Vous êtes sur le site public du Cert-IST
Des objets connectés « zombies »

Date :07 Octobre 2016

Publication: Article

Le mois de septembre a été marqué par des attaques par déni de service distribué (DDoS) d’une ampleur jusqu’alors inégalée. Un record a été atteint avec une attaque DDoS à 1 térabit par seconde le 20 septembre à l’encontre de l’hébergeur français OVH, suivi le 21 septembre d’une attaque de 620 Gb/s contre le site web du journaliste et expert en sécurité informatique Brian Krebs, krebsonsecurity.com.

Le point commun entre ces deux attaques, l’utilisation d’un réseau d’objets connectés à Internet (IoT: Internet of Things) tels que des caméras IP ou des enregistreurs vidéos (DVR). Même si les attaques DDoS sont fréquentes à l’encontre de la plupart des hébergeurs, l’utilisation d’objets connectés à Internet pour mener ce type d’attaques marque un tournant dans l’évolution des botnets.

Pour mener ces attaques, les hackers ont utilisé un malware baptisé Mirai permettant d’infecter des objets connectés basés sur Linux et qui sont souvent mal sécurisés (utilisation de mot de passe par défaut, trop faible ou sans mot de passe). L’ICS-CERT a d’ailleurs envoyé un signal d’alarme concernant les produits du constructeur Sierra Wireless touché par Mirai.

Pour ce faire, le malware balaye en permanence Internet à la recherche de systèmes IoT mal protégés. Une fois ces objets infectés, le pirate peut alors constituer son réseau de botnet d’objets connectés et les utiliser pour coordonner des attaques via ses serveurs de commandes et de contrôle (C&C). Même si le malware Mirai a souvent été mis en avant par les média lors de ces attaques, le malware Bashlite dont les fonctions sont similaires à Mirai a également participé à ces attaques. Ce dernier aurait déjà infecté près d’un million d’équipements notamment au Brésil, en Colombie et Taiwan.

D’après le blog MalwareMustDie !, Mirai serait probablement une évolution des malwares Gafgyt, Lizkebab, Bashlite, Bash0day, Bashdoor, et Torlus. En effet, d’après l’entreprise de télécommunication et fournisseur de service Internet Level 3, le code source de Bashlite a été divulgué en 2015 et une douzaine de variantes auraient vu le jour en 2016. Le code source de Mirai a également été publié au début du mois d’Octobre 2016.

Plus récemment, vendredi 21 octobre, plusieurs vagues d’attaques DDoS de type « DNS Flood »  (attaque d’un serveur DNS par l’envoi massif de requêtes), cette fois-ci contre le fournisseur de service DNS américain Dyn, ont perturbé pendant plusieurs heures l’accès à plusieurs grands sites web tels que AWS (Amazon Web Services), Twitter, Spotify, Airbnb, Paypal, eBay, CNN, le New York Times… en s’attaquant à Dyn, les hackers ont réussis à perturber un plus large éventail de cibles. 

On remarque à travers cette attaque que la gestion et la centralisation des DNS pose de réels problèmes de sécurité et met en évidence certaines faiblesses d’Internet. Il est donc facile d’imaginer que des hackers pourraient viser les principaux serveurs DNS d’Internet pour faire tomber des milliers de sites Web d’un coup.

DNS est un service particulièrement ciblé par les hackers de par la relative simplicité à forger des attaques puissantes. Ce nouveau « mode d’attaque » utilisant des objets connectés est clairement amené à se développer étant donné l’augmentation du nombre d’objets connectés et leur faible niveau de sécurité. La cybercriminalité profite également de l’évolution de ces nouvelles technologies, avec la vente de réseau de botnet IoT par des hackers sur des forums clandestins (100 000 bots pour 7 500$).