Tech&Co
Cybersécurité

DDoS, DNS, IoT: que veulent dire ces trois mots qui ont mis le Web à terre?

-

- - CC, Flickr (Castio T. Lauren)

De nombreux sites Web ont été rendus inaccessibles ce vendredi. Si ces attaques ne sont pas nouvelles, leur ampleur devient inquiétante.

Ce vendredi soir, vous n’avez peut-être pas pu regarder un film sur Netflix, passer une commande sur Amazon, jouer à FIFA 17 en ligne…et vous plaindre de tout ça sur Twitter. En cause, une attaque massive qui a paralysé une partie du Web. Mais aucun de ces sites n’a directement été piraté. Et aucune de leurs données n’a été siphonnée. En réalité, un hacker a utilisé l’IoT pour commettre une attaque DDoS contre un service DNS. Une phrase incompréhensible? Pas tant que ça.

DDoS : "Trop de monde, on ferme boutique"

Il y a plusieurs façons de nuire à un site. Le pirater "de l’intérieur" en accédant à ses données, ou l’inonder de demandes de connexion pour saturer ses serveurs. C’est la seconde méthode qui a été utilisée vendredi, et il s’agit d’une attaque par déni de service (DDoS). Si une boulangerie pouvait fabriquer 100 baguettes en une journée et que 10.000 clients attendaient devant la boutique, elle fermerait rapidement ses portes. C’est ce qui se passe lors d’une attaque DDoS. Des millions d’ordinateurs demandent simultanément à un serveur de leur envoyer du contenu, mais celui-ci n’a pas les épaules pour fournir tout le monde.

-
- © CC, Flickr (Corinne Moncelli)

Encore faut-il orchestrer une telle attaque. Dans les faits, une seule personne peut suffire. Il lui suffit de pirater d’autres machines -par exemple à l’aide d’un virus- pour les contrôler à distance. C’est ce qu’on appelle des machines zombies. A votre insu, votre ordinateur a pu participer à des attaques comme celle d’hier.

DNS : la "Demoiselle du téléphone"

Pour qu’un ordinateur puisse accéder à un site Web, le nom de ce dernier ne suffit pas. La machine a besoin de son adresse IP. L'IP est une suite de chiffres qui correspond à l’adresse "réelle" d’un site. Par exemple, 31.13.91.36 est l’adresse IP de Facebook.

Il suffit de la taper pour accéder directement au réseau social. Les adresses que nous écrivons dans notre navigateur - "www.facebook.com", par exemple- ne permettent donc pas en elles-même d’accéder à un site. Elles sont utilisées parce qu’il nous est plus simple de retenir "Facebook.com" que 31.13.91.36.

Pour que la machine s’y retrouve, une seconde étape est nécessaire. Elle consiste à associer l’adresse du site à la bonne adresse IP, comme on associerait un nom à un numéro de téléphone. Pour cela, il faut aller puiser dans un annuaire des noms de domaine: le Domain Name System (système de noms de domaine, ou DNS). Les "Pages Jaunes du Web", en somme.

-
- © CC, Flickr (reynermedia)

Mais la gestion de ces annuaires n’est pas automatique. Des entreprises privées sont chargées de les administrer et de rediriger les internautes vers le bon site. Elles sont l’équivalent numérique des Demoiselles du téléphone, ces opératrices chargées de mettre en relation les abonnés entre eux, avant l’automatisation des réseaux téléphoniques il y a 40 ans. Dyn est l’une d’elles et avait pour clients tous les sites qui ont été mis hors-ligne. C’est donc Dyn qui a été visée par l’attaque et non Twitter, Amazon et consorts.

IoT : des milliards de fantassins

Vendredi, des machines zombies se sont donc rassemblées pour saturer une partie de l’annuaire du Web. Jusqu’à ces derniers mois, ce sont des appareils comme nos ordinateurs qui étaient utilisés. Mais malgré leurs nombreuses failles, ils restent plus sécurisés que d’autres produits dont les ventes explosent: les objets connectés. Ils font partie de ce qu’on appelle "L’Internet des objets" (IoT).

-
- © CC, Flickr, (Gursimran Sibia)

Les caméras de surveillance, thermostats connectés ou même ampoules connectées sont autant d’appareils qui disposent d’une connexion Internet et qui peuvent être transformés en machines zombies. Bien souvent, ils sont mal sécurisés et représentent des cibles faciles. Surtout, ils sont très nombreux. Plusieurs milliards sont déjà en service et ils seront 20 milliards dans quatre ans.

Nous savons maintenant que ce sont des objets connectés qui ont été utilisés ce vendredi. Pour les enrôler, les pirates les ont infectés avec un logiciel malveillant baptisé "Mirai". Depuis quelques semaines, il est accessible à n’importe quel internaute.

Il y a quatre jours, une entreprise américaine alertait sur la prolifération de ces objets connectés "zombies". En septembre, un expert en sécurité informatique accusait la Chine de se préparer à ce type d'attaques. Malheureusement il n’est pas à exclure que le chaos du 21 octobre soit le premier d'une longue série.

https://twitter.com/GrablyR Raphaël Grably Rédacteur en chef adjoint Tech & Co