ake78 (3D & photo) - Fotolia
Attaque DDoS sur Dyn : de simples amateurs ?
Le vaste déni de service ayant frappé le spécialiste des services managés ne semble pas être l’œuvre d’attaquants aux motivations politiques et encore moins de cybercriminels liés à un Etat-nation.
De simples amateurs profitant de manière opportune d’un code malicieux rendu public ? C’est la piste qui semble aujourd’hui la plus vraisemblable quelques jours après la vaste attaque en déni de service distribué (DDoS) ayant visé Dyn, ce vendredi 21 octobre.
Flashpoint, qui avait le premier fait le lien entre cette attaque et le botnet Mirai, dont le code source avait été rendu public début octobre, estime ainsi aujourd’hui « avec un niveau de confiance modéré », que les auteurs de l’opération ne sont « très probablement » pas motivés par des raisons politiques ni des acteurs liés à Etat-nation.
Dès lors, le spécialiste du renseignement sur les menaces estime, encore une fois « avec un niveau de confiance modéré » que les revendications comme celles de Wikileaks ou encore de New World Hackers sont probablement fausses. Certains estimaient déjà que la première n’était qu’ironie. Les seconds viennent d’annoncer leur retrait de la cybercriminalité, jugeant au passage que pirater « n’en vaut pas la peine si l’on n’a pas une bonne explication ».
Just having a little fun. Annual power test!#NwHackers
— New World Hackers (@NewWorldHacking) October 21, 2016
A ce stade de son enquête, Flashpoint estime que l’opération ayant visé Dyn pourrait avoir été lancée par les pirates fréquentant des forums en ligne dédiés, « parfois appelés script kiddies et distincts des hacktivistes, du crime organisé, des Etats, et des groupes terroristes : ils peuvent être motivés par le gain financier, mais tout aussi souvent lanceront des attaques comme celle-ci pour frimer, ou pour causer perturbations et chaos pour le sport ». Et ce sont ces dernières options qui semblent les plus probables à Flashpoint.
James Clapper, patron du renseignement américain, semble également pencher en faveur de cette analyse, même s’il affiche une certaine réserve soulignant « qu’il y a beaucoup de données à collecter ».
Vers des attaques encore plus vastes ?
Parallèlement, Corero Network Security, l’un des spécialistes de la protection contre les attaques DDoS, alerte sur le risque d’opérations de ce type à plus grande échelle encore, mettant à profit un nouveau vecteur promettant un niveau d’amplification particulièrement élevé.
Dans un communiqué, Corero explique ainsi avoir commencé à observer « seulement une poignée d’attaques » exploitant le protocole LDAP, « mais extrêmement puissantes » : « cette technique a le potentiel d’infliger des dégâts significatifs en s’appuyant sur un facteur d’amplification constaté à x55 ».
Se référant aux importantes attaques DDoS ayant récemment visé le site Web de Brian Krebs et l’infrastructure d’OVH, Corero estime que « nous pourrions bientôt voir de nouveaux records avec le potentiel d’atteindre des dizaines de terabits par seconde dans un avenir pas très lointain ».