Nous avons un gros problème les amis. Il ne date pas d'hier, mais jusqu'en juillet dernier, il fallait être vraiment très ferré (très très) en réseautique pour être au courant. Pour faire simple, tout le monde peut espionner tout le monde sur Internet. Vraiment.

Commençons du début. Internet, comme vous le savez sûrement, a d'abord été conçu pour une application militaire. Cela signifie que ceux qui ont conçu les technologies lui servant de fondements pouvaient légitimement prendre pour acquis qu'un ordinateur relié au réseau était « fiable », puisqu'il appartenait à l'armée. Nous n'en sommes évidemment plus là.

En passant, je vous explique tout ça et vous pourriez très bien aller le lire vous-mêmes sur Wired. Mais bon, c'est tellement plus clair ici, non? ;-)

Reprenons. Il y a beaucoup de « magie » qui se passe une fois que vous appuyez sur « Enter » après avoir inscrit « www.canoe.com » dans la barre d'adresses de votre fureteur. La première étape est de convertir cette adresse « pour hommes » en adresse « pour machines », ce que l'on appelle une adresse IP (Internet Protocol) et qui prend généralement la forme de quatre nombres de 0 à 255 séparés par des points (100.101.102.103, disons). Cela se fait en contactant des serveurs spécialisés, appelés Domain Name Servers.

La deuxième étape est de trouver le chemin pour atteindre cette adresse. Dans ce cas, on fait appel à des super routeurs présents un peu partout sur le réseau. C'est dans cette étape, le Border Gateway Protocol (BGP), que se trouve une faille très très inquiétante pour la sécurité sur Internet en général.

Supposons que votre ordinateur détient l'adresse 100.101.102.103 et que avez demandé l'adresse 200.201.202.203. Quelque part se trouve une grande liste de toutes les adresses IP avec, à côté, le nom des super routeurs qui s'auto-proclament en mesure d'y donner accès. Il peut y en avoir plus qu'un, évidemment. Notez, messieurs les experts, que je fais quelques raccourcis, mais il faut ce qu'il faut.

Il y a deux ennuis. D'abord, il n'est pas si compliqué que ça, pour quelqu'un de motivé, de créer son propre super routeur. Deuxièmement, en bizounant un peu, on peut faire croire au système que son super routeur est le raccourci du siècle même s'il n'en est rien.

Quelqu'un qui connaît votre adresse (100.101.102.103) et veut vous espionner peut donc inciter tous les serveurs du monde à passer par son super routeur pour vous renvoyer les données que vous avez demandées, parce qu'ils croiront que c'est le meilleur chemin. Évidemment, une fois que ces données passent par son super routeur, ça devient un jeu d'enfant de les lire.

La faille existait depuis longtemps, mais il y avait un bogue. La manoeuvre « brisait » la connexion entre votre ordinateur et le serveur que vous souhaitiez atteindre, ce qui fait qu'éventuellement, vous vous rendiez compte qu'il y avait un bobo. Or, en juillet, deux chercheurs ont montré comment résoudre ce bogue: en vous acheminant les données comme si de rien n'était après les avoir lues. Ça a l'air niaiseux comme solution, mais c'était plus compliqué que ça en a l'air, apparemment.

C'est un gros problème auquel nous sommes donc confrontés. Un problème qui donne à des ti-culs le pouvoir de se prendre pour la NSA et d'espionner n'importe qui dans le monde, peu importe où, peu importe quand. Leur seule limitation, c'est qu'ils ne verront que les données reçues par leur cible, pas celles qu'elle envoie. Elles ne verront pas non plus les données qui restent à l'intérieur d'un réseau local ou même, dans certains cas, à l'intérieur du réseau du même fournisseur, disons un échange entre deux clients Bell.

Malheureusement, ça ne semble pas être demain la veille qu'on va pouvoir régler le problème, même si des solutions existent.