Parmi les types de cyberattaques, le piratage d’adresses IP est l’une des plus courantes, mais aussi la moins détectable. En général, les pirates informatiques l’utilisent pour le vol de Bitcoins ou l’envoi de spams. Des chiffres ont montré que le piratage d’adresses IP représente 10 % de tous les incidents répertoriés sur les domaines de routage au niveau mondial. Certaines grandes entreprises comme Amazon ou Google en sont mêmes victimes. L’origine des actes de piratage est variée. L’année dernière, une entreprise de télécommunication chinoise a été suspectée d’avoir détourné des données des pays occidentaux vers la Chine en utilisant cette technique. Les pirates utilisent une faille du protocole BGP (mécanisme de routage qui fait communiquer les différentes parties d’internet) pour commettre leurs actes. Ce dernier ne dispose pas de procédure de sécurité qui lui permet de déterminer l’origine exacte d’un mail. Face à cette menace grandissante, certains acteurs tentent de trouver les meilleures solutions pour identifier en amont les tentatives de détournement des adresses IP. C’est le cas d’un projet mis en place par des chercheurs au MIT et de l’Université de Californie à San Diego. Celui-ci consiste à concevoir un système d’apprentissage automatique qui va détecter automatiquement les piratages d’adresse IP. Ils ont réussi à apprendre au programme à identifier 800 réseaux suspects et ont réussi à trouver des cas de détournements qui ont sévi depuis des années. Le document final qui présente les résultats des recherches sera présenté le 23 octobre prochain à la conférence ACM Internet Measurement à Amsterdam.
L’équipe a dévoilé quelques détails de leur recherche sur la prévention des attaques des adresses IP. Ils ont surtout montré les caractéristiques de ces attaques ayant été détectées par le programme d’apprentissage automatique. Il en est ressorti que les blocs d’adresse des pirates disparaissent plus rapidement que celles des réseaux légitimes. Les cybercriminels utilisent également des blocs d’adresses IP multiples (préfixes de réseau) qui sont enregistrés dans plusieurs pays à la fois. Une des principales difficultés des chercheurs est aussi d’apprendre au système à détecter les faux positifs. En fait, il s’agit des détournements d’adresses IP qui ressemblent point par point à la technique utilisée par les pirates, mais qui sont pourtant des actes réalisés par des entreprises pour mieux sécuriser leurs données. Ces faux positifs représentent à peu près 20 % des cas identifiés par le programme d’apprentissage automatique. Ce projet est financé entre autres par le MIT Internet Policy Initiative, la fondation William Flora Hewlett et la National Science Foundation.