Comment ne pas faire sombrer Internet ?

Actualité Menaces

Le point le plus frappant sans doute concernant l’immense attaque par déni de service de la semaine dernière qui a frappé 80 grands sites web et des services en ligne, est que les cybercriminels à l’origine de cette attaque l’ont accomplie non pas par le biais de moyens particulièrement sophistiqués ou de pointe, mais en créant une véritable armée avec les appareils connectés de consommateurs, ce qu’on appelle l’Internet des Objets (IdO). Dans cet article, nous vous expliquons les concepts essentiels et de quelle façon cet incident est connecté à chacun d’entre nous.

dyn-featured

L’attaque

Le 21 octobre dernier, de nombreux Américains se sont réveillés en découvrant que la plupart de leurs sites web populaires étaient indisponibles. Ils ne pouvaient pas accéder à Netflix, ni faire de transaction via Paypal, ni jouer en ligne avec la Playstation de Sony. Ils ne pouvaient même pas tweeter sur le problème, puisque Twitter ne répondait pas non plus.

Au total, 85 grands sites montraient soit des signes de tension ou ne répondaient tout simplement pas.

Il s’est avéré que le problème sous-jacent était une série d’attaques (trois en une), contre l’infrastructure américaine d’Internet. La première vague a touché la côte Est. La deuxième a affecté les utilisateurs en Californie et du Midwest, ainsi qu’en Europe. La troisième attaque a été modérée grâce aux mesures prises par Dyn, l’entreprise de service DNS qui était la principale cible des trois attaques.

Des services de musique, des médias et plusieurs autres ressources ont été touchés. Amazon a fait l’objet d’une attention particulière : une attaque indépendante menée contre lui en Europe de l’Ouest a mis le site sens dessus-dessous pendant un moment.

DNS et attaque par déni de service (DDoS)

Donc, comment-il est possible de perturber tant de sites en seulement trois attaques ? Pour le comprendre, vous devez savoir ce qu’est un DNS.

Le Domain Name System, ou DNS, est le système qui connecte votre navigateur au site web que vous cherchez. De manière générale, chaque site possède une adresse numérique, un lieu où il est hébergé, de même qu’une URL plus facile à mémoriser. Par exemple, blog.kaspersky.com demeure sous l’adresse IP 161.47.21.156.

Un serveur DNS fonctionne comme un carnet d’adresses, il dit à votre navigateur à quel emplacement numérique un site est enregistré. Si un serveur DNS ne répond pas à une requête, votre serveur ne saura pas comment charger la page. C’est la raison pour laquelle les fournisseurs DNS (surtout les principaux) constituent une importante partie de l’infrastructure essentielle d’Internet.

Cela nous ramène à l’attaque par déni de service. Une attaque par déni de service (DDoS) inonde les serveurs qui font marcher un site web ou un service en ligne avec des requêtes jusqu’à ce qu’ils s’écroulent et que les sites qu’ils servent cessent de fonctionner. Pour une attaque par déni de service, les cybercriminels ont besoin d’envoyer un grand nombre de requêtes, et c’est pourquoi ils ont besoin de beaucoup de dispositifs pour le faire. Pour une attaque par déni de service, ils utilisent en général des armées d’ordinateurs piratés, des smartphones, des appareils et autres dispositifs connectés. En fonctionnant ensemble (mais à l’insu de leurs propriétaires), ces dispositifs forment des botnets.

 

Mettre KO Dyn

Vous voyez à présent comment tout s’est passé : quelqu’un a utilisé un botnet géant contre Dyn. Il comprenait des dizaines de millions de dispositifs (des caméras IP, des routeurs, des imprimantes et autres appareils intelligents de l’Internet des Objets. Les hackers ont inondé le site de l’entreprise Dyn avec des requêtes, 1.2 téraoctets par seconde. Les dommages estimés s’élèvent à près de 110 millions de dollars. Toutefois, les cybercriminels responsables n’ont pas demandé de rançon ni fait toute autre demande.

En réalité, ils n’ont rien fait mais attaqué, et n’ont pas laissé d’empreintes. Cependant, les groupes de hackers New World Hackers et RedCult ont revendiqué leur responsabilité dans cet incident. De plus, RedCult a affirmé qu’il reviendrait à la charge avec plus d’attaques à l’avenir.

Pourquoi les utilisateurs devraient-ils s’y intéresser ?

Même si l’incident de Dyn ne vous a pas touché personnellement, cela ne veut pas dire que vous ne devez pas vous y intéresser.

Pour créer un botnet, les hackers ont besoin de nombreux dispositifs dotés d’une connexion Internet. Combien d’appareils connectés avez-vous ? Un téléphone, probablement une télé connectée, un enregistreur vidéo numérique, et une webcam ? Et sans doute un thermostat ou un frigo connecté ? Les dispositifs piratés servent deux maîtres en même temps. Pour leurs propriétaires, ils fonctionnent comme d’habitude, mais ils attaquent aussi des sites web sous les ordres d’un cybercriminel. Des millions de ce type d’appareils ont semé la pagaille chez Dyn.

Ce gigantesque botnet a été créé à l’aide du malware Mirai. L’action du malware est plutôt simple : il analyse les dispositifs de l’IoD et tente un mot de passe sur tout ce qu’il trouve. En général, les gens ne changent pas les paramètres par défaut de leurs appareils ni les mots de passe, ce qui fait que les dispositifs sont faciles à pirater, c’est de cette façon qu’ils sont enrôlés dans les armées de zombies du Mirai et de malwares semblables.

Et cela veut dire que votre télé connectée pourrait faire partie d’un botnet, et que vous ne le saurez jamais.

 

Au mois de septembre dernier, quelqu’un avait utilisé Mirai pour démonter le blog du journaliste en sécurité informatique Brian Krebs, en submergeant le serveur de requêtes provenant de 380 000 dispositifs zombies et atteignant 665 gigaoctets par seconde. Le fournisseur avait tenté de rester en ligne mais avait fini par renoncer. Le blog a recommencé à fonctionner seulement après l’intervention de Google pour le protéger.

Peu après l’attaque, un utilisateur qui avait pris le pseudonyme d’Anna-Senpai a publié le code source de Mirai sur un forum clandestin. Les cybercriminels en tout genre s’en sont emparés immédiatement. Depuis, le nombre de bots Mirai n’a cessé d’augmenter : l’attaque de Dyn a eu lieu après moins d’un mois seuelement.

Impliquer l’Internet des Objets

Le déni de service est un type d’attaque très répandu. Et utiliser des dispositifs intelligents lors de telles attaques est intéressant pour les cybercriminels, et comme nous l’avons déjà mentionné, l’Internet des Objets est bogué et vulnérable. Cela risque de ne pas changer de sitôt.

 

Les développeurs de dispositifs intelligents en font peu pour sécuriser leurs appareils et n’expliquent pas aux utilisateurs qu’ils devraient changer leurs mots de passe sur leurs webcams, routeurs, imprimantes et autres appareils. En réalité, tous ne permettent pas aux utilisateurs de le faire. Ce qui fait que les dispositifs IoD sont des cibles parfaites.

Aujourd’hui, entre 7 et 19 millions de dispositifs sont connectés au World Wild Web. Selon les estimations, ces chiffres atteindront 30 à 50 millions dans les 5 prochaines années. Il est pratiquement certain que la plupart de ces dispositifs ne seront pas fortement protégés. De plus, les appareils qui ont été piratés par Mirai sont toujours actifs, et chaque jour de nouveaux rejoignent cette armée de bots.

Qu’en sera-t-il sur le long terme ?

Les hackers utilisent souvent des botnets pour attaquer des infrastructures industrielles centrales (sous-stations électriques, services des eaux) et également des fournisseurs DNS. Selon les observations du chercheur en sécurité Bruce Schneier, il pense que quelqu’un est « en train de démonter Internet » à l’aide d’attaques par déni de service puissantes et continues.

Les botnets se développent de plus en plus, et lorsque ces tests d’attaques sont terminés, il n’est pas exagéré de penser qu’une attaque à grande échelle pourrait avoir lieu. Imaginez des dizaines d’attaques simultanées aussi puissantes que l’incident de Dyn et vous comprendrez quels dommages peuvent être commis. Des pays entiers pourraient perdre leur Internet.

 

Comment ne pas faire partie d’un botnet

Une seule personne ne peut pas empêcher des botnets de faire planter Internet, mais ensemble nous pouvons faire beaucoup en ne rejoignant pas un botnet. Vous pouvez commencer en protégeant davantage vos dispositifs de façon à ce que Mirai et des malwares similaires ne puissent pas prendre le contrôle sur eux. Si tout le monde le faisait, les armées de botnets tomberaient dans l’insignifiance.

Pour empêcher votre imprimante, routeur, ou frigo de plonger le monde dans les ténèbres d’Internet, prenez ces précautions simples.

  1. Changez vos mots de passe par défaut pour tous vos dispositifs. Utilisez des combinaisons fiables qui ne peuvent pas être forcées facilement.
  2. Mettez à jour votre firmware pour tous vos appareils (surtout les plus anciens), si possible.
  3. Soyez sélectif au moment de choisir vos dispositifs intelligents. Faites-vous la réflexion : est-ce que cela a réellement besoin d’une connexion Internet ? Si la réponse est « Oui ! », alors prenez le temps de lire les caractéristiques de l’appareil avant de l’acheter. Si vous vous apercevez qu’il a des mots de passe difficiles à coder, alors choisissez un autre modèle.