L’énorme cyberattaque lancée vendredi contre Dyn, la société gestionnaire de DNS, aux États-Unisa presque mis K.O. une bonne partie de l’Internet. D’énormes sites comme Twitter, Netflix, PayPal ou Spotify étaient inaccessibles aux États-Unis et même dans le reste du monde. La cause? Une attaque DDoS lancée à partir de millions d’objets connectés. Si les sites sont à nouveau accessibles, la menace, elle, est toujours bien réelle.
On l’oublie parfois mais n’importe quel objet qui peut se connecter au wifi possède une adresse IP. Cet objet peut alors être hacké et envoyer des requêtes sans que son propriétaire le sache. C’est ce qui est arrivé vendredi soir. Sauf que ce n’est pas un objet connecté qui a été hacké mais des millions d’objets connectés.
C’est comme ça que la société gestionnaire de nom de domaines Dyn a été hackée ce 21 octobre. Ces millions d’objets connectés ont lancé une attaque DDoS contre Dyn et tous les clients de cette boîte ont eu des problèmes avec leur site. Impossible pour la grande majorité des Américains de trouver l’adresse DNS (le nom de domaine) de ces sociétés: Netflix, Soundcloud, CNN, Twitter, Spotify, eBay, HBO ou encore Reddit.
Et comme on peut le voir ci-dessous sur la carte fournie par Downdetector, un site qui observe la « météo de l’internet », l’attaque a touché principalement les États-Unis et la zone Londres-Belgique-Pays-Bas.
L’Internet des objets
La différence entre cette attaque et les attaques classiques, c’est la provenance des requêtes. Lors d’une DDoS normale, des milliers de requêtes sont envoyées depuis des ordinateurs infectés. Les propriétaires des ordis ne savent pas que leurs bêtes se connectent sur un site et qu’elles surchargent la bande passante jusqu’à faire planter le site.
Mais dans ce cas-ci, les requêtes ont été envoyées depuis des objets connectés: caméras intelligentes, babyphones, voitures connectées… Même les détecteurs de fumées aujourd’hui sont connectés. La ville entière sert de relais pour envoyer des attaques. À Bruxelles, par exemple, 150 caméras intelligentes devraient être installées pour 2018. Mais des centaines de caméras intelligentes sont déjà actives, comme à l’aéroport de Zaventem.
Our advanced service monitoring issue is currently resolved. We are still investigating and mitigating the attacks on our infrastructure.
— Dyn (@Dyn) 21 octobre 2016
Mirai
L’auteur des ces attaques a eu recours à des bot Mirai, un logiciel malveillant (malware) dont le code source est dispo sur le net. Ce truc se faufile partout et il a déjà lancé plusieurs attaques ces dernières semaines. On retiendra par exemple celle contre l’hébergeur OVH, sur lequel des sites français très importants sont hébergés.
Selon ce site qui trace les appareils infectés les malwares dans le monde, on apprend qu’au total, plus de 1,2 millions d’appareils hébergent actuellement le malware Mirai. Et parmi eux, 150.000 sont actuellement connectés, donc actifs. Mirai s’installe sur ces objets qui sont quasiment impossibles à mettre à jour ni à protéger et il parvient de la sorte à bloquer d’énormes zones géographiques. La carte ci-dessous montre les zones où se trouvent des appareils infectés.
There are non state actors with botnets 10x size of Mirai, but you don't hear about them because they're not stupid and keep a low profile.
— MalwareTech (@MalwareTechBlog) 22 octobre 2016
On voit bien que la première vague d’attaque mais ça ne change rien. L’attaque a été contrée mais ce n’est qu’un début. Quiconque gère ces bots Mirai peut, à tout moment, lancer une attaque contre n’importe quelle site. Son armée silencieuse est prête et c’est nous tous qui lui permettons d’exister.