Tech&Co
Cybersécurité

Pourquoi les objets connectés peuvent casser le web (et comment les en empêcher)

-

- - -

Des dizaines de millions d'appareils ont mis à genoux un prestataire de services Internet, entraînant dans sa chute un grand nombre de sites web. Un scénario catastrophe qu'il était pourtant facile d'éviter.

Des dizaines de sites inaccessibles pendant des heures, des internautes totalement désorientés, des experts techniques dépassés pas les évènements… L'énorme cyberattaque survenue vendredi dernier a mis en exergue, une fois de plus, les faiblesses inhérentes de l'Internet et le risque que représentent les objets connectés pour le bon fonctionnement des services en ligne. 

Petit rappel: l'attaque était de type DDoS (Distributed Denial of Service) qui consiste à inonder un serveur avec tellement de requêtes qu'il se met hors service. Dans le cas présent, l'attaque s'est concentrée sur les serveurs de Dyn, un prestataire Internet qui fournit des services DNS (Domain Name Service) pour beaucoup de sites web américains. Le DNS est l'annuaire de l'Internet. Il permet aux Internautes d'accéder à un site web en traduisant son nom de domaine par l'identifiant du serveur sous-jacent (l'adresse IP en occurrence). Sans DNS, un site web n'est plus accessible par ses utilisateurs, et c'est ce qui s'est passé pour les nombreux clients de Dyn: Twitter, Amazon, Netflix, Spotify, eBay, etc.

Un botnet devenu gigantesque en peu temps

Dans une note de blog, Dyn souligne qu'il s'agissait là d'une "attaque sophistiquée, hautement distribuée". En effet, ses serveurs ont été la cible de "dizaine de millions d'adresse IP distinctes associées avec le botnet Mirai". Un botnet est un réseau de machines infectées qui obéit aux ordres d'un pirate. Dans le cas présent, le botnet Mirai a permis, par un simple clic, d'inonder les serveurs de Dyn avec des requêtes bidon.

Ce n'est pas la première fois que Mirai provoque des dégâts. Début octobre, il a pris en ligne de mire l'hébergeur français OVH et le journaliste high-tech Brian Krebs. A l'époque, l'opérateur Level 3 avait estimé la taille de ce botnet à 1,5 millions d'appareils infectés. En réalité, il s'agissait principalement de caméras IP connectées. Eh oui, ces appareils incorporent en réalité un petit OS, généralement Linux. Par la suite, l'auteur de Mirai a publié le code source de son botnet pour susciter son adoption par d'autres pirates. Visiblement, ce but a été atteint rapidement, étant donné la taille gigantesque de Mirai à ce jour.

Un attaque pourtant simpliste

C'est d'autant plus désolant que Mirai est loin d'être un malware complexe: il scanne l'Internet, détecte les appareils en ligne et tente de se connecter sur le compte administrateur avec une liste de soixante identifiants usuels et fréquents: admin/admin, admin/password, admin/123456… Difficile d'imaginer plus simple comme piratage. La faille est donc double: ces appareils peuvent recevoir des connexions non seulement depuis n'importe où, mais en plus au travers d'identifiants faciles à deviner. La solution est simple: interdire ou filtrer les connexions à distance et contraindre les utilisateurs à définir un bon mot de passe.

Selon la société Flashpoint, citée par Brian Krebs, l'attaque de vendredi s'est appuyée en grande partie sur les appareils de XiongMai, un fournisseur chinois de caméras IP et d'enregistreurs connectés. Cette société a depuis confirmé l'implication de ses produits. "Malheureusement, les industries qui nous vendent ces objets connectés repartent de zéro et font aujourd'hui des erreurs de sécurité énormes qui sont connues depuis longtemps", explique Stéphane Bortzmeyer, ingénieur réseau, auprès de TV 5 Monde.

Une trop grande dépendance technique

L'autre grande faiblesse que cette histoire a dévoilée, c'est la trop grande dépendance des services web vis-à-vis des prestataires Internet. La résilience de l'Internet est basée depuis son origine sur son architecture décentralisée, qui évite que la panne d'un serveur entraîne beaucoup d'autres dans sa chute. Or, Dyn est devenu aux Etats-Unis de facto un fournisseur unique de services DNS pour un grand nombre de sites web. Ce qui va donc à l'encontre de la philosophie originelle de l'Internet. D'après certains experts, une solution simple pour éviter un tel désastre serait de disposer de plusieurs fournisseurs de services DNS. Mais ceci représente un effort financier que ces sites ne sont pas forcément prêts à fournir. "Twitter n'est hébergé que par un seul fournisseur DNS, Dyn. Ce fournisseur tombe, plus de Twitter", souligne Stéphane Bortzmeyer.

Reste à savoir, enfin, qui se cache derrière cette attaque. Malheureusement, c'est très difficile de le savoir. A l'heure actuelle, on ne sait même pas si le botnet qui a mis Dyn à genoux était contrôlé par un seul pirate ou par plusieurs. Dans ce dernier cas, cela suppose quand même une certaine capacité de coordination.

Sur Twitter, un groupe de hackers baptisé "New World Hackers" revendique avoir mené cette attaque. Interrogé par Associated Press, l'un des porte-parole explique qu'il ne s'agissait là que "d'un test" et que la prochaine cible sera le gouvernement russe. Mais ces propos sont invérifiables et donc à prendre avec beaucoup de précaution.