DynDNS vs DDoS – Fin de la cyberattaque qui a mis à mal les géants américains du Web

8
244

Les experts en sécurité informatique étaient unanimes : le botnet d’objets connectés Mirai a la capacité de mettre hors ligne l’immense majorité des sites Internet. C’est ce dernier qui a violemment frappé le service DynDNS, en affectant indirectement des milliers de sites américains durant plusieurs heures.

MaJ du 24/10/2016 : Un groupe de cybercriminels baptisé New World Hackers a revendiqué la cyberattaque visant DynDNS sur Twitter, la qualifiant de “test annuel”. D’après CBS, ce groupe serait un collectif d’hactivistes basé en Russie, en Chine et en Inde. Des antécédents d’attaques DDoS massives existent en fouillant parmi les faits d’armes du groupe.

ddos-norse

DynDNS est un prestataire permettant à des sites disposant d’adresse IP dynamiques ou changeantes de disposer d’une seul URL, l’entreprise se charge ensuite de fournir le service permettant de rediriger l’internaute vers la bonne adresse IP.

level_3

Vendredi soir, le service DynDNS a essuyé de plein fouet une violente cyberattaque de type DDoS provenant de la puissance de feu du botnet Mirai, composé d’objets connectés comme des caméras de sécurité IP et de routeurs. Plusieurs sites américains ont été affectés, parmi lesquels ont retrouve le PSN de Sony, Xbox Live, Netflix, Spotify, Twitter, PayPal, AirBnB, Amazon ou encore eBay. En résumé, tous les sites utilisant les DNS de DynDNS ont été impactés (part estimée à 4,7% du Web), et ils sont très nombreux (Github, Etsy, Soundcloud, Spotify, Heroku, Shopify, etc) :

dns

Les cyberattaques successives ont principalement affecté les internautes américains mais les conséquences ont également été ressenti par les internautes européens, éprouvant des difficultés à se connecter aux services affectés. La société FlashPoint estime que cette attaque d’ampleur a été rendue possible par l’utilisation du malware Mirai pour constituer un réseau d’objets connectés infectés (machines zombies).

Il a fallu attendre samedi pour que DynDNS publie un communiqué expliquant l’attaque et déclarant que cette dernière était sous contrôle. D’après plusieurs experts en sécurité, cités par The Verge, il s’agirait d’une attaque « très sophistiquée et complexe », surtout si l’on prend en compte l’ampleur de l’attaque et ses répercussions sur le Net. Bien entendu, il ne faut pas perdre de vu l’impact économique d’une telle cyberattaque : pendant près d’un jour, des géants comme PayPal, Soptify ou eBay ont perdu énormément de chiffre d’affaire. Nul doute qu’une enquête approfondie fera suite…

mirai-bots

C’est exactement le même type d’attaque qui avait paralysé l’hébergeur français OVH il y a peu. Après cet énième tour de force, tout en sachant que le botnet ne fait que croître, la sécurité des objets connectés est plus que jamais une priorité mondiale.

Il y a quelques jours, la société Level 3 avait publié une analyse du nombre de machines infectées par ce malware et constatait que celui ci était devenu particulièrement populaire depuis que son créateur avait publié librement le code source sur Internet. Au total, Mirai dénombre actuellement plus de 500 000 machines infectées par le malware selon Level 3. Lors des premières estimations effectuées par la société au début du mois d’octobre, ce chiffre s’élevait à 213 000 machines infectées. Selon des propos rapportés par The Register, DynDNS confirme cette version des faits et évoque un « des dizaines de millions d’adresse ip » impliquées dans l’attaque ayant visé leur service.

mirai-schema

Selon KrebsonSecurity, la majorité du trafic provient de cameras et d’enregistreurs vidéos compromis, plus particulièrement les modèles utilisant le logiciel d’une société chinoise, XiongMai Technologies, concevant et revendant des modèles de cameras IP en marque blanche dans le monde entier. Or, ces cameras disposent d’identifiants par défaut que les utilisateurs ne peuvent pas toujours changer : si la modification est possible pour l’interface web, ces identifiants par défaut restent néanmoins utilisables pour se connecter à la camera via Telnet ou SSH. C’est cette vulnérabilité qui est massivement exploitée par Mirai. Malheureusement, beaucoup d’experts en sécurité estiment que cette vulnérabilité sera complexe voire impossible à corriger et que la solution ne pourra se résumer à un simple patch.

Vous l’aurez compris, il faut s’attendre à d’autres cyberattaques de cette ampleur ou pire dans les prochaines semaines, cela va continuer tant que le botnet ne pourra être contrôlé, endigué ou démantelé.

 

Sources : Numerama, NextInpact, ZDNet

8 Commentaires

  1. Hmm.. Il semble intéressant de soulever le fait que le code source de Mirai est ouvert ( voir : https://github.com/jgamblin/Mirai-Source-Code ) ce qui facilice la tache aux white hat de s’en debarraser..

    Les constructeur devraient tirer des lecons en ouvrant leurs codes aussi tiens; ca éviterait qu’ils rappellent leurs produits en laissant la communauté s’en charger…

Les commentaires sont fermés.