Le pistage des internautes par NetFlow

Dans un article précédent, j’expliquais ce que les FAI savent sur vous.
J’abordais alors brièvement la partie NetFlow, c’est à dire les données du flux IP.
C’est à dire les données connues par les FAI ou hébergement internautes sur les connexions IP (source/destinations).

Voici quelques détails sur NetFlow et sont utilisation à des fins de pistage et comportement des internautes.

Qu’est-ce que NetFlow ?

NetFlow est un protocole réseau développé par Cisco pour collecter des informations sur le trafic IP et surveiller le flux du réseau.
Il a été introduit pour la première fois en 1995 comme une technique basée sur un logiciel à utiliser sur les LAN.
En fait, les protocoles de surveillance basés sur les flux sont devenus si populaires qu’en 2008, l’IETF a publié IPFIX, qui est désormais la normalisation officielle de l’industrie de NetFlow.
Ainsi, au fil des ans, Netflow est devenu la norme de facto de l’industrie que d’autres fournisseurs ont imité.

NetFlow est une fonctionnalité intégrée à des périphériques réseau qui collectent des mesures pour chaque flux et les exporte vers un autre système pour analyse. Par exemple, NetFlow capture l’horodatage des premiers et derniers paquets d’un flux (et donc sa durée), le nombre total d’octets et paquets échangés, un résumé des drapeaux utilisés dans les connexions TCP et d’autres détails.

En collectant et en analysant ces données de flux, nous pouvons apprendre des détails sur la façon dont le réseau est utilisé. Par exemple, l’analyse du flux est utile pour résoudre les problèmes de réseau, identifier l’utilisation abusive de la bande passante et suivre les IP ou les pays externes avec lesquels vous échangez des données.

Quelles informations des internautes peut-on connaître avec NetFlow ?

NetFlow fonctionne en interagissant avec les flux IP ou des séquences de paquets reliant un serveur à une destination. Chaque paquet qui passe via le routeur ou l’interrupteur est examiné pour certains attributs de paquets IP, qui sont ensuite utilisés comme identificateurs de paquets pour déterminer si un paquet est unique ou similaire à d’autres paquets pour être regroupés avec eux.

Un flux IP est composé d’au moins cinq attributs IP, et NetFlow utilise sept:

Adresse de destination IP
Adresse source IP
Type de protocole de la couche 3 TCP/IP
Port source
Le port de destination
Classe de service
Interface d’itinéraire ou de commutateur

L’établissement de la connexion TCP/IP

Chaque analyseur extrait les informations des données de flux entrantes différentes.
Mais la plupart des solutions proposent d’afficher :

Tous les flux à travers les appareils sur le débit
Trafic par application, protocole, domaine, source de source et de destination et ports
Indiquer le top des adresses sources, ports, connexions, systèmes autonomes (ASN), pays, …
Sources et destinations par localisation géographique

Dans le réseau d’une entreprise, ces données peuvent vous aider à répondre à des questions comme :

Qui utilise des applications interdites telles que BitTorrent
Qui utilise trop la bande passante et ralentit le réseau
Pourquoi le serveur Web d’un client reçoit autant de connexions de la Corée du Nord
Les serveurs piratés contactés pendant une infection

Comment les FAI fournissent les données NetFlow à des tiers

Un aspect moins connus des internautes est que ces informations de flues de données et de comportements détenues par les FAI sont fournies à des prestataires de la cybersécurité.
Les données de NetFlow, sont un outil utile pour les enquêteurs numériques. Ils peuvent l’utiliser pour identifier les serveurs utilisés par les pirates, ou pour suivre les données lorsqu’elles sont volées.

Aux USA, des sociétés comme Palo Alto Networks ou Team Cymru’s fournissent des solutions d’analyses afin de proposer des produits d’analyses et de détection de malwares, intrusions ou attaques (DDOS, etc).
Par exemple, une analyse de “The Citizen Lab” a utilisé en autre les données de Team Cymru’s pour analyser trois mois de données de flux d’internet afin de trouver des victimes du spyware étatique Candiru.

En utilisant les données de télémétrie de l’équipe Cymru, ainsi que l’aide de Civil Society Partners, le Citizen Lab a pu identifier un ordinateur qui, nous soupçonnons, contenait une infection persistante de Candiru. Nous avons contacté le propriétaire de l’ordinateur, un individu politiquement actif en Europe occidentale, et nous nous sommes arrangés pour que le disque dur de l’ordinateur soit imaginé. Nous avons finalement extrait une copie du logiciel espion de Candiru à partir de l’image du disque.
The Citizen Lab

Ainsi, les FAI déchargent ces données aux fournisseurs de sécurité en échange de travaux d’analyse des menaces de sécurité. Ces fournisseurs agissent ensuite en tant que courtiers de données, vendant l’accès à ces données à une grande variété de tiers sans sensibilisation ni consentement aux consommateurs.
Les FAI peuvent alors indiquer «nous ne vendons pas l’accès aux données des utilisateurs» car, techniquement, ils ne les «vendent» pas directement :

D’après cet article de vice.com Pentagon Surveilling Americans Without a Warrant, Senator Reveals, les données NetFlow des FAI américains sont utilisées par les renseignements américains pour pister les internautes américains.

[su_lience]Que savent les FAI de nous ? les risques sur la vie privée[/su_lien]

NetFlow et le pistage des VPN ou proxy

À un niveau élevé, les données NetFlow crée une image du flux de trafic et du volume sur un réseau. Il peut montrer quel serveur a communiqué avec une autre, des informations qui ne peuvent généralement être disponibles qu’au propriétaire du serveur ou au FAI transportant le trafic.
Surtout, ces données peuvent être utilisées pour, entre autres, le suivi du trafic via des réseaux privés virtuels (VPN), qui sont utilisés pour masquer où quelqu’un se connecte à un serveur à partir de son emplacement physique approximatif.

Les produits des sociétés sont capables de tracer l’origine d’une cyber-menace malgré l’utilisation de dizaines de proxys et de VPN.
Essentiellement, l’accès aux données de NetFlow permet à une équipe de sécurité d’observer ce qui se passe sur Internet plus large et peut indiquer ce qui arrive à d’autres organisations, au-delà des frontières de leur propre réseau ou entreprise.

Les services de VPN sous-traitent les des services d’hébergement qui utilisent NetFlow clés en main pour améliorer son réseau, reste à savoir si on tombe dans le cas précédemment évoqué.

Même si vous utilisez un serveur VPN privé que vous administrez vous même, il reste tout de même possible selon l’hébergeur du serveur dédié de cartographier votre activité sur internet.
En recoupant ces données et celles du FAI, on pister votre activité sur internet.
Enfin cela vaut aussi pour TOR puisque beaucoup de nœuds de sorties sont des serveurs dédiées d’hébergeurs mondiaux.

Les questions autour du pistage des internautes sur NetFlow

Aux Etats-Unis, la vente continue de données sensibles pourrait présenter ses propres problèmes de confidentialité et de sécurité, et la nouvelle souligne que les FAI fournissent ces données à grande échelle à des tiers probablement sans le consentement éclairé de leurs propres utilisateurs.

En France, la vente de ces données est interdite par la loi, ce qui n’est pas le cas dans d’autres pays comme les USA.
La récente loi Européenne ePrivacy renforce la protection des internautes.
Le contenu de chaque message et les métadonnées correspondantes devront être protégés. Ils ne pourront être divulguées sans le consentement de la personne à l’origine du message.

Mais beaucoup de questions restent en suspend surtout outre-Atlantique :