Passer au contenu

Pourquoi les attaques DDoS prennent une ampleur inégalée

Les attaques récentes sur OVH et le blog de Brian Krebs montrent que les pirates migrent leurs plateformes DDoS vers les objets connectés, qui sont plus faciles à infecter et toujours disponibles.

L’Internet, est-il en train d’entrer dans une sombre époque dominée par des attaques quasi-ininterrompues par déni de service distribué (DDoS)? Les récents événements, en tous les cas, ne sont pas de bon augure. Fin septembre dernier, l’hébergeur français OVH a été frappé par une attaque DDoS de puissance historique, avec un débit autour de 1 Tbit/s. Le plus étonnant: cette attaque provenait d’un botnet de 145.000 caméras connectées.

Pendant ce temps, le journaliste Brian Krebs a subi lui aussi une attaque dévastatrice sur son blog. D’après l’opérateur Level 3, cité par Motherboard, cet assaut a dépassé les 660 Gbit/s et provenait, là encore, d’un botnet de… 1,5 million d’objets connectés (mais ce chiffre est contesté par certains experts). Il s’agirait principalement de caméras de surveillance branchées sur Internet et fabriquées par la société chinoise Dahua Technology.

Code source librement disponible

Ces deux attaques ont visiblement été orchestrées par une seule et même personne : un pirate qui se fait appeler « Anna-senpai ». Il y a quelques jours, celui-ci s’est vanté de son action sur le site Hackforums.net, juste après avoir publié le code source de son terrifiant botnet, qu’il a baptisé « Mirai ». N’importe qui pourra donc désormais utiliser ce code pour créer son propre canon à DDoS. Pour sa part, Anna-senpai souligne avoir pu créer avec Mirai des botnets de plus de 300.000 appareils.   

Mirai est actuellement réparti dans le monde entier, comme le montre l’analyse du chercheur en sécurité MalwareTech. Celui-ci a déployé sur le Net environ 500 serveurs Linux simulant des objets connectés, puis il a attendu que le malware tente de s’y introduire. Ce qui lui a permis de récolter 72.000 adresses IP différentes en l’espace de 12 heures, correspondant à autant d’objets connectés infectés.  En effet, Mirai se propage un peu comme un ver : chaque objet connecté infecté va scanner à son tour l’Internet à la recherche d’un appareil pouvant être contaminé. L’infection, en soi, est loin d’être complexe. La malware tente de se connecter en Telnet avec une liste de 62 identifiants couramment utilisés, tels que admin/admin, root/admin, root/root, root/1111, etc. Difficile de faire plus simple.   

Cette vague grandissante des DDoS n’est pas nouvelle. Selon le dernier rapport d’Akamai, le nombre d’attaques DDoS  a plus que doublé en l’espace d’un an (+119 %). Ce qui est nouveau, en revanche, c’est l’utilisation de plus en plus fréquente d’objets connectés pour générer ces attaques. En septembre dernier, par exemple, Symantec a référencé plus d’une douzaine de botnets ciblant principalement des objets connectés.

Pourquoi cet engouement pour les objets connectés ? Parce que ces appareils sont très peu sécurisés. Souvent, leurs propriétaires ne changent pas le mot de passe par défaut et ne mettent pas à jour le firmware… quand toutefois ces mises à jour existent. Car certains fabricants ne prennent même pas la peine d’en diffuser. Résultat : les objets connectés sont de véritables passoires, et cela de manière durable dans le temps. Dans ces conditions, comme le souligne MalwareTech, la création et la maintenance d’un botnet ne demandent que très peu d’investissements, contrairement aux botnets d’ordinateurs qui sont protégés par des antivirus.

Des raisons avant tout économiques

Du coup, la tendance, côté pirates, est de réserver les botnets d’ordinateurs pour des « services » à plus forte valeur ajoutée comme l’envoi de spam ou de malware, et de garder les botnets d’objets connectés pour les DDoS. Ces derniers, de toute manière, « ne servent pas vraiment à autre chose. La plupart des gens sains d’esprit ne vont probablement pas faire d’opérations bancaires depuis leur toaster connecté », souligne MalwareTech.      

Autre avantage non négligeable : les objets connectés sont actifs en permanence, contrairement aux ordinateurs que l’on éteint pendant la nuit. Cette disponibilité augmente mécaniquement la puissance de feu du DDoS. Enfin, les objets connectés vont être de plus en plus nombreux à l’avenir. Si leur niveau de sécurité reste aussi faible, l’Internet des objets représentera pour les pirates une source quasi-illimitée pour ce type de malveillance.

Bref, les fabricants ont intérêt à rapidement trouver une solution avant que toute le Toile ne soit emportée par un tsunami de DDoS. En attendant, un bon conseil : changez le mot de passe de vos objets connectés !   

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN