Les États-Unis ont vécu une attaque DDoS d’envergure qui a touché de nombreux sites et services Internet américains. Ainsi, Twitter, le PlayStation Network (PSN), Spotify, Netflix, Github, eBay, Twitter et de nombreux autres sites étaient totalement inaccessibles, y compris pour les Européens. Voici la raison.

b2x50waigaarxqn

Que s’est-il passé ?

Plutôt que d’attaquer les serveurs individuels, comme ceux de Twitter, Reddit, Github, PlayStation Network, eBay, Netflix, Github, les hackers se sont attaqués directement à un des services de Dyn, un système de noms de domaine (DNS), DynDNS. Ce service fournit sa prestation à des milliers de particuliers et d’entreprises pour leurs périphériques connectés (routeurs, thermostats, etc.) et leurs serveurs. D’après les premières enquêtes, l’auteur de l’attaque aurait utilisé Mirai pour détourner un grand nombre d’objets connectés en botnets. Les botnets, historiquement ceux que l’on trouvait sur IRC, sont un réseau de bots informatiques, des programmes connectés à Internet qui communiquent avec d’autres programmes similaires pour l’exécution de certaines tâches, comme une vaste attaque en DDoS.

capture-decran-2016-10-21-a-19-10-19-1024x574

Schéma par Numerama

Ainsi, en s’attaquant à Dyn, l’auteur de cette attaque DDoS a été en mesure de cibler l’une des plus grandes infrastructure en ligne des Etats-Unis pour mettre hors-ligne des centaines de sites et de services.

  • Vendredi 21 Octobre, à environ 11h10 UTC, Dyn a été attaqué par une vaste attaque DDoS
  • A 15h50 UTC, une seconde attaque DDoS bien plus large a commencé contre la plate-forme de DNS
  • Vers 17h, les services ont commencé à être au fur et à mesure remis en place par Dyn

Le Département de la Sécurité intérieure des États-Unis, un département de l’administration fédérale américaine créé en réponse aux attentats du 11 septembre 2001, mène désormais l’enquête pour connaître précisément la méthode utilisée et les auteurs de l’attaque. D’après les premières information de l’enquête, le code Mirai aurait été utilisé.

Des milliers de botnets sous la forme d’objets connectés

Plus tôt ce mois-ci, un membre de Hackforums, répondant au pseudonyme d’Anna-Senpai, avait rendu public le code qu’il a utilisé pour détourner un grand nombre d’objets connectés et lancer des attaques en DDoS.

Ce code, baptisé Mirai, balaie les adresses IP accessibles publiquement à la recherche d’objets connectés mal sécurisés, utilisant par exemple les identifiants d’administration de base (de type admin/admin), pour les compromettre. De quoi constituer des réseaux de bots particulièrement vastesAnna-Senpai avait alors réussi à constituer des botnets comprenant jusqu’à 380 000 objets connectés compromis. Ce sont ensuite ces botnets qui se sont connectés massivement à leur cible.

Mirai n’est pas le seul logiciel malveillant, il y a également Bashlite, aussi connu sous les noms de Lizkebab, Torlus ou encore gafgyt.

 

La raison ou les raisons de l’attaque

Nous ignorons encore la motivation de l’auteur. Certains experts de sécurité ont émis l’hypothèse que les attaques peuvent avoir été une tentative d’extorsion, d’autres ont émis l’hypothèse qu’il s’agit d’une publicité. Il est également possible que l’objet des attaques sur Dyn était de toucher des géants en particulier, comme Twitter par exemple.

Par coïncidence, Wikileaks a publié un tweet peu après l’attaque, laissant entendre que les attaques peuvent avoir été causées par des partisans de Julian Assange, en signe de protestation car son accès à Internet a récemment été coupé par l’Equateur.

 

Il faut s’attendre à bien plus d’attaques de ce type

Ce type d’attaque DDoS globale est de plus en plus utilisée de nos jours pour causer des perturbations et des nuisances. Cela s’explique par le fait que de plus en plus de machines deviennent disponibles pour être infectées, et ainsi se transforment en botnet, les ressources disponibles sont donc de plus en plus importantes.

Ces attaques DDoS peuvent, non seulement, être utilisées pour faire une déclaration ou apporter une voix à des protestations, elle peut, et à plusieurs reprises, être utilisées comme un écran de fumée pour couvrir d’autres fins malveillantes.

 

À lire sur Numerama : Fin de l’attaque contre Dyn : Spotify, le PSN, Netflix et les autres sont en ligne