Cybersécurité, retour sur les attaques DDoS de Dyn, quelles leçons en tirer?
Publié le 23/06/2017 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Souvenez-vous, le 21 Octobre 2016 Dyn subit une attaque DDoS fulgurante. Pour rappel, Dyn est un service informatique et l'entreprise informatique américaine éponyme. Il permet aux utilisateurs d'une adresse IP dynamique de pouvoir quand même l'associer à un nom de domaine. Quelques mois après l’attaque « monstrueuse » qui a fait trembler l’Amérique et le monde, il nous semblait pertinent de revenir sur cette affaire après lecture d’un certain nombre d’articles.

Après un rappel des faits nous vous donnerons 3 enseignements que nous tirons de cette attaque.

Les faits rien que les faits

Revenons sur les faits. Le samedi 21 octobre 2016 à 7h du matin, la société Dyn (dyn.com) hébergeur de DNS s’est fait attaquer en DDoS sur plusieurs de ses datacenters. Ceci a eu pour effet de rendre totalement indisponibles tous ses services DNS. A priori, on pourrait la considérer comme une attaque parmi tant d’autres. Cependant, cet hébergeur est un peu spécial puisqu’il est un des hébergeurs majeurs du DNS. Il a la responsabilité des noms de domaines tels qu’Amazon Web Services, Twitter, Spotify, Airbnb, etc… Et c’est là que l’attaque devient très médiatique. En effet, sans DNS, ces grands noms du web ne sont plus disponibles dès lors que les utilisateurs tentent d’effectuer la résolution de nom d’un de ces sites web. Bien évidemment qui connait et retient l’adresse IP d’un site web ? Personne ! Leur petit nom est bien plus simple à retenir. Pour preuve : Google ne nous présente que leur petit nom, pas l’adresse IP ! Le nom DNS est d’autant plus important que les adresses IP changent très régulièrement en fonction de la charge des différents serveurs web, des datacenters qui vont vous répondent et même du fournisseur d’accès internet par lequel vous allez accéder au site. Enfin, bref ! Le DNS est LE passage obligé pour permettre d’accéder à n’importe quel site web dans le monde.

Une défaillance dans la protection de l’architecture

L'attaque a ciblé un SPoF (Single Point of Failure) de l'internet: le DNS, puisque tout se base dessus. Il suffirait donc de faire tomber un hébergeur DNS de renommée mondiale pour mettre à terre Internet ou au moins une partie non négligeable. Normalement non ! S’il y a un SPoF, on le duplique : c’est la base même de la sécurité. Par conséquent, en backupant / secourant un DNS, on s’affranchit d’une faiblesse du DNS primaire : c’est ce qu’on appelle un DNS secondaire. Et pour éviter que la défaillance soit généralisée au niveau du gestionnaire du DNS, il est préférable que le DNS secondaire soit géré par un autre prestataire. C’est exactement comme n’importe quel client désirant plusieurs accès internet pour s’assurer de la disponibilité de ses actifs en cas de défaillance de l’opérateur internet (on parle souvent du fameux coup de pelleteuse).

Donc, le 21 octobre, si les sites web ont été rendus inaccessibles, c’est en raison d’une erreur dans l’analyse des risques liés au DDoS et/ou au manque d’investissement dans la sécurisation de certaines infrastructures (ici, DNS).

Oui, le DDoS est une vraie menace même pour les DNS ! Aujourd’hui, il ne viendrait l’idée à personne d’exposer le réseau d’une entreprise à internet sans firewall ou proxy pour le surf. L’anti DDoS doit devenir un réflexe et pour toutes les architectures. On ne le répètera jamais assez : il faut se protéger.

1ère enseignement : reconsidérez vos précédentes analyses de risque et prenez en compte cette menace !

Accusés objets connectés levez vous

A ce jour les motivations de l’attaque sont encore extrêmement floues voire même non connues. L'attaque n'a d’ailleurs pas été revendiquée, pas plus que les responsables de l’attaque ne sont identifiés. On parle d’hacktivistes, de hackers agissant pour le compte de pays, et d’autres différents noms. Les revendications de différents groupes cybercriminels connus et moins connus pleuvent : aujourd’hui, nous ne connaissons pas le responsable et nous ne le connaitrons peut être jamais.

Par contre, une chose est désormais confirmée : Mirai est dans le coup! Mirai dont nom est apparu il y a quelques mois est un malware qui a infecté les objets connectés. Ce sont ces objets connectés qui ont attaqué le blog de Korbs et l’hébergeur français (de taille mondiale) OVH en septembre 2016. Ce sont aussi ces objets connectés qui ont remporté la palme suprême du DDoS le plus volumineux (620Gbps puis 1Tbps).

Selon une étude de Level 3, Mirai prolifère vite, très vite ! Début septembre, on recensait de 150 000 objets connectés infectés, aujourd’hui, on parle plus de 500 000…. Et il y a fort à parier que ça ne va pas s’arrêter là.

Ces fameux objets connectés infectés sont principalement des lecteurs vidéo, des caméras et autres objets reliés à internet. Un fournisseur chinois qui travaille en marque blanche est particulièrement pointé du doigt. Il a fourni jusqu’en septembre 2015 des centaines de milliers, voire des millions, d’objets connectés avec un accès Telnet ouvert. Ce fournisseur a corrigé la faille il y a 1 an et a annoncé qu’il fallait faire une mise à jour du firmware pour supprimer cette vulnérabilité. Il a juste oublié de donner la procédure pour le faire ! D’ailleurs, en existe-t-il vraiment une ? Vue la tournure des évènements, et peut être pour répondre à la pression de certains de ces clients, le fournisseur est allé plus loin que simplement demander une mise à jour du firmware : il a fait un rappel des objets connectés. Mais quel sera le réel impact sur ce rappel ? Il pourra toujours dire qu’il a tout entreprit pour corriger la faille, il est difficile à croire que les propriétaires ramèneront des équipements en service pour une correction. Le mal est fait !

Si on ajoute à ça que l’identifiant/mot de passe pour prendre le contrôle de ces objets connectés est extrêmement simple (de type admin/admin ou admin/password), les hackers adorent !

Enfin, pour faciliter encore la vie des hackers, le code de Mirai a été rendu public par son concepteur il y a quelques semaines.

Tout ceci donne un jouet ultra puissant à la portée de n’importe quel apprenti hacker qui peut se servir de ces trois vulnérabilités pour attaquer de nouvelles cibles à n’importe quel moment.

Le mal est fait !

2e enseignement : Pensez sécurité. Pensez que votre développement pourrait être détourné pour des raisons différentes de celles pour lesquelles il a été conçu. Si vous développez une application ou un équipement connecté, demandez-vous s’il n’est pas vulnérable ou si toutes les commandes non utiles ne pourraient pas être tout simplement désactivées.

Une attaque difficile à contrer

Contrairement aux 2 attaques contre Brian Krebs et OVH, la taille de l’attaque n’a pas battu de record à moins que le nombre d’attaquants devienne une nouvelle référence dans la performance d’une attaque. En effet, certains articles parlent de 400 000 sources actives pour l’attaque. Mais ces sources auraient attaqué de façon pernicieuse ce qui a rendu le nettoyage de l’attaque très complexe. En effet, habituellement, une attaque va entrainer un fort trafic généré par des sources qui, prises individuellement, vont générer un trafic « important » ou anormal. Dans ce cas, les objets connectés se sont mélangés au trafic normal ce qui a rendu très difficile la remédiation. En d’autres termes, il est beaucoup plus facile d’identifier et nettoyer une attaque provenant de 50 000 sources générant 200 sessions chacune qu’une attaque provenant de 400 000 sources générant 25 sessions chacune.

Nulle part la gestion du DDoS n’a été remise en cause : l’attaque semble donc avoir été gérée correctement mais sa complexité a rendu la remédiation plus difficile que dans une DDoS plus classique.

3eme enseignement : Dotez-vous d’experts de la gestion des menaces et des incidents ! La technologie tente de simplifier le monde mais les hackers restent encore très imaginatifs et les attaques se complexifient. C’est pourquoi, pour faire face à ce type de menace, l’expertise humaine est de rigueur.


En conclusion : le DDoS est une menace grandissante dans tous les domaines. Les objets connectés accentuent ce risque d’autant plus qu’ils sont très vulnérables par conception : il va falloir apprendre à limiter ce risque et s’en prémunir si on veut survivre dans l’ère du numérique….

La sécurité a un bel avenir…

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?