BLOG

L'adresse IP comme identité est une sécurité paresseuse

Miniature de Lori MacVittie
Lori MacVittie
Publié le 16 août 2018

C’est également largement inefficace

Internet fonctionne en grande partie grâce au DNS. La capacité à associer un site à une adresse IP – nécessaire pour acheminer les requêtes et les réponses sur Internet – est ce qui rend finalement Internet utilisable. La majorité des utilisateurs ne sont probablement pas conscients de l’adressage IP. Parce que cheese.com est beaucoup plus facile à retenir.

Mais cette association – d’une identité singulière avec une adresse IP – est désormais si profondément ancrée dans nos têtes que nous avons tendance à l’appliquer à d’autres domaines technologiques. Même si c’est totalement inefficace.

Comme la sécurité.

À l’époque, les adresses IP étaient des choses assez fixes. Les itinéraires étaient flexibles, les adresses IP restaient pour la plupart là où elles avaient été attribuées. Aujourd’hui, cependant, les adresses IP sont comme des bonbons. Ils sont distribués et échangés avec une fréquence plus élevée que celle des SPAM qui arrivent dans ma boîte de réception.

Le cloud a rendu le réseau banalisé. Vous ne conservez les adresses IP que tant que la ressource associée reste en service. Le mobile a aussi contribué à réduire la signification des adresses IP à de simples octets. Une recherche rapide révèle de nombreuses situations où une entreprise légitime exploitant une application sur un cloud public se fait automatiquement bloquer par des listes noires, à cause d’un mauvais usage antérieur de cette adresse IP.

Ajoutez à cela la maison moderne et connectée avec son nombre croissant de gadgets dépendants d’Internet et il n’y a absolument aucune valeur à faire correspondre les adresses IP à une chose ou à une personne en particulier.

La sécurité traditionnelle qui repose sur les adresses IP – généralement via la liste noire et le blocage – échoue face à cette flexibilité.

Appareils par personne 2021

Il n’est donc pas surprenant qu’un rapport apparaisse soulignant que la capacité des robots malveillants à changer d’adresse IP rend difficile leur identification et leur blocage. En particulier les robots qui se sont attachés à un appareil mobile.

Utiliser les adresses IP comme base pour identifier quoi que ce soit (appareils, robots, utilisateurs) est une attitude paresseuse. C’est la donnée la plus simple à extraire, certes, mais c’est aussi la moins fiable.

Ce n’est pas nouveau. L’industrie de la sécurité informatique prêche depuis plusieurs années maintenant que les techniques traditionnelles basées sur les signatures ne nous protégeront plus. C’est parce qu’ils sont basés sur le principe que les mauvais acteurs sont reconnaissables et que nous savons à quoi ils ressemblent. Bien que cela soit vrai, cela n’est vrai que pour les attaques d’hier . Cela ne nous aide pas vraiment pour l’attaque de demain , car nous n’avons aucune idée de ce à quoi elle va ressembler.

Avec la multiplication du chiffrement de bout en bout, y compris par les logiciels malveillants, les solutions de sécurité traditionnelles peinent à déterminer si une interaction est légitime ou malveillante. Privées de visibilité par le chiffrement, les solutions basées sur les signatures se réduisent à de simples obstacles sans impact. Si vous ne pouvez pas inspecter le trafic, la sécurité sur le réseau devient une technologie obsolète, ignorée par les bots qui s’infiltrent parmi vos ressources.

L’utilisation des adresses IP seules pour identifier les points de terminaison nécessite un effort minimal. Associé à des informations telles que l'agent utilisateur d'un en-tête HTTP (qui est une entrée utilisateur et elle-même intrinsèquement peu fiable), les améliorations en termes de réussite sont à peine mesurables. Avec la puissance de traitement dont nous disposons aujourd’hui, il n’y a aucune raison pour que nous ne puissions pas prendre quelques microsecondes pour extraire des connexions et des interactions un éventail plus large de caractéristiques à partir desquelles nous pouvons déduire sinon l’identité, du moins l’intention

L’utilisation d’adresses IP ou de signatures seules ne suffit pas à protéger les applications et les réseaux contre l’infiltration. L’analyse comportementale, la méthode défi-réponse et l’inspection approfondie devront être utilisées ensemble pour éliminer efficacement le mauvais du bon.