Comment une armée de gadgets mal sécurisés peut paralyser partiellement internet
L’auteur de l’attaque contre le fournisseur DNS Dyn vendredi passé a exploité le botnet Mirai constitué d’un tas de gadgets piètrement sécurisés connectés à internet. Suite à cette attaque, une partie d’internet fut inaccessible pendant quelques heures. Comment cela a-t-il pu se produire?
Vendredi soir (heure belge), Dyn fut touché par la plus importante attaque Ddos (attaque par déni de service) lancée à ce jour. Les serveurs de l’entreprise ont été submergés de requêtes, à tel point qu’ils se sont crashés. Cela a eu de graves conséquences car Dyn est un fournisseur DNS. Il s’assure en fait que les personnes qui saisissent le nom de domaine d’un site web, aboutissent sur le serveur ad hoc et voient apparaître le site voulu. Suite à un attaque perpétrée contre ce genre de fournisseur, les sites web recherchés ne sont plus accessibles, et les pirates peuvent paralyser simultanément de nombreux sites.
Une entreprise chinoise en partie responsable
Plusieurs entreprises de sécurité affirment que c’est le botnet Mirai qui a été utilisé pour ce faire. Ce réseau se compose de 50.000 à 100.000 appareils infectés tels des caméras de surveillance et des frigidaires connectés à internet – alias l’Internet of Things. Le pirate responsable de la création du botnet Mirai avait en septembre mis son code-source en ligne, ce qui fait que tout un chacun peut désormais l’utiliser pour lancer sa propre attaque. Le code-source scanne le web à la recherche d’appareils IoT piètrement sécurisés et les utilise pour submerger de demandes des serveurs et ce, jusqu’à ce qu’ils se plantent. Nombre de ces appareils exploités proviennent de XiongMai Technologies, une entreprise chinoise qui fabrique des composants pour de l’équipement d’autres firmes.
Ce dimanche, l’entreprise chinoise a reconnu que ses appareils étaient partiellement responsables de l’attaque. Xiongmai Technologies utilise des mots de passe standard identiques pour chaque appareil, ce qui fait que des pirates peuvent facilement les exploiter pour lancer une attaque Ddos. Les utilisateurs de nouveaux appareils sont invités à changer de mot de passe, mais pour ce qui est des anciens appareils, il y a un gros problème: le mot de passe est en effet hardcoded dans le firmware, et les outils nécessaires pour le changer, n’existent actuellement pas.
Il n’est donc pour l’instant pas vraiment possible de désactiver le botnet Mirai, à moins que tous les appareils présents dans ce réseau soient eux-mêmes déconnectés d’internet, ce qui est très improbable du fait qu’ils sont très largement dispersés et que beaucoup de personnes qui possèdent un appareil du genre, ne savent pas qu’il fait partie d’un botnet.
Attaque à vendre pour 7.000 euros
Précédemment déjà, le botnet Mirai avait paralysé le site web de l’entreprise de sécurité de Brian Krebs, alias KrebsonSecurity. De son côté, la firme de sécurité RSA déclare à Forbes que ce botnet peut être activé moyennant un montant oscillant entre 4.000 et 7.000 euros.
‘Quelqu’un tente de paralyser internet’
En septembre déjà, nous écrivions que quelqu’un tente de paralyser la totalité d’internet. C’est du moins ce qu’affirmait le spécialiste en sécurité Bruce Schneier, qui fait autorité en la matière et qui partage régulièrement ses avis et visions à propos de la problématique de la sécurité. Dans un message posté sur son blog, il prévient que les entreprises gérant les composantes critiques d’internet doivent ces deux dernières années faire face graduellement à des attaques très ciblées. Celles-ci n’auraient pas comme objectif de tout paralyser, mais bien d’examiner comment une organisation se défend contre celles-ci.
Schneier suppose que les assaillants recherchent le point faible de chaque organisation. Si un pays parvient à paralyser internet en attaquant plusieurs points cruciaux, cela pourrait poser de très sérieux problèmes.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici