Le réseau internet n’est pas à l’abri d’une perturbation dans de proportions que les experts n’arrivent toujours pas à déterminer. A chaque attaque informatique, des enseignements sont tirés, les technologies de veille et de sécurité sont améliorées mais le risque demeure toujours.
Et à chaque fois on apprend que la force de nuisance des attaques informatique a encore de la marge.
La côte ouest des Etats Unis puis, plusieurs du monde, ont vécu le week end dernier une attaque massive qui a mis hors servie de nombreux sites web, pendant plusieurs heures est venu rappeler que l’intégrité du réseau internet n’est pas à l’abri et que des efforts restent encore à faire pour consolider ses capacités de résilience.
Un vendredi soir, donc, des services web tels Twiiter, Spotify, et PayPal ont été mis hors d’accès suite à une attaque massive par déni de service opérée sur la société Dyn chargée de la gestion des noms de domaines de nombreux services internet.
« Le déni de service (ou DoS : Denial of Service) est une attaque qui vise à rendre une application informatique incapable de répondre aux requêtes de ses utilisateurs explique le site www.altospam.com qui ajoute également que le « déni de service distribué (DDoS pour Distributed DoS) est une attaque de DoS émise depuis plusieurs origines distinctes.
Ce type d'attaque est extrêmement complexe à bloquer, car il est souvent impossible de différencier une vraie requête d'une requête de DDos.
L'attaque par DDos utilise très souvent une multitude de PC zombies infectés par des backdoors exploités à distance par un pirate et attaquant simultanément une cible unique », peut-on lire sur sa page web.
La cible choisie par les auteurs de l’attaque, est une société dont les serveurs assurent la résolution DNS, en d’autres termes « ils traduisent le nom des URL en adresses IP compréhensibles par les machines, et s’assurent que les communications Internet sont transmises au bon ordinateur connecté au réseau », inique le site lemobndeinformatique.fr qui précuise que cette « cible choisie par les attaquants est le fournisseur de services d’un grand nombre d’importants sites web.
» Outre son ampleur et la nature des services bloqués, cette attaque s’est distinguée par les méthodes utilisées, et nomment les supports d’attaque mobilisés.
De nombreux objets connectés ont ainsi été mis à contribution pour garantir la propagation de l’attaque, particulièrement des caméras de surveillance d’une société chinoise.
« Les assaillants ont utilisé des dizaines de millions d'appareils IoT connectés à Internet pour mener à bien leur attaque, rapporte ce site ajoutant que les auteurs « ont profité des faiblesses inhérentes à un grand nombre de dispositifs IoT, à savoir qu’ils sont protégés par des mots de passe par défaut simples et faciles à deviner, qu’ils sont peu ou pas sécurisés et qu’ils sont connectés en permanence à Internet.
Un malware, ou logiciel malveillant du nom de Mirai a été utilisé pour mettre en relation les objets connectés et assurer une large diffusion de l’attaque.
« Depuis le mois dernier, Mirai est à l’œuvre. Ce malware est capable de s’introduire dans les périphériques IoT, de les infecter et de les utiliser pour mener des attaques DDoS coordonnées à très grande échelle, explique lemondeinformatique.fr poursuivant par l’exemple de sa première attaque qui, écrit-il, «avait ciblé le site web du journaliste Brian Krebs spécialisé en cybersécurité.
L’attaque avait été très médiatisée, car le botnet avait envoyé dans le trafic un débit de 665 Gb/s, un record dans l’histoire des attaques DDoS ».
Le malware serait toujours actif selon les dernières informations de presse ; « Selon la société Arbor Networks, 500 000 objets connectés sont toujours activement contrôlés par Mirai.
Avance le site www.nextinpact.com qui se base sur des indications fournies par la société Arbor, pour signaler que « de fortes ‘’concentrations de nœuds Mirai ‘’ sont présentes en Chine, à Hong-Kong, à Macao, au Vietnam, à Taïwan, en Corée du Sud, en Thailande, en Indonésie, au Brésil et en Espagne. Ces « lots » ne se désagrègent pas, la société expliquant que les centaines de milliers d’appareils forment des botnets qui scannent Internet à la recherche de victimes.
En d’autres termes, si un appareil est redémarré, il est à nouveau capturé en moins de dix minutes », peut on lire sur son site internet.
Le mode opératoire choisi par les auteurs de l’attaque s’est déroulé en deux phases, selon les constatations relevées par la presse spécialisée ; dans une première étape, trois datacenters de Dyn implantés à Chicago, New York et Washington ont été ciblés, au regard de leur proximité avec les serveurs des services web visés.
Les attaques ont ensuite touché les autres datacenters situés un peu partout dans le monde.
Comme à chaque attaque informatique, les regards se braquent toujours vers l’origine avec beaucoup de penchant à désigner des Etats ou gouvernement, en raison notamment de la puissance de l’attaque et du et des moyens nécessaires à sa planification.
Le gouvernement américain qui s’est impliqué dans la riposte à cette attaque a été prudent dès le départ, préférant laisser agir les enquêteurs ; quelques heurs plus tard, il faisait savoir sa conviction que l’attaque ne provient pas d’un Etat étranger.
Ouf !
Prompte réaction
A peine l’attaque révélée, le gouvernement américain a immédiatement réagi pour dire qu’il suivait de près cette affaire. Echaudé par les multiples intrusions destinées à saborder ses infrastructures critiques, l’exécutif américain est en effet aux aguets.
Dans un communiqué diffuser juste après le début de l’attaque, le ministère américain de l’intérieur indiquait que « les autorités américaines expliquent surveiller de près cette affaire et avoir pris contact avec 18 opérateurs de télécommunications afin de faire le point sur le sujet », selon un papier mis en ligne par zdnet.fr qui parle d’un bilan ‘’mitigated’’, annoncé par l’administration américaine, expliquant que « ce terme désigne le fait de prendre des mesures permettant de contourner par exemple une vulnérabilité, sans réellement la corriger à la source.
» Sans trop s’avancer sur la nature et l’origine de l’attaque, le gouvernement américain, « explique néanmoins que le National Cybersecurity and Communications Integrations Center travaille au développement de contre mesures pour ce type de malware », ajoute zdnet.fr
Les objets connectés en ligne de mire
Parmi les principales conclusions tirées de l’attaque massive qui a ébranlé le web ces derniers jours, la problématique sécurité des objets connectés.
« Les objets domotiques et autres objets connectés, des webcams, aux imprimantes en passant par les thermostats connectés sont très prisés, car nombreux et peu sécurisés, c’est une faille connue, mais paradoxalement peu surveillée », écrit le site www.journaldugeek.com/ qui relate comment le malware Mirai s’est accaparé d’objets connectés ; selon des informations recueillies par ce site, « le logiciel malveillant ‘Mirai’ aurait exploité des caméras de surveillance, mais aussi des enregistreurs numériques.
Une méthode qui n’est pas sans rappeler le piratage d’OVH le mois dernier via un réseau de 150 000 caméras de surveillance ».
