du contenu par l'opérateur dans ce cadre. Pour le respecter, « nous devrons démontrer que ce n'est pas parce qu'on nettoie qu'on regarde » le contenu, avance Van Den Berghe. L'entreprise le martèle : elle n'a ni le besoin ni l'envie de regarder le contenu, les métadonnées des paquets lui suffisant.

Le contenant du message, déjà un risque en termes de vie privée

Elle compte donc « utiliser des solutions qui garantissent qu'on reste au niveau légal dans le cadre de la neutralité du Net, qu'on n'analyse que des flux et pas les données. Toutes les solutions que nous mettrons en œuvre seront dans cette déontologie ». Il reste donc à s'assurer d'une compatibilité avec la neutralité, quitte à la modifier à la marge si besoin.

Pourtant, la CNIL pourrait aussi avoir son mot à dire. Le Conseil constitutionnel a établi que l'analyse des données de connexion peut être aussi invasive que celle du contenu. Orange ne semble pas encore sûre des implications de son système sur ce terrain, s'inquiétant avant tout de la neutralité du Net.

Dans tous les cas, l'inspection de paquets, par exemple via le DPI, est officiellement hors de question. Ce serait même une gageure technique et financière. « Faire du DPI et savoir tout ce qui se passe sur le réseau d'un opérateur tel qu'Orange, Bouygues ou SFR, c'est ingérable » tranche Raphaël Maunier d'Acorus Networks.

Et via les box ?

En fait, Orange pourrait s'éviter bien des maux de crâne sur la neutralité du Net et la CNIL, en effectuant le filtrage chez le client. C'était le concept de départ de Cyberfiltre, un boitier à connecter en Ethernet à la box.

Selon Raphaël Maunier d'Acorus Networks, des cartes intégrables aux boitiers peuvent bien bloquer une partie des attaques, au prix d'un effort de conception d'instructions spécifiques (type DPDK). Tout peut donc être déporté sur le réseau local de l'entreprise.

Repose en paix petit boitier parti trop tôt

Le groupe s'est pourtant ravisé depuis. La logistique et la maintenance à distance de ces appareils ont refroidi ses ardeurs. D'autant qu'il connaîtrait déjà quelques déconvenues. « À nos clients qui ont pris l'option sécurité, nous leur donnons la possibilité de télécharger un antivirus. Ils ne le font pas tous et personne ne le met à jour » regrette Michel Van Der Berghe.

Il se concentre donc sur son cœur de réseau, recentrant son argumentaire sur la sécurité de sa propre infrastructure. Il déclare aussi anticiper la virtualisation des box clients, qui ne seraient plus présentes physiquement chez l'abonné.

Orange ne nous a pas livré le détail des éventuelles modifications qu'il souhaite. Le débat actuel n'en est pas encore là, mais au principe même d'autoriser le groupe à identifier des clients et de filtrer leur trafic pour des raisons de sécurité (et de différenciation commerciale). L'opérateur historique n'aurait évoqué la question qu'avec l'ANSSI. L'autorité des télécoms (l'Arcep) et les autres opérateurs ne seraient pas encore concernés.

Contactés Bouygues Telecom et SFR n'ont pas répondu à nos sollicitations. L'ANSSI et Free n'avaient pas de commentaire à fournir sur le sujet.