RETOUR SUR L’ATTAQUE DDoS DU 21/10/2016

Avant de parler de l’attaque en elle-même, mettons-nous d’accord sur le principe d'une attaque DDoS. Une attaque DDoS (Distributed Denial of Service) est une attaque consistant à envoyer un grand nombre de requêtes par un botnet contre une cible. C’est actuellement l’attaque la plus simple à mettre en œuvre et celle qui est très prisée des scripts-kiddies.
Elle se déroule en 3 phases :
1. Infection d'un réseau d'ordinateurs afin de le transformer en botnet (Un réseau d'ordinateur infectés obéissant à un ou plusieurs "maître(s)", le C2C.)
2. Ordre d’attaque envoyé du serveur maître (C2C : Command & Control) via divers canaux de diffusion. On envoie au machine un message du type « Attaque X.X.X.X » via Twitter, IRC, http, Telnet, etc.
3. L’ensemble du botnet attaque donc serveur cible par milliers, millions, milliards de requêtes afin de saturer la capacité de réponse de celui-ci et donc de le rendre inopérant.

Mais que s’est-il passé le 21 Octobre 2016 ?
Une attaque DDoS a été lancée contre la société Dyn contre leur DNS.

Petit rappel de ce qu’est un DNS :
Le DNS (Domain Name System) c’est l’annuaire d’internet, il fait la correspondance entre le Nom De Domaine (NDD) et l’adresse IP du serveur. Il est souvent comparé à l’annuaire téléphonique.
Exemple :
Annuaire téléphonique : M. Martin | 00.00.00.00.00
DNS : www.google.fr | 74.125.206.94

L’attaque lancée contre le serveur DNS de Dyn a été le fruit d’un DDoS massif du Botnet Mirai. Le botnet mirai étant un immense parc d’objets connectés à Internet. Le botnet mirai a, au plus grand de sa forme, cumulé jusqu’à 1 828 042 périphériques, essentiellement des caméras IP de surveillance reliées à Internet.

Le fournisseur de caméras IP, la société chinoise Hangzhou Xiongmai Technology rappelle actuellement ses caméras produites avant avril 2015 activement. Selon le Blog spécialisé en sécurité informatique KrebsOnSecurity, le fabriquant aurait codé en dur le mot de passe dans le logiciel de la caméra, empêchant donc la modification de ce dernier par les utilisateurs, ouvrant une faille de sécurité qu’un pirate n’avait plus qu’à exploiter.

Un pirate a donc développé un code nommé « Mirai » pour pirater ces objets connectés. Il a rendu le code public afin de perdre les autorités sciemment dans les multiples redirections de liens que contient la recherche maintenant, c’est ce qu’on appelle une bonne cyberstratégie.

De plus, l'attaque ne serait le fait de "quelques" 100 000 objets connectés selon certaines sources.
L’attaque a commencée à 11h10 UTC :

Et ils auront mis 11H00 de plus pour parvenir à stopper celle-ci :


De nombreux sites ont été paralysés durant l’attaque, on peut notamment citer :

• DYN
• Twitter
• Etsy
• Github
• soundcloud
• spotify
• heroku
• pagerduty
• shopify
• intercom

Quels enseignements à retenir ?

Le premier, va être la prolifération d’objets connectés non-sécurisés actuelle. C’est ce type d’événements qui doit pousser les fabricants à revoir la sécurité de leurs périphériques.

Le deuxième est que la technologie DNS actuelle n’est pas sécurisée, pourtant des alternatives comme DNSSEC (https://fr.wikipedia.org/wiki/Domain_Name_System_Security_Extensions ) existent.

Enfin, le dernier, est que les attaques de ce type sont en recrudescence depuis ces dernières années, avec une très forte augmentation de la capacité d’attaque ces trois derniers mois.

Malheureusement, à vouloir trop nous connecter, ne s’est-on pas trop exposés ?

Webographie :
-https://www.dynstatus.com/incidents/nlr4yrr162t8
-http://www.silicon.fr/objets-connectes-attaque-dyn-160961.html
-DNSSEC : https://fr.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
-https://cloudharmony.com/status-for-dyn
-https://news.ycombinator.com/item?id=12759520
-https://techcrunch.com/2016/10/21/many-sites-including-twitter-and-spotify-suffering-outage/
-Carte interactive du botnet Mirai : https://intel.malwaretech.com/botnet/mirai/?h=24
-Code source de Mirai : https://hackademics.fr/forum/hacking-connaissances-avanc%C3%A9es/virologie/malware-reverse/tools-ac/69378-mirai-bot-iot-code-source
-https://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service
-https://krebsonsecurity.com/2016/10/hacked-cameras-dvrs-powered-todays-massive-internet-outage/#more-36754

LOG OFF