Objets connectés : Une attaque historique fait trembler les géants d’Internet

Vendredi 21 octobre 2016. Twitter, PayPal, eBay, Spotify, Netflix et des dizaines d’autres sites internet américains deviennent inaccessibles pendant plusieurs heures. Dyn, l’un des leaders mondiaux de la gestion d’infrastructure Internet, vient d’être victime d’une attaque par déni de service distribué dont l’ampleur est historique.

L’attaque par déni de service distribué (distributed denial of service, ou DDoS, en anglais) est un acte de malveillance visant à rendre des réseaux, des applications ou des services en ligne inutilisables en saturant ces ressources de données indésirables, le plus souvent par le biais d’un grand nombre de machines. Dans le cas de Dyn, c’est le service DNS (pour Domain Name System), responsable d’associer le nom de domaine d’un service (par exemple, twitter.com) à son adresse IP, qui est la cible des hackers. Autrement dit, si les données des sites visés restent intactes, plus aucun utilisateur ne peut y accéder.

Bien que l’identité des auteurs de cette attaque demeure pour le moment inconnue, les premières analyses des experts de la société de cybersécurité Flashpoint ont permis de révéler certains éléments clés de l’affaire : Les hackers ont eu recours à des dizaines de milliers d’objets connectés mal protégés (notamment des caméras de sécurité, des caméscopes et des routeurs) infectés par le malware Mirai.[1] Ce logiciel malveillant se propage en scannant continuellement les réseaux à la recherche d’un appareil protégé uniquement par une combinaison « login / mot de passe » par défaut, présente « en dur » dans le code de l’appareil en sortie d’usine. Une fois l’appareil vulnérable pénétré, Mirai le transforme en « machine zombie », permettant à un cybercriminel d’en prendre le contrôle. Le malware, dont le code source avait été publié en septembre sur un forum en ligne[2], avait déjà été à l’origine de deux attaques d’envergure record, contre le blog de sécurité KrebsOnSecurity.com[3] puis contre l’hébergeur français OVH.[4]

Si ces incidents deviennent de plus en plus nocifs et coûteux pour les sociétés visées du fait de leur ampleur grandissante, ils sont également de plus en plus fréquents. Dans un rapport trimestriel, la société américaine Verisign relève une augmentation de 75% du nombre d’attaques par rapport à l’an passé.[5] Bruce Schneier, un spécialiste de la cybersécurité de renommée mondiale, met quant à lui en garde les professionnels de l’Internet et va même jusqu’à déclarer que « quelqu’un est en train d’apprendre à détruire l’Internet ».[6]

En effet, si l’indisponibilité de sites tels que Twitter ou PayPal est un coup dur pour ces sociétés, tant en termes d’image que de revenus, imaginez l’impact qu’aurait une telle attaque si elle venait à atteindre les données critiques d’un groupe d’entreprises. On n’est plus si loin de la fiction de Mr. Robot !

Aussi, pour Scott Hilton, Executive Vice President of Product chez Dyn, il est l’heure de tirer les leçons de cet incident :

« Cette attaque a ouvert la voie à une discussion primordiale sur la sécurité et la fragilité d’Internet. En plus d’avoir mis en évidence des vulnérabilités dans la sécurité des objets connectés qui doivent être résolues, elle suscite également de nombreux dialogues au sein de la communauté de l’infrastructure Internet à propos du futur d’Internet. »[7]

Un discours qui fait froid dans le dos, lorsqu’on réalise à quel point l’économie mondiale est dépendante d’Internet. Cependant, ne cédons pas à la paranoïa ! Voyons au contraire les choses de manière positive : cet incident historique est un argument supplémentaire – et de choc – pour inciter les entreprises à appliquer dès aujourd’hui les principes de « privacy by design » et de « security by default » et, par là même, se préparer efficacement à l’entrée en application du Règlement Général sur la Protection des Données.


[1https://www.flashpoint-intel.com/mirai-botnet-linked-dyn-dns-ddos-attacks/
[2https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/
[3https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/
[4http://securityaffairs.co/wordpress/51640/cyber-crime/tbps-ddos-attack.html
[5https://www.verisign.com/assets/report-ddos-trends-Q22016.pdf
[6https://www.lawfareblog.com/someone-learning-how-take-down-internet
[7http://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack/

Retour