Actu / Retour sur l’attaque mondiale en déni de service

Actu / Retour sur l’attaque mondiale en déni de service

Vendredi dernier, une attaque massive en « déni de service » a touché de nombreux sites internet – principalement aux Etats-Unis – comme Twitter, le New York Times, Airbnb etc. qui étaient inaccessibles pendant plus d’une heure.

Cet événement mondial (il a aussi impacté des utilisateurs hors USA, dans une moindre mesure) et qui émanait probablement d’un Etat – vus les moyens mis en oeuvre – a pour une fois été couverte pas les médias grand public. Voici l’analyse de deux acteurs de notre écosystème sur ce qui s’est passé, et sur ce que cela signifie.


busi-ok-webFlorian Busi a monté la start-up Busi Corp. avec son frère Bastien. Ils sont actuellement hébergés et incubés au Bivouac, dans la promo Basecamp 1 à la Pardieu. Busi Corp. est une agence de cybersécurité qui propose des solutions aux professionnels et aux organisations.

Que s’est-il passé ? – L’attaque a porté sur des serveurs DNS, qui traduisent l’adresse IP (par exemple 130.24.55.113) en langage humain (par exemple www.lemonde.fr). Les sites eux-mêmes ne sont pas « tombés » mais c’est le serveur DNS, en l’occurrence « Dyn », qui a été submergé de requêtes en très peu de temps. Les sites étaient donc techniquement inaccessibles par leur adresses en « langage humain », ce qui revient au même qu’un crash pour la majorité des utilisateurs. Le fait que Twitter, notamment, ait été atteint explique la notoriété média de l’attaque.

Comment l’attaque a-t-elle eu lieu ? – Ces attaques dites DDOS (déni de service) consistent pour un très grand nombre de machines à envoyer des requêtes en connexion à un site web, ou à un service internet (comme le DNS), et ce de manière simultanée. Si le site visé n’est pas calibré pour traiter toutes ces demandes, il s’écroule. Cela arrive quotidiennement sur le web. Ca ne sert pas à pirater un site, ou à voler des données, mais juste à faire tomber un service et donc interdire un accès. Généralement, c’est un moyen anti-concurrentiel voire de ransomware pour racketter les entreprises qui ne peuvent plus vendre en ligne par exemple, perdent du chiffre d’affaires, et doivent payer une rançon.

Qui est à l’origine de ces attaques ? – On ne sait pas trop évidemment, mais l’hypothèse 1 est une attaque à but économique pour faire tomber un site dont Dyn est le prestataire DNS. En faisant tomber Dyn, on fait tomber tous les sites qui lui sont liés. Cela permet de brouiller les pistes. L’autre hypothèse est un Etat – qui peut être la Russie, la Chine, mais pourquoi pas les Etats Unis ou un pays européen – qui « teste » une « arme » pour faire tomber Internet pendant un certain temps, à la demande. Une sorte de coup de semonce, ou d’exercice militaire. Il faut savoir qu’Internet est un théâtre de guerre, que les Etats le reconnaissent comme tel depuis longtemps, et qu’ils ont tous développé des armées numériques dans ce cadre.

Quelle est la solution pour parer ces attaques ? – D’une manière générale, il faut « éviter de mettre ses oeufs dans le même panier ». Faire appel à plusieurs services DNS par exemple, doublonner ses accès, faire de la redondance technique est toujours sage. Et prévoir des process de crise au cas où. Ensuite, l’attaque est une question de rapport de force: d’un côté, la capacité technique de vos serveurs à traiter un très grand nombre de requêtes simultanées (donc en termes de mémoire, de capacité de calcul …), de l’autre la bande passante et le nombre de requêtes envoyées par les attaquants.


paulPaul Pinault est le co-fondateur de Ingenious Things qui développe des objets connectés utilisant le réseau Sigfox, vend des briques techno et accompagne des porteurs de projets en mode hackathon. Cf. le Focus sur les objets connectés « long range » pour en savoir plus sur cette activité.

Quel est le rôle des objets connectés dans cette attaque ? – Les médias ont a priori fait l’amalgame avec une attaque qui a eu lieu il y a une dizaine de jours sur OVH, où étaient effectivement impliquées des caméras de surveillance connectées. Mais je pense que l’attaque DDOS n’a pas grand-chose à voir avec les objets connectés. De plus, on parle d’objets connectés comme un buzzword mais la technologie et le mode de connectivité est assez différent d’un objet à un autre. Donc c’est très prématuré de parler de leur responsabilité dans ce qui s’est passé vendredi. Les médias aiment voire le mal partout sur le net (internet = pédophilies, objets connectés = piratage), il faut faire attention à ce traitement;

Quels objets connectés peuvent être piratés pour participer à une attaque DDOS ? – Prenons trois catégories d' »objets » reliés à internet:

  • Dans le cas des objets connectés du quotidien, comme des montres connectés ou des bracelets Fitbit par exemple, ils peuvent difficilement attaquer les serveurs car ils sont conçus pour communiquer uniquement avec le smartphone qui y est associé, en bluetooth. Ils ne sont pas pingables, n’ont pas d’adresse IP et donc pas de présence directe sur Internet
  • Dans le cas des objets long range utilisant Sigfox ou LORA, ils sont connectés à ces réseaux mais ledit réseau joue le rôle de hub, il filtre aussi la passerelle vers le web. De plus, ces réseaux limitent drastiquement le nombre et la fréquence des requêtes – pour économiser de l’énergie principalement – ce qui rend difficile les attaques simultanées.
  • Enfin, il y a une troisième catégorie d’objets qui peuvent être piratés facilement, ce ne sont pas vraiment des objets connectés mais des « M2M », Machine-to-Machine. Par exemple, des caméras de surveillance connectés, ces caméras sur IP achetées 50€, fabriquées en Chine, qui se connectent directement sur le net. Le problème vient du mode de production low-cost: même base électronique cheap, passage dans tout une série d’usines, très faible protection, pas de maintenance ni de patches, le tout pour inonder le marché occidental de produits à bas coût. Forcément, on le paye plus tard notamment en termes de sécurité. Ce sont ces caméras qui ont été piratées pour attaquer OVH. Quand Google ou Samsung détectent une faille de sécurité dans un de leur produit, ils publient un correctif. Ici, on ne sait même pas qui est vraiment derrière le système, donc il ne se passe rien et la faille reste grande ouverte.

Quel risque futur pour ce type d’attaques ? – Vendredi, l’attaque a fait tomber quelques sites grand public pendant une grosse heure. Ensuite, tout est revenu à la normale. Internet a d’ailleurs été assez résilient, ce qui est bien. Mais le problème ne sera pas de se passer de Facebook ou de Twitter pendant une heure ou un jour: ce sera une attaque ciblée, entre Etats, sur des services de la vie quotidienne comme les services bancaires qui deviennent de plus en plus numérisés. Comme ce que la Russie a fait sur l’Estonie il y a plusieurs années. Si dans un pays tout le monde utilise des banques en ligne, forcément les banques réduisent le nombre de guichets. Et si les sites bancaires sont attaqués, les gens vont venir en masse au guichet pour tirer de l’argent. Comme il reste peu de guichets, cela va créer de longues files d’attente et générer une forme de panique. C’est un moyen plutôt efficace de guerre économique, qui est tout à fait envisageable. L’attaque de vendredi n’était sans doute qu’un galop d’essai à petite échelle.

 

Propos recueillis par Damien Caillard