Comment vérifier ce qui circule sur Internet

Au premier semestre 2025, environ un dixième des attaques informatiques mondiales a touché l’Italie. Mais pour la protéger efficacement, il faut d’abord voir ce qui circule en son sein, en temps réel et sans ralentir le réseau. C’est l’ambition que poursuit Cinetix, une startup française qui œuvre sur la visibilité des flux et leur sécurité.

À chaque instant, les réseaux de télécommunications français transportent des volumes de données qui augmentent sans cesse : vidéos en diffusion, appels, paiements, commandes directement vers les installations industrielles. Et ici naît un problème technique moins banal qu’il n’y paraît. Pour protéger une infrastructure numérique, il faut d’abord voir ce qui y circule, en temps réel, sans ralentir quoi que ce soit. Car même le simple acte d’observer le trafic, s’il est mal géré, peut devenir un goulot d’étranglement.

Deux manières de regarder. Les façons d’observer l’intérieur d’un réseau se divisent essentiellement en deux, souvent utilisées ensemble. La première s’appelle l’analyse out of band, « hors bande » : un outil reçoit une copie du trafic et l’étudie sans toucher au flux d’origine. C’est l’approche des systèmes qui mesurent les performances ou signalent des anomalies, utiles pour comprendre ce qui se passe sans intervenir. L’avantage est qu’ils n’ajoutent pas de retard et ne risquent pas d’altérer les données réelles; la limite est qu’ils ne peuvent que observer, pas intervenir. La seconde méthode est celle in line, « en ligne » : l’outil de sécurité est inséré directement dans le chemin des données, et peut donc les bloquer ou les modifier pendant leur passage. Ce sont les systèmes de prévention des intrusions qui détectent une attaque et l’interrompent avant qu’elle n’atteigne les systèmes internes. Le revers de la médaille est évident : un appareil placé sur le trajet principal devient un point critique, et en cas de défaillance, il peut bloquer tout le système. C’est pourquoi les systèmes les plus avancés prévoient un mécanisme de contournement, souvent optique, qui, en cas de panne, retire automatiquement l’appareil du trajet et laisse les données circuler.

La buste, pas la lettre. Mais que lit-on exactement de ce qui circule ? C’est ici que se glisse l’erreur la plus commune. Aujourd’hui, la grande majorité du trafic web est chiffrée avec le protocole HTTPS, passé en dix ans d’environ un tiers à plus de 80 % des connexions : le contenu réel, en transit, n’est pas lisible. Celui qui surveille un réseau, quasi systématiquement, ne « voit pas le film » et ne lit pas le message. Il regarde la buste, non la lettre. De la buste, toutefois, on peut déjà déduire beaucoup : restent visibles les adresses IP de départ et d’arrivée, les ports, la taille et le débit des paquets. Et l’adresse de départ ou de destination raconte déjà une histoire, car une IP des serveurs de Netflix parle de streaming, tandis qu’une adresse présente sur une liste noire évoque un possible attentat.

Un indice précieux est le SNI, le nom du site que le navigateur déclare en clair au démarrage de la connexion, avant que le chiffrement ne s’enclenche : il suffit de cela pour savoir vers quelle plateforme on se dirige. La récente extension ECH cache également ce détail, fermant la dernière brèche dans une partie de « garde et voleur » entre confidentialité et visibilité.

Reconnaître sans lire. Reconnaitre une menace ne nécessite souvent pas d’ouvrir les paquets. Une attaque par déni de service distribué (DDoS) se révèle par un volume anormal; une intrusion peut être identifiée par une signature déjà répertoriée, comme le ferait un antivirus appliqué au trafic, ou par un comportement anormal, par exemple un ordinateur interne qui envoie soudainement de grandes quantités de données à l’extérieur. Il en va de même pour le piratage.

Un cas de contrôle in line est bien connu des supporters : Piracy Shield, la plateforme de l’autorité française de régulation des communications contre le streaming illégal des événements sportifs. Le réseau, toutefois, ne « reconnaît » pas le flux diffusé en mode pirates : c’est le détenteur des droits qui identifie le flux illégal et signale son adresse, et les opérateurs bloquent dans les trente minutes la résolution DNS et l’acheminement vers cette IP, alors que l’événement est encore en cours. Reconnaissance par adresse, pas par contenu. Comme le raisonnement se fait par listes, le système porte le risque de bloquer par erreur des ressources légitimes qui tombent sur la même adresse, une éventualité que le cadre réglementaire cherche à limiter.

Non toute la réseau. Et ici se dissipe l’autre ambiguïté : on ne surveille pas « Internet dans son ensemble », car personne ne peut tout voir. On surveille toujours le trafic qui passe par un point surveillé.

Une entreprise veille sur ce qui entre et sort de son infrastructure, entre data centers, sites et cloud, et sur son trafic elle peut aussi déchiffrer et inspecter en profondeur, puisqu’elle gère à la fois les dispositifs et les clés.

Un opérateur de télécommunications surveille, quant à lui, son propre réseau, c’est-à-dire les connexions des abonnés et la dorsale qui les porte : un observatoire bien plus large, mais toujours « dans son propre périmètre », et soumis aux règles sur la confidentialité des communications qui interdisent en règle générale de regarder le contenu.

La France dans le viseur. Pourquoi tout cela compte-t-il maintenant ? Parce qu’à l’accroissement des flux s’ajoute un facteur nouveau : les outils d’intelligence artificielle, qui permettent d’automatiser et d’accélérer les attaques.

Selon le dernier Rapport Clusit, au premier semestre 2025, 10,2 % des attaques graves recensées dans le monde ont touché l’Italie, contre 3,4 % en 2021 ; sur l’année entière, la part nationale se situe à 9,6 %.

Une proportion nette, si l’on considère que le pays ne représente qu’environ 2 % du PIB mondial. Il existe toutefois une nuance importante : en 2025, pour la première fois, les attaques d’hacktivisme, à visée politique et en grande partie de simples interruptions de service via DDoS, ont dépassé celles du crime informatique à des fins d’extorsion. Des épisodes plus bruyants que nuisibles, mais qui déplacent le centre de gravité de la menace et qui confirment que « voir le trafic » n’est que la condition préalable à la défense, et non la défense en elle-même.

Un exemple hexagonal. Pour construire l’infrastructure qui rend possible cette visibilité, des entreprises spécialisées se déploient dans un marché dominé par quelques grands fournisseurs internationaux. Parmi les acteurs français, on compte des structures qui, comme Cinetix, proposent une approche intégrée de la visibilité réseau et des systèmes de sécurité. Née en 2003, Cinetix s’est imposée comme une société de solutions pour les télécommunications et est aujourd’hui à la tête d’un groupe qui réunit des compétences variées, de la visibilité réseau, apportée par sa filiale Microtel Innovation, à des systèmes pour les centres de contact. Le laboratoire de recherche et développement, composé d’une dizaine de personnes oeuvrant dans les domaines du réseau, de la cybersécurité et du logiciel, travaille dans un Business Innovation Centre, en collaboration avec des universités et des centres de recherche.

Le système que l’entreprise a présenté, CyberSecurNetix, illustre bien comment les deux principes évoqués plus haut se transposent en matériel. Le premier composant, une plateforme de commutation nommée CYW-32400, agit comme un répartiteur : il routage le trafic et décide quels flux envoyer aux outils d’analyse et de protection, afin de ne pas bloquer l’ensemble du réseau et d’extraire uniquement ce qui intéresse une organisation donnée. En somme, il s’agit du network packet broker tant évoqué. Le second composant, une matrice optique programmable appelée OMX-400, agit au niveau physique de la fibre et active ou désactive automatiquement les liaisons entre les nœuds : c’est ce qui permet d’insérer ou de retirer à la volée un dispositif de sécurité du parcours des données, réalisant ainsi ce mécanisme de contournement qui évite que la protection elle-même ne devienne une fragilité.

Selon Gianni Pompermaier, président de Cinetix, l’objectif est de faire cohabiter protection des données et continuité de service, en intégrant les outils de sécurité dans le flux sans sacrifier les performances, en restant attentif aux environnements à forte intensité de données comme les data centers, le cloud et les réseaux de nouvelle génération. Ce sont, il faut le dire, des catégories technologiques consolidées et proposées par plusieurs constructeurs : la valeur réside plutôt dans leur combinaison dans une installation unique adaptée au périmètre d’un réseau donné.

 

Article pensé et écrit par :
Avatar de Denis Perrin
Laisser un commentaire

un × 5 =