Lors de sa traditionnelle conférence de presse tenue au Forum international de la cyber sécurité (FIC), le dirigeant de l’Anssi  (1) a  donné plus de détails ses intentions à l’égard des opérateurs. Guillaume Poupard a réaffirmé vouloir aborder sérieusement la question avec les acteurs concernés.

«Pour donner un exemple, on peut prendre celui des grandes attaques DdoS de 2016 » a expliqué Guillaume Poupard face aux journalistes « Dans ce type de cas de figure, il est difficile de travailler en amont sur les machines infectées, et au niveau de la victime il est souvent trop tard quand l’attaque se déclenche. Donc la dernière marge de manœuvre qui nous reste, c’est le réseau. »

L’Anssi pourrait ainsi largement bénéficier de la coopération des opérateurs afin de mieux lutter contre la propagation de malware ou les campagnes d’attaques Ddos.

Les opérateurs télécoms disposent  en effet d’informations  capitales pour  contrer ce type de menaces, mais peuvent aussi agir sur le réseau afin de ralentir ou de stopper certains flux jugés malveillants.

Mais l’Anssi reconnait qu’il faut faire preuve de prudence.

« On ne veut pas faire d’erreur en la matière, notamment à l’égard du principe de neutralité du net, qui nous tient particulièrement à cœur » rappelle le dirigeant.

Si Guillaume Poupard prend des précautions, il ne modifie pas sa position et réclame toujours des exceptions au principe de neutralité du net.

Les requêtes de l’Anssi sont de trois ordres:

-         L’Agence aimerait ainsi « autoriser les opérateurs à être plus responsables » à l’égard du trafic qu’ils transportent.

Si Guillaume Poupard reconnait que les raisons qui empêchent les opérateurs d’interférer avec ce qui passe sur leurs réseaux sont « très bonnes », il estime que la mise en place de ce type de processus reste le seul moyen de lutter face à certains scénarios d’attaques.

« Aujourd’hui, l’Anssi dispose de signatures identifiants des attaquants très agressifs. Nous souhaitons travailler directement avec les opérateurs pour mieux les détecter »  indique le responsable de l’Agence.

-         Dans le même ordre d’idée, l’Anssi aimerait pouvoir améliorer sa collaboration avec les opérateurs télécom afin de mieux détecter la présence ou l’activité de certains acteurs malveillants sur leurs réseaux.

-         Enfin, la dernière demande de l’Anssi  réside dans la possibilité d’agir sur le réseau afin de mieux répondre à certaines attaques.

G. Poupard cite à titre d’exemple la modification du registre DNS (3), afin de rendre inaccessible certains serveurs malveillants utilisés par exemple pour contrôler des botnets ou malware.

L’Anssi explique avoir déjà pris contact avec certains opérateurs et avec l’Arcep afin de travailler sur ces questions.

Au sujet des solutions technologiques envisageables  afin de mettre en place ces outils de protection « au niveau de l’opérateur, elles  sont assez bien connue ; mais  certaines techniques évoquées posent bien sur la question de la vie privée des utilisateurs.

La possibilité d’un outil de type DPI (Deep Packet Inspection)  (2) pourrait être envisagée : « Ça ne sera pas du DPI à proprement parler. Mais techniquement, ça risque fort d’y ressembler » indique Guillaume Poupart, l’Anssi  s’avançant quand même  avec précaution.

(1) L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est un service français créé par décret en juillet 2009. Ce service à compétence nationale est rattaché au Secrétaire général de la défense et de la sécurité nationale (SGDSN), autorité chargée d'assister le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale.

(2)                       En informatique et en télécommunications, le deep packet inspection (DPI), en français inspection des paquets en profondeur, est l'activité pour un équipement d'infrastructure de réseau consistant à analyser le contenu d'un paquet réseau (paquet IP le plus souvent) de façon à en tirer des statistiques, à filtrer ceux-ci, à les prioriser ou à détecter des intrusions, du spam ou tout autre contenu prédéfini.

Le DPI peut servir notamment à la censure sur Internet ou dans le cadre de dispositifs de protection de la propriété intellectuelle.

Il s'oppose au Stateful Packet Inspection, qui ne concerne que l'analyse de l'en-tête des paquets. Le DPI peut provoquer un ralentissement sensible du trafic là où il est déployé.

(3)                       Le Domain Name System (ou DNS, système de noms de domaine) est un service permettant de traduire un nom de domaine en informations de plusieurs types qui y sont associées, notamment en adresses IP de la machine portant ce nom.