Les attaques DDoS massives de la semaine dernière contre le gros gestionnaire de noms de domaine américain Dyn, qui ont mis hors connexion les sites de clients importants comme Twiiter, Spotify, et PayPal, et ont aussi perturbé des sites en France, soulèvent beaucoup de questions sur la sécurité globale de l'infrastructure en ligne et sur ses performances.

Si, au final, Dyn est parvenu à contrer et atténuer ces attaques, les moyens de mener à bien d'autres attaques sont toujours en place et celles-ci pourraient intervenir à tout moment contre d'autres cibles. Voilà quelques réponses, plus quelques conseils, apportés par le prestataire de service de résolution de DNS, expliquant ce qui est arrivé, comment c’est arrivé, si d’autres attaques sont possibles et quelles pourraient en être les conséquences.

1 - Y a-t-il désormais une faille dans le réseau Internet ?

Non, ou du moins pas plus qu’avant. L’Internet est composé de fournisseurs indépendants et d’institutions qui collaborent pour fournir un accès à des sites partout dans le monde. Chacun travaille pour servir ses propres intérêts, mais coopère également avec les autres pour que le système fonctionne pour tout le monde. Comme tout système, il a ses défauts et ses faiblesses. Les cyberpirates qui ont ciblé le gestionnaire Dyn ont visé certaines de ces vulnérabilités et les ont exploités pour produire l’effet maximal.

2 - Pourquoi l'Internet a été affecté dans son ensemble, alors que Dyn seul était ciblé ?

Les attaques par déni de service peuvent être très ciblées. Par exemple, une attaque DDoS peut viser un serveur particulier hébergeant un seul site web. Mais leur impact peut être plus ou moins étendu en fonction de la cible. Dans le cas présent, les serveurs DNS de Dyn effectuent la résolution de DNS, c’est-à-dire qu’ils traduisent le nom des URL en adresses IP compréhensibles par les machines, et s’assurent que les communications Internet sont transmises au bon ordinateur connecté au réseau. La cible choisie par les attaquants est le fournisseur de services d’un grand nombre d’importants sites web. En perturbant les services de ce prestataire, les attaques ont affecté l'accès à des milliers de domaines Internet dans le monde entier, bloquant efficacement le trafic vers des sites web de toute taille, clients de Dyn. Ceux qui essayaient de se connecter à ces sites ont eu l’impression que l'Internet était hors d’état.

3 - Comment ont procédé les cyberpirates ?

Les assaillants ont utilisé des dizaines de millions d'appareils IoT connectés à Internet pour mener à bien leur attaque. Ils ont profité des faiblesses inhérentes à un grand nombre de dispositifs IoT, à savoir qu’ils sont protégés par des mots de passe par défaut simples et faciles à deviner, qu’ils sont peu ou pas sécurisés et qu’ils sont connectés en permanence à Internet. C’est le cas notamment des caméras IP et des enregistreurs numériques.

4 - Pourquoi ce type d’attaques n’a-t-il jamais eu lieu jusqu’ici ?

Il y a déjà eu des attaques de ce genre. Depuis le mois dernier, Mirai est à l’œuvre. Ce malware est capable de s’introduire dans les périphériques IoT, de les infecter et de les utiliser pour mener des attaques DDoS coordonnées à très grande échelle. La première attaque de Mirai avait ciblé le site web du journaliste Brian Krebs spécialisé en cybersécurité. L’attaque avait été très médiatisée, car le botnet avait envoyé dans le trafic un débit de 665 Gb/s, un record dans l’histoire des attaques DDoS. Il est probable que les cyberpirates ont voulu montrer à tous que ces attaques pouvaient être terriblement puissantes. Par ailleurs, début octobre, le développeur de Mirai a livré le code source de son malware à la communauté des hackers, ce qui signifie que d’autres attaques de ce type pourraient avoir lieu, plus ou moins à volonté.

5 - Donc, le malware Mirai est responsable de cette attaque ?

Assurément, le malware a joué un grand rôle dans l’attaque. Selon Dyn, des dizaines de millions d’appareils IoT ont été impliqués. Mais les analystes qui ont décortiqué les attaques pensent que d'autres machines ont pu être asservies pour former des botnets plus traditionnels. Cela voudrait dire que le botnet global a loué des ressources DDoS et que plusieurs acteurs sont impliqués dans cette action. Cela signifie encore que d'autres attaquants qui disposent de moyens financiers pour louer ce type de services pourraient faire la même chose.

6 - Pourquoi l’attaque a-t-elle affecté la côte Est des États-Unis ?

Les attaques ont eu lieu en deux phases. La première a été dirigée contre trois datacenters de Dyn localisés à Chicago, New York et Washington. Étant donné que les résolutions de DNS sont réalisées au niveau du serveur DNS le plus proche, les attaques contre ces centres ont eu un gros impact sur les requêtes localisées sur la côte est des États-Unis. Dans une seconde phase, ce sont les autres datacenters que Dyn possède partout dans le monde qui ont été touchés. Ces attaques ont demandé un gros travail de planification, car il fallait que les bots individuels envoient leurs requêtes de résolution dans la région desservie par chaque datacenter Dyn. Donc, l'attaque a été répartie pour que chacune d’entre elles atteigne un objectif spécifique en fonction de la localisation du datacenter.

7 - Qui sont les auteurs de l’attaque ?

Personne ne peut le dire avec certitude. Brian Krebs, qui a été la première cible de Mirai, a écrit qu'il avait analysé, avec l’aide d’un chercheur de Dyn, les actions d'atténuation DDoS de BackConnect, Inc., et que son site et le réseau de Dyn avaient subi la même attaque. Il paraît peu probable qu’un botnet aussi puissant et aussi sophistiqué ait été utilisé pour de simples vengeances alors qu’il peut servir à des fins beaucoup plus lucratives.

8 - Quels types d’appareils ont été infectés ?

Divers appareils connectés ont été mobilisés, mais ce sont surtout des caméras de sécurité, des enregistreurs vidéo numériques et des routeurs. Certains appareils fabriqués par la firme chinoise Hangzhou Xiongmai Technology ont été impliqués. L’entreprise a reconnu officiellement le problème. Elle a rappelé certaines de ses caméras et a livré des correctifs pour ses autres produits.

9 - Que peut-on faire pour se protéger de ces attaques ?

Les particuliers mettent parfois beaucoup de temps avant d’appliquer les correctifs de sécurité pour leurs appareils IoT quand ils sont disponibles. Dans certains cas - tous les équipements IoT ne le permettent pas - ils peuvent modifier le mot de passe par défaut et le remplacer par un mot de passe complexe. Ils peuvent aussi investir dans un pare-feu plus efficace et empêcher leurs appareils IoT d’accéder à Internet. Les entreprises qui veulent protéger leurs sites web contre ce type d’attaques peuvent utiliser plusieurs fournisseurs de DNS et mettre en place des protocoles détaillés pour savoir ce qu’il faut faire si de telles attaques surviennent. Par exemple, savoir qui appeler, quelles mesures de restauration prendre. Elles peuvent procéder à des exercices de simulation pour tester leurs mesures et s’assurer que tous les problèmes ont été corrigés.

10 - Cela peut-il se produire à nouveau ?

Sans aucun doute. De nombreux experts en sécurité qui surveillent de près les attaques Internet estiment que d’autres attaques surviendront : c’est juste une question de temps.