Une livraison qui traverse Les Arcades
Un colis arrive au centre commercial « Les Arcades ». Il ne se téléporte pas au comptoir de la boutique destinataire. Il passe d'abord par le quai de déchargement, emprunte les couloirs de service, suit la signalétique et le plan pour trouver le bon niveau et la bonne enseigne, transite par un service d'acheminement interne, puis arrive enfin au comptoir où un vendeur le réceptionne.
À chaque étape, une personne différente fait un travail différent. Le manutentionnaire du quai ne lit pas l'étiquette d'adressage. Le vendeur au comptoir ne sait pas par quel couloir le colis est passé. Chacun a son rôle, son périmètre, et sa façon de mal tourner.
Un message qui traverse un réseau fonctionne exactement comme ça. Le modèle OSI (Open Systems Interconnection), normalisé sous la référence ISO/IEC 7498-1, découpe cette traversée en sept couches empilées. Chacune ajoute une fonction au passage. Et chacune ajoute, au passage, son propre risque.
Penser la sécurité couche par couche, c'est appliquer la défense en profondeur au réseau : si une couche cède, les autres doivent encore tenir.
Sept couches, sept fonctions, sept surfaces d'attaque
Avant le détail, voici la vue d'ensemble. Le modèle OSI empile sept niveaux, du câble physique en bas jusqu'à l'application en haut. Un message émis descend la pile chez l'expéditeur (chaque couche l'encapsule), traverse le réseau, puis remonte la pile chez le destinataire (chaque couche le désencapsule).
La logique de lecture est simple. Plus on descend, plus on parle de matériel et de transport brut (câbles, trames, paquets). Plus on monte, plus on parle de sens et de contenu (sessions, formats, requêtes applicatives).
Une attaque vise une couche précise. Couper un câble ne ressemble en rien à usurper une réponse DNS, même si les deux peuvent rendre un service indisponible. La parade aussi est spécifique à la couche : un pare-feu de couche 4 ne voit pas ce qui se passe au niveau applicatif, et un chiffrement applicatif ne protège pas le câble.
Le reste de ce billet parcourt les sept couches, de bas en haut. Pour chacune : son rôle dans Les Arcades, sa transposition réseau, une menace type, et une parade concrète.
Couche 1 : physique
Le quai de déchargement
C'est le quai de déchargement et les couloirs bruts du centre. Pas d'intelligence ici, juste le support matériel : le béton, les portes, les chariots. Au niveau réseau, la couche physique transporte des signaux électriques, optiques ou radio sur du cuivre, de la fibre ou des ondes. Elle ne comprend ni adresse ni contenu, seulement des bits.
Menace et parade
La menace type est brutale et physique : couper un câble, débrancher une fibre, ou brouiller un signal sans fil. Aucune sophistication logicielle, mais l'effet sur la disponibilité est immédiat. Le brouillage radio (jamming) entre dans cette catégorie pour le Wi-Fi.
La parade relève d'abord de la sécurité physique : armoires verrouillées, chemins de câbles protégés, redondance des liens, et contrôle d'accès aux locaux techniques. Comme pour un local technique des Arcades, on ne sécurise pas un câble avec un mot de passe, on le sécurise avec une serrure.
À la couche 1, la cybersécurité redevient de la sécurité physique. Un cadenas et un second lien valent mieux qu'un firewall.
Couche 2 : liaison de données
Les couloirs de service
C'est le réseau de couloirs internes qui relie les pièces d'un même étage. On ne sort pas encore du bâtiment, on circule localement. Au niveau réseau, la couche liaison gère la communication sur un même segment local : trames Ethernet, adresses MAC, commutation. C'est ici qu'opère le protocole ARP, qui associe une adresse IP à une adresse MAC sur le réseau local.
Menace et parade
La menace type est l'usurpation locale. Un faux badge, un faux agent d'entretien qui se fait passer pour un autre dans les couloirs. Techniquement, c'est l'ARP spoofing : un attaquant répond à des requêtes ARP avec sa propre adresse MAC pour se placer en intermédiaire (attaque de l'homme du milieu sur le LAN). Le MAC flooding, qui sature la table d'un commutateur, vise aussi cette couche.
Les parades vivent dans le commutateur : Dynamic ARP Inspection, DHCP snooping, port security pour limiter les adresses MAC par port, et la segmentation par VLAN pour réduire la portée d'une compromission locale. Le contrôle d'accès réseau (802.1X) authentifie l'équipement avant de le laisser parler sur le segment.
Couche 3 : réseau
La signalétique et le plan du centre
C'est le plan du centre et la signalétique qui indiquent comment aller d'un étage à l'autre, d'une aile à l'autre. Sans ce plan, impossible de trouver la bonne boutique. Au niveau réseau, la couche 3 gère l'adressage logique (IP) et le routage : choisir le chemin d'un paquet à travers plusieurs réseaux. À l'échelle d'Internet, ce routage entre opérateurs repose sur BGP, le protocole qui propage les annonces de routes.
Menace et parade
La menace type, c'est une mauvaise direction sur le plan : un panneau trafiqué qui envoie tout le monde vers la mauvaise sortie. Sur Internet, c'est le détournement de routage. Un opérateur annonce, par erreur ou malveillance, des routes qui ne lui appartiennent pas, et le trafic mondial se retrouve aiguillé au mauvais endroit. L'usurpation d'adresse IP (IP spoofing) appartient aussi à cette couche.
Les parades : filtrage des routes, validation d'origine via RPKI, filtrage anti-spoofing en bordure (BCP 38 / RFC 2827), et de manière générale un routage qui n'accepte pas n'importe quelle annonce sans vérification.
Scénario réel : le détournement de YouTube en 2008
Le cas le plus connu d'attaque de couche 3 est involontaire à l'origine. En février 2008, Pakistan Telecom voulait bloquer YouTube à l'intérieur du Pakistan en injectant une route plus spécifique vers les adresses de YouTube. Cette annonce BGP a fuité vers son fournisseur de transit, puis s'est propagée au reste d'Internet. Résultat : pendant environ deux heures, une large partie du trafic mondial vers YouTube a été aiguillée vers le Pakistan, rendant le service injoignable. L'analyse détaillée de l'incident est documentée par le RIPE NCC.
Une seule annonce de route erronée a suffi à faire disparaître YouTube de l'Internet mondial. La couche 3 décide où va le trafic, et elle fait confiance par défaut.
Couche 4 : transport
Le service d'acheminement interne
C'est le service d'acheminement interne du centre, celui qui garantit qu'une livraison arrive complète, dans le bon ordre, et au bon comptoir parmi tous ceux d'une même boutique. Au niveau réseau, la couche transport gère la livraison de bout en bout : TCP pour une livraison fiable et ordonnée, UDP pour une livraison rapide sans garantie, et les numéros de port qui identifient le service destinataire.
Menace et parade
La menace type est la saturation de l'entrée. On bloque le service d'acheminement en l'inondant de fausses demandes pour qu'il ne traite plus les vraies. C'est le SYN flood (un type de déni de service) qui exploite le mécanisme d'ouverture de connexion TCP, et plus largement les attaques par déni de service distribué (DDoS) qui visent à épuiser une ressource.
Les parades : limitation de débit (rate limiting), SYN cookies, pare-feu à états qui suit les connexions légitimes, et services anti-DDoS capables d'absorber le volume. La segmentation aide aussi : exposer le moins de ports possible réduit la surface d'attaque.
L'exemple grandeur nature côté disponibilité est l'attaque contre Dyn en octobre 2016, où le botnet Mirai a noyé un fournisseur DNS sous un volume de trafic massif, rendant de nombreux sites majeurs inaccessibles. L'attaque combine plusieurs couches, mais son levier central est la saturation de capacité.
Couche 5 : session
Le suivi d'une commande en cours
C'est le suivi d'une commande en cours : Les Arcades gardent en mémoire qu'une livraison est ouverte, à qui elle est destinée, et jusqu'à quand elle reste valide. Au niveau réseau, la couche session ouvre, maintient et ferme les dialogues entre deux machines. Dans les architectures applicatives modernes, ses fonctions sont souvent assurées plus haut (jetons de session web, par exemple), mais le concept reste utile pour raisonner sur la sécurité.
Menace et parade
La menace type est le vol ou le rejeu d'une session en cours. Quelqu'un récupère le ticket d'une commande légitime et s'en sert pour récupérer la marchandise à la place du vrai destinataire. C'est le détournement de session (session hijacking) : voler un identifiant de session valide pour usurper une connexion déjà authentifiée.
Les parades : identifiants de session imprévisibles, expiration courte, invalidation à la déconnexion, et transport chiffré pour empêcher l'interception du jeton. Lier une session à des éléments difficiles à reproduire (cookies sécurisés, attributs réseau) complique le rejeu.
Couche 6 : présentation
La langue commune au comptoir
C'est le moment où l'on traduit la commande dans une langue comprise par la boutique : format, encodage, et surtout mise sous scellé du colis pour que personne ne lise son contenu en route. Au niveau réseau, la couche présentation gère la représentation des données : encodage, compression, et chiffrement. C'est là qu'on situe habituellement TLS, le protocole qui chiffre et authentifie les échanges (le « S » de HTTPS).
Menace et parade
La menace type est l'interception du contenu en clair, ou la duperie sur l'identité du correspondant. Sans scellé, un intermédiaire lit et modifie le colis. Sans vérification, un faux comptoir se fait passer pour le vrai. Techniquement, c'est l'écoute du trafic non chiffré et les attaques sur des configurations TLS faibles (protocoles obsolètes, certificats non vérifiés).
Les parades : TLS correctement configuré (versions récentes, suites cryptographiques saines), validation stricte des certificats, et HSTS pour forcer le chiffrement côté web. Le chiffrement de couche 6 protège la confidentialité et l'intégrité du contenu, mais il ne dit rien de la fiabilité du chemin emprunté plus bas dans la pile.
Le chiffrement protège le contenu du colis, pas le trajet du colis. C'est exactement pour ça qu'on a besoin de parades à chaque couche.
Couche 7 : application
Le comptoir de la boutique
C'est le comptoir, là où le client final formule sa demande et où le vendeur la traite. Tout le sens métier est ici. Au niveau réseau, la couche application est celle des protocoles que manipulent directement les logiciels : HTTP, DNS, SMTP, et les API. C'est la couche la plus visible et, souvent, la plus attaquée.
Menace et parade
La menace type est le faux comptoir et la commande piégée. Un attaquant monte une fausse boutique pour collecter des informations (phishing), ou glisse une instruction malveillante dans une commande en apparence normale (injection). Côté web, ce sont les classiques de l'OWASP Top 10 : injection, contournement d'authentification, et défauts de configuration. L'usurpation de réponses DNS (DNS spoofing) appartient aussi à cette couche.
Les parades : validation systématique des entrées, authentification et autorisation robustes, pare-feu applicatif (WAF) pour filtrer les requêtes hostiles, et durcissement des configurations. À cette couche, la sécurité rejoint directement la qualité du code, ce qui en fait un terrain partagé avec l'AppSec et, plus largement, avec la démarche DevSecOps.
Synthèse : une parade par couche
Le tableau condense la traversée. Une couche, un rôle, une menace type, une parade. La lecture verticale rappelle l'essentiel : aucune ligne ne suffit seule, c'est l'empilement des parades qui tient.
| Couche | Rôle | Menace type | Parade type |
|---|---|---|---|
| 7 - Application | Protocoles métier (HTTP, DNS, API) | Injection, phishing, DNS spoofing | Validation d'entrées, WAF, authentification robuste |
| 6 - Présentation | Format, encodage, chiffrement | Écoute du trafic, TLS faible | TLS récent, validation de certificat, HSTS |
| 5 - Session | Ouverture et suivi des dialogues | Vol et rejeu de session | Jetons imprévisibles, expiration, chiffrement |
| 4 - Transport | Livraison de bout en bout, ports | SYN flood, DDoS | Rate limiting, SYN cookies, pare-feu à états |
| 3 - Réseau | Adressage IP, routage | Détournement BGP, IP spoofing | RPKI, filtrage de routes, anti-spoofing (BCP 38) |
| 2 - Liaison | Réseau local, MAC, ARP | ARP spoofing, MAC flooding | DAI, DHCP snooping, port security, 802.1X |
| 1 - Physique | Câbles, fibre, signaux | Coupure, brouillage | Sécurité physique, redondance, contrôle d'accès |
Ce découpage ne dit pas qu'une attaque reste sagement dans sa couche. Une campagne réelle enchaîne plusieurs niveaux : une reconnaissance de couche 2, un détournement de couche 3, une exfiltration de couche 7. Le modèle OSI n'est pas une carte des attaques, c'est une grille de lecture pour ne rien laisser au hasard.
C'est aussi pourquoi la défense en profondeur et la segmentation, vues comme principes généraux, prennent ici une forme très concrète. Segmenter en VLAN agit en couche 2. Filtrer entre segments agit en couche 3 et 4. Chiffrer agit en couche 6. Chaque principe se projette sur une ou plusieurs couches précises.
Points clés
- Le modèle OSI (ISO/IEC 7498-1) découpe une communication en sept couches, du câble physique à l'application métier.
- Chaque couche apporte une fonction et, avec elle, une surface d'attaque distincte : couper un câble (1), usurper en local (2), détourner une route (3), saturer un service (4), voler une session (5), intercepter le contenu (6), piéger l'application (7).
- À chaque couche correspond une parade adaptée : la couche 1 se sécurise avec une serrure, la couche 7 avec du code propre et un WAF. Aucune parade unique ne couvre toute la pile.
- Le détournement de YouTube par Pakistan Telecom en 2008 (RIPE NCC) montre qu'une simple annonce de route erronée en couche 3 peut couper un service à l'échelle mondiale.
- Raisonner couche par couche, c'est appliquer concrètement la défense en profondeur et la segmentation au réseau.
Dans la série
Palier 2 : Verrouiller les accès. Domaine : Réseau & systèmes.
- Précédent : Threat modeling avec STRIDE
- Suivant : Pare-feu, WAF, proxy, IDS/IPS et VPN
- Vue d'ensemble : Par où commencer dans Les Arcades
Pour aller plus loin
- ISO/IEC 7498-1 : la norme de référence du modèle OSI.
- RFC 4271 - Border Gateway Protocol 4 et RFC 6480 - RPKI pour la sécurité du routage.
- RFC 8446 - TLS 1.3 pour le chiffrement de transport.
- OWASP Top 10 pour les risques applicatifs de couche 7.
- Qu'est-ce que le DevSecOps ? pour replacer la sécurité réseau dans une démarche d'ensemble.