RETOUR SUR L’ATTAQUE DDoS DU 21/10/2016

Avant de parler de l’attaque en elle-même, mettons-nous d’accord sur le principe d'une attaque DDoS. Une attaque DDoS (Distributed Denial of Service) est une attaque consistant à envoyer un grand nombre de requêtes par un botnet contre une cible. C’est actuellement l’attaque la plus simple à mettre en œuvre et celle qui est très prisée des scripts-kiddies.
Elle se déroule en 3 phases :
1. Infection d'un réseau d'ordinateurs afin de le transformer en botnet (Un réseau d'ordinateur infectés obéissant à un ou plusieurs "maître(s)", le C2C.)
2. Ordre d’attaque envoyé du serveur maître (C2C : Command & Control) via divers canaux de diffusion. On envoie au machine un message du type « Attaque X.X.X.X » via Twitter, IRC, http, Telnet, etc.
3. L’ensemble du botnet attaque donc serveur cible par milliers, millions, milliards de requêtes afin de saturer la capacité de réponse de celui-ci et donc de le rendre inopérant.

Mais que s’est-il passé le 21 Octobre 2016 ?
Une attaque DDoS a été lancée contre la société Dyn contre leur DNS.

Petit rappel de ce qu’est un DNS :
Le DNS (Domain Name System) c’est l’annuaire d’internet, il fait la correspondance entre le Nom De Domaine (NDD) et l’adresse IP du serveur. Il est souvent comparé à l’annuaire téléphonique.
Exemple :
Annuaire téléphonique : M. Martin | 00.00.00.00.00
DNS : www.google.fr | 74.125.206.94

L’attaque lancée contre le serveur DNS de Dyn a été le fruit d’un DDoS massif du Botnet Mirai. Le botnet mirai étant un immense parc d’objets connectés à Internet. Le botnet mirai a, au plus grand de sa forme, cumulé jusqu’à 1 828 042 périphériques, essentiellement des caméras IP de surveillance reliées à Internet.

Le fournisseur de caméras IP, la société chinoise Hangzhou Xiongmai Technology rappelle actuellement ses caméras produites avant avril 2015 activement. Selon le Blog spécialisé en sécurité informatique KrebsOnSecurity, le fabriquant aurait codé en dur le mot de passe dans le logiciel de la caméra, empêchant donc la modification de ce dernier par les utilisateurs, ouvrant une faille de sécurité qu’un pirate n’avait plus qu’à exploiter.

Un pirate a donc développé un code nommé « Mirai » pour pirater ces objets connectés. Il a rendu le code public afin de perdre les autorités sciemment dans les multiples redirections de liens que contient la recherche maintenant, c’est ce qu’on appelle une bonne cyberstratégie.

De plus, l'attaque ne serait le fait de "quelques" 100 000 objets connectés selon certaines sources.
L’attaque a commencée à 11h10 UTC :

Et ils auront mis 11H00 de plus pour parvenir à stopper celle-ci :


De nombreux sites ont été paralysés durant l’attaque, on peut notamment citer :

• DYN
• Twitter
• Etsy
• Github
• soundcloud
• spotify
• heroku
• pagerduty
• shopify
• intercom

Quels enseignements à retenir ?

Le premier, va être la prolifération d’objets connectés non-sécurisés actuelle. C’est ce type d’événements qui doit pousser les fabricants à revoir la sécurité de leurs périphériques.

Le deuxième est que la technologie DNS actuelle n’est pas sécurisée, pourtant des alternatives comme DNSSEC (https://fr.wikipedia.org/wiki/Domain_Name_System_Security_Extensions ) existent.

Enfin, le dernier, est que les attaques de ce type sont en recrudescence depuis ces dernières années, avec une très forte augmentation de la capacité d’attaque ces trois derniers mois.

Malheureusement, à vouloir trop nous connecter, ne s’est-on pas trop exposés ?

Webographie :
-https://www.dynstatus.com/incidents/nlr4yrr162t8
-http://www.silicon.fr/objets-connectes-attaque-dyn-160961.html
-DNSSEC : https://fr.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
-https://cloudharmony.com/status-for-dyn
-https://news.ycombinator.com/item?id=12759520
-https://techcrunch.com/2016/10/21/many-sites-including-twitter-and-spotify-suffering-outage/
-Carte interactive du botnet Mirai : https://intel.malwaretech.com/botnet/mirai/?h=24
-Code source de Mirai : https://hackademics.fr/forum/hacking-connaissances-avanc%C3%A9es/virologie/malware-reverse/tools-ac/69378-mirai-bot-iot-code-source
-https://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service
-https://krebsonsecurity.com/2016/10/hacked-cameras-dvrs-powered-todays-massive-internet-outage/#more-36754

LOG OFF

RETOUR SUR L’ATTAQUE DDoS DU 21/10/2016
Poster un commentaire
MonsieurCanard

Moi qui y connaît peu dans ce domaine, j'ai tout compris. Félicitations copain !

MyName
MyName
a
7 ans

@MonsieurCanard: Merci !

anonyme
anonyme
7 ans

Merci.

Commentaire supprimé.

Whit3stR
Whit3stR
7 ans

Dommage que ce soit pas posté dans un groupe avec plus d'audience

MyName
MyName
a
7 ans

@Whit3stR: Oui, mais le g/hacking n'a pas le même focus ssi que le groupe ssi. Autant la news sur le reverse hack de mirai va très bien dans ce groupe, autant cette article va bien ici. C'est mon point de vue, du moins.

Cette page est réservée aux ADULTES

Tu es sur le point d'accéder à un site web qui contient du matériel explicite (pornographie).

Tu ne dois accéder à ce site que si tu as au moins 18 ans ou si tu as l'âge légal pour visionner ce type de matériel dans ta juridiction locale, l’âge le plus élevé étant retenu. En outre, tu déclares et garantis que tu ne permettras aucun mineur à d'accéder à ce site ou à ces services.


En accédant à ce site, tu acceptes nos conditions d'utilisation.