Le babyphone passe à l’offensive

La plus grande attaque DDoS s’est probablement produite à l’automne 2016 aux Etats-Unis. Pendant près de deux heures, les habitants de la côte Est américaine se sont retrouvés sans musique de Spotify, sans Twitter, sans e-mails, sans Netflix, ni GitHub ou autres services en ligne populaires. Le fournisseur de services Dyn qui attribue les noms de domaine avait été la cible des attaques. Celles-ci ont paralysé tous les sites Internet dont les noms de domaine sont attribués par Dyn. L’automne aura également été chaud en Europe. L’hébergeur français OVH a été mis hors combat par une attaque DDoS de 1,5 térabit par seconde.

Cyberterroristes à l’œuvre

En principe, toute adresse IP accessible au public peut être la cible d’une attaque DDoS, aussi bien celles d’entreprises que de particuliers. Bien que les attaques DDoS existent depuis l’avènement de l’Internet, elles n’ont guère perdu en importance. Au contraire, le volume d’attaques a augmenté de façon constante ces dernières années. Des attaques de plus de 1,5 térabit par seconde auraient déjà été mesurées. Toute victime est impuissante face à de tels volumes d’attaques.

Alors que l’objectif d’une attaque DDoS est resté le même au fil du temps (perturbation d’un service web), les motifs et les auteurs ont changé. Aujourd’hui, des gangs criminels misent sur une attaque DDoS pour obtenir une rançon ou des «hacktivistes» y recourent pour des motivations politiques. Des organisations étatiques font parfois aussi appel à l’arme DDoS dans la cyberguerre.

Des méthodes de plus en plus sophistiquées

Les méthodes d’attaque DDoS utilisées ont évolué au fil du temps. Aujourd’hui, les techniques classiques d’usurpation d’identité et de Teardropping sont complétées, voire remplacées par l’utilisation de botnets (réseaux robot ou de zombies). Les botnets sont différents réseaux mondiaux d’appareils compromis, connectés à Internet, tels que les ordinateurs, les ordinateurs portables, les webcams, les babyphones, les serveurs web, les appareils TV, les réfrigérateurs ou des machines à laver infectés par des virus ou des chevaux de Troie. De tels dispositifs peuvent être commandés à distance par des pirates, qui tous inondent en même temps de requêtes la cible de l’attaque DDoS. Lorsque le botnet comprend plusieurs dizaines de milliers d’appareils piratés, un volume de communication est très rapidement généré, mettant à genoux pratiquement chaque système attaqué (Denial of Service).

Pour 5 dollars de plus

De tels botnets sont proposés sur Internet en tant que service, à des prix variant selon la durée et le Service Level Agreement (SLA) de l’attaque DDoS. A partir de cinq dollars américains, un profane peut déjà mandater une attaque DDoS. Dans de tels botnets, les auteurs et avant tout les donneurs d’ordre sont très difficiles à identifier, puisque des appareils «légaux» de privés ou d’entreprises sans méfiance sont victimes d’abus.

Les attaques survenues en automne 2016 aux Etats-Unis étaient particulièrement sophistiquées, puisque plusieurs dizaines de millions d’adresses IP ont participé à l’attaque DDoS par le botnet IoT appelé Mirai.

Les requêtes venaient principalement d’appareils connectés à l’Internet des objets (IdO): babyphones, caméras de sécurité, réfrigérateurs, thermostats, box TV – tous ces appareils intelligents en apparence innocents agrémentant tous les ménages à travers le monde. Ils avaient été exploités délibérément par un simple logiciel malveillant, relevant presque de l’amateurisme, appelé Mirai et n’exigeant pas de grandes compétences en piratage informatique. Il n’utilise pas de vulnérabilités connues, en se simplifiant l’existence: il recherche des appareils connectés à l’Internet fournis avec des informations d’identification configurées par défaut, en prenant ainsi le contrôle. Comme de nombreux utilisateurs ne changent pas les mots de passe, les portes informatiques sont grandes ouvertes.

L’Internet des objets riposte

Dans le cas de l’attaque DDoS de l’automne 2016, vint s’ajouter le fait que le code source était issu de Mirai Open Source. Pratiquement tout le monde peut donc y accéder, mettre sur pied un réseau robot et l’utiliser à ses propres fins. Le nombre d’appareils connectés augmente en continu. Avec presque dix milliards d’appareils IdO en 2018, les cybercriminels s’ébattent sur une belle aire de jeux aussi longtemps que les fabricants ne misent pas sur la Security-by-Design. En effet, la sécurité joue encore un rôle subalterne chez les fabricants d’appareils. Ils fournissent des réfrigérateurs non sécurisés – avec des combinaisons NIP préenregistrées telles que «1234» et un nom d’utilisateur Administrator. La porte de sécurité la plus solide ne sert à rien lorsque la clé est dans la serrure. Le logiciel malveillant scrute précisément de telles connexions standards et les inscrit directement dans la mémoire de travail de l’appareil. Les clients eux-mêmes exigent une utilisation simple et ne tiennent pas compte des mises à jour de sécurité, par paresse ou par ignorance.

Analyser directement et filtrer le trafic Internet

Mais il n’y pas seulement les fabricants et les utilisateurs qui ont des devoirs. Les entreprises en particulier doivent prendre leurs précautions. Il existe différentes approches avec divers effets pour pouvoir se protéger contre des attaques DDoS. Dans le cas le plus simple, il suffit de déconnecter du réseau le serveur attaqué. Il ne s’agit bien entendu pas d’une véritable solution, puisque l’objectif de l’attaquant est ainsi atteint, à savoir de rendre le serveur injoignable. Les filtres DoS analysant et filtrant le trafic entrant dans le réseau de l’entreprise sont très largement répandus. Par exemple, ils sont implémentés dans le firewall à titre de fonction supplémentaire. Si toutefois le volume de communication généré par l’attaque DDoS devait dépasser la largeur de bande disponible du raccordement Internet, un tel filtre DoS ne pourra plus fournir de protection.

Le mécanisme de protection le plus efficace contre les attaques DDoS peut être configuré dans le réseau dorsal du fournisseur d’accès à Internet. Pour simplifier, une attaque distribuée est bloquée par un mécanisme de défense distribué. Des capteurs sont mis en place sur les routeurs situés aux deux extrémités de la dorsale et de cœur du réseau dorsal, communiquant les informations sur le trafic Internet à des systèmes centraux de protection. Les modèles de trafic peuvent ainsi être examinés quant à des anomalies et activer le mécanisme de filtre si nécessaire. Le filtrage proprement dit de trafic DDoS malveillant peut être réalisé par Blackholing et par filtrage des paquets IP. Dans le Blackholing, les paquets IP provenant d’adresses IP spécifiques ne sont pas transmis. Une approche plus intelligente consiste à décider sur la base des caractéristiques du trafic DDoS (p.ex. d’après les informations d’en-tête IP) si un paquet est un trafic légitime ou s’il appartient à une attaque DDoS et doit ainsi être filtré.

Les attaques DDoS ne perdront pas de leur importance à l’avenir. Déjà à l’époque, des experts en sécurité prédisaient une manipulation des élections américaines – elle n’a pas pu être prouvée jusqu’ici. Cela serait cependant envisageable, une attaque DDoS sur des sites de nouvelles pouvant mettre délibérément hors ligne les informations qui ne contredisent pas la conviction politique recherchée.