Attaque par analyse du trafic
Dans le domaine du renseignement et de la sécurité informatique, l'attaque par analyse du trafic désigne les méthodes permettant de tirer des informations de flux de communication de tout type (émissions radio, trafic internet, mais également courrier papier, rencontres entre agents…) sans nécessairement avoir accès au contenu des messages échangés (notamment lorsque les messages sont chiffrés. Ce type d'attaque peut être considéré comme une attaque par canal auxiliaire.
Principe
L'attaquant en interceptant des éléments sur la communication entre ses cibles peut déduire des indices sur leur activité. Plusieurs données peuvent être étudiées par exemple :
- fréquence et volume des communications : un trafic important peut indiquer un regain d'activité, la préparation d'une action. Inversement une baisse du trafic peut indiquer une diminution des ressources, une mise en sommeil de certaines cellules.
- distribution des messages : une analyse expéditeur-destinataire peut donner des indications sur l'organisation de l'adversaire, par exemple une distribution descendante des messages ou l'existence de nœuds correspondant à de nombreux destinataires peut permettre d'identifier une chaîne de commandement.
- des va-et-vient rapides de messages peuvent indiquer une négociation.
- l'évolution des indicateurs peut donner des indications : par exemple une diminution brutale des communications peut indiquer que l'adversaire soupçonne être surveillé et a choisi de limiter ses communications ou a choisi de basculer celle-ci sur d'autres modes.
Contre-mesures
Les contre-mesures consistent pour le défenseur à manipuler les indicateurs de trafic pour les rendre illisibles voire pour manipuler l'attaquant. Ces contre-mesures passent en général par l'insertion de messages générés aléatoirement dans le flux de messages légitimes (les messages étant chiffrés, l'attaquant ne peut en théorie pas les différencier). La méthode la plus radicale consiste à maintenir un flux permanent et constant, l'attaquant ne peut ainsi en tirer aucune information utile. Cette méthode peut cependant suivant les cas se révéler complexe ou couteuse. Une alternative demandant moins de ressources est d'ajouter au flux de trafic légitime un flux de trafic généré suivant des formes aléatoires masquant les formes de celui-ci. En dernière alternative si le défenseur est informé de la surveillance de l'attaquant il peut sciemment altérer le trafic pour le tromper, par exemple une armée se sachant écoutée en générant un trafic de communication fictif important dans une région peut focaliser l'attention de son adversaire sur celle-ci alors qu'elle prépare une offensive dans un autre secteur.
Exemples historiques
- Durant la Première Guerre mondiale, l'armée française ayant perdu une part importante de son réseau d'écoute le long de la frontière à la suite de l'offensive allemande dû se rabattre sur des analyses de signal plus simples basées sur l'intensité des signaux radio. En dépit de leur caractère rudimentaire, ces analyses permirent de donner des indications sur l'activité des troupes allemandes, mais également d'identifier différentes unités de combat en différenciant les unités de cavalerie à progression rapide des unités d'infanterie à déplacement plus lent[1].
- Durant la Seconde Guerre mondiale les forces japonaises préparèrent l'attaque de Pearl Harbor en réduisant au minimum les communications au sein de leur force d'attaque et en simulant des communications laissant croire que cette flotte se trouvait à proximité du Japon[2].
- L'opération Quicksilver, faisant partie des préparatifs du débarquement de Normandie consistait à faire croire à l'armée allemande que les Alliés préparaient un débarquement dans le Pas-de-Calais. Dans le cadre de ce dispositif, des unités fictives étaient créées et équipées de radios afin de simuler un trafic de communications correspondant à de tels préparatifs[3].
Exemples en sécurité informatique
En 2005 Steven J. Murdoch et George Danezis de l'université de Cambridge ont montré que les systèmes « Onion Router » d'anonymisation du trafic internet présentaient une vulnérabilité à des attaques d'analyse du trafic réduisant leur efficacité[4].
Des serveurs de courriel anonymes peu sécurisés peuvent être déjoués par des attaques d'analyse du trafic en comparant les connexions entrantes avec les envois de message.
Articles connexes
références
- (en) Kahn, David, The Codebreakers : The Story of Secret Writing, Macmillan, (ISBN 978-0-02-560460-5)
- (en) Edwin T. Layton, Roger Pineau et John Costello, "And I Was There" : Pearl Harbor And Midway -- Breaking the Secrets., William Morrow & Co, , 596 p. (ISBN 978-0-688-04883-9)
- (en) John C Masterman, The Double-Cross System in the War of 1939 to 1945, Australian National University Press, (1re éd. 1945), 203 p. (ISBN 978-0-7081-0459-0, lire en ligne)
- Murdoch, Steven J., George Danezis, « Low-Cost Traffic Analysis of Tor »,