James Thew - Fotolia
Quand des dizaines de milliers d'objets connectés font tousser Internet
Le spécialiste de services managés Dyn a été la cible, vendredi 21 octobre, d’une vaste attaque en déni de service. Nombre de ses clients ont été affectés, jusqu’à rendre inaccessibles les services de certains.
Ce vendredi 21 octobre, les équipes du groupe TechTarget (propriétaire du MagIT) ont été informées par leur service informatique d’un incident affectant la disponibilité de Box. Mais aussi de GitHub, d’AWS, de Twitter, de Zendesk, d’Heroku, et de nombre d’autres services en ligne : « Box et plusieurs autres fournisseurs cloud sont sporadiquement disponibles/indisponibles. Cela a commencé comme une attaque en déni de service distribué (DDoS) sur Dyn, un fournisseur DNS majeur, avant de se propager à d’autres services […] L’impact est particulièrement sensible au sein des Etats-Unis. Certains services peuvent être accessibles en dehors ».
Tout au long de la journée, Dyn a informé régulièrement ses clients, forcé de constater « plusieurs attaques » visant son infrastructure de serveurs DNS managés. Celle-ci est utilisée par de nombreuses entreprises pour héberger les serveurs chargés de faire le lien entre adresses canoniques de leurs services en ligne et adresses IP où y accéder. La remédiation s’est notamment appuyée sur le changement des règles de routage du trafic vers l’infrastructure de Dyn.
Dans un communiqué, Dyn remercie l’ensemble de la communauté de l’infrastructure Internet « pour la démonstration continue de son soutien ». Mais il souligne également ses efforts de préparation : « nous nous entraînons régulièrement à des scénarios tels que celui-ci », tout en faisant évoluer en conséquence les stratégies de remédiation.
Des objets connectés détournés
Dans son communiqué, Dyn affirme avoir été victime d’une attaque « hautement distribuée impliquant des dizaines de millions d’adresses IP distinctes ». L’enquête continue, mais le prestataire fait toutefois état de « multiples vecteurs d’attaque ». Et si l’opération ne semble pas encore intégralement imputable aux objets connectés, ceux-ci semblent bien avoir joué un rôle important : « une source de trafic pour les attaques était des appareils infectés par le botnet Mirai. Nous avons observé des dizaines de millions d’adresses IP associées au botnet Mirai impliquées dans l’attaque ». De quoi confirmer les assertions émises un peu plus tôt par Flashpoint.
Le code source de ce logiciel malveillant a été rendu public début octobre, laissant craindre justement des attaques en déni de service plus nombreuses et plus puissantes. Mirai avait notamment été mis à profit pour conduire de vastes DDoS contre le site Web de Brian Krebs et l’infrastructure d’OVH au mois de septembre.
Peu de temps après, Level3 avait indiqué que cette publication du code source de Mirai avait « inspiré un nombre significatif de nouveaux acteurs malveillants ». De quoi confirmer, si c’était nécessaire, le risque que représentent une multitude d’objets connectés à Internet mais configurés de manière peu rigoureuse.
Mais Stéphane Bortzmeyer, ingénieur à l'Afnic, et Chester Wisniewski, chez Sophos, soulignent qu'une adresse IP ne correspond pas forcément à un appareil connecté. Mirai intègre en particulier des éléments de code visant à sélectionner aléatoirement des adresses IP qui seront déclarées comme sources des attaques. Dès lors, Chester Wisneiewski relève que « techniquement, l'attaque aurait pu venir d'un unique appareil, bien que beaucoup estiment que le nombre d'appareils impliqués dans l'attaque tourne autour de 50 000 ».
Les commanditaires de cette opération, ou ses acteurs, restent en revanche inconnus. Sa nature massivement distribuée ne devrait pas d’ailleurs simplifier leur identification, faute de pouvoir accéder aux journaux d’activité des machines impliquées ou des équipements réseau assurant leur connexion à Internet, comme le relève Eric Egéa, conseiller en cybersécurité et criminalistique. Mais Wikileaks semble y avoir vu l’œuvre de ses soutiens hacktivistes. A moins que son message ne soit qu'ironie.
Mr. Assange is still alive and WikiLeaks is still publishing. We ask supporters to stop taking down the US internet. You proved your point. pic.twitter.com/XVch196xyL
— WikiLeaks (@wikileaks) October 21, 2016
Des pratiques à revoir ?
Dans une déclaration écrite, Vincent Lavergne, directeur avant-vente de F5 Networks Europe du Sud, explique que cibler le DNS pour lancer des attaques DDoS est « de plus en plus commun » : « DNS est la clef de voute de l’Internet permettant à tout un chacun de ne pas avoir à retenir les adresses IP des sites pour les applications mais leurs noms. […] DNS est un protocole particulièrement ciblé de par la relative simplicité à forger des attaques puissantes (paquets UDP, technique d’amplification, etc.) ainsi que les dégâts causés. En effet si le DNS d’une société est indisponible, c’est l’ensemble des applications de cette entreprise qui ne sont plus accessibles ».
Mais voilà, il n’a pas fallu longtemps pour que certains s’interrogent sur les pratiques de ceux qui ont recours aux services de prestataires tels que Dyn. Sur Twitter, Bert Hubert, fondateur de PowerDNS, éditeur de logiciels DNS Open Source, pointait ainsi très tôt la pratique consistant à définir des durées de vie très courtes pour les données DNS : celle-ci permet d’assurer une propagation rapide des changements apportés à ces données. Ce qui peut s’avérer confortable.
If they did, after one hour of sustained DoS, 92% of caches would still carry good data. But, for operational reasons, they set TTL very low
— Bert Hubert/PowerDNS (@PowerDNS_Bert) October 21, 2016
Mais affecter aux données DNS une durée de vie plus longue, d’une journée par exemple, comme il le suggère, permet de mieux résister à des attaques en déni de service comme celle qui a visé Dyn : « s’ils l’avaient fait, après une heure d’attaque DoS soutenue, 92 % des caches contiendraient encore des données valides », explique-t-il.
De son côté, Stéphane Bortzmeyer renvoie au RFC 2182 qui se pense sur la sélection de serveurs secondaires pour les zones DNS, de quoi assurance une redondance en cas d’indisponibilité des serveurs principaux. Mikko Hypponen, de F-Secure, n’a d’ailleurs pas manqué de souligner que certains spécialistes de la pornographie en ligne jouent cette carte.
Can everyone now take time to read (and consider) RFC 2182? #DynDown #DNS
— Stéphane Bortzmeyer (@bortzmeyer) October 21, 2016
Une menace croissance et diversifiée
Et prendre des mesures préventives et renforcer la préparation semble de plus en plus incontournable. Mi-septembre, Bruce Schneier avait tiré la sonnette d’alarme. Cet expert reconnu de la sécurité informatique assurait ainsi que « quelqu’un est en train d’apprendre à faire tomber Internet », à force d’exercices de DDoS savamment dosés pour éprouver la résistance des infrastructures. Un avertissement que beaucoup avait alors regardé avec suspicion.
Check your systems: a spectacular dDoS is a very good way to enter into a vulnerable system without being noticed. #DynDown
— Stéphane Bortzmeyer (@bortzmeyer) October 21, 2016
Mais Stéphane Bortzmeyer invite surtout à la plus grande vigilance, soulignant qu’un DDoS spectaculaire « est une bonne façon d’entrer dans un système vulnérable sans être remarqué ». En mai 2014, Neustar, fournisseur de services de protection contre ces attaques, alertait justement sur ce risque : pour lui, le DDoS était alors de plus en plus utilisé pour faire diversion. D’ailleurs, la majorité des entreprises sondées dans le cadre de son étude publiée alors indiquaient avoir observé l’utilisation d’autres techniques d’attaque, en parallèle de DDoS, généralement associées au vol de données clients, de propriété intellectuelle, ou d’informations financières.