Vendredi soir dernier, la panique s’emparait de la toile : plusieurs poids lourds du secteur étaient en rade consécutivement à la cyberattaque DDoS (déni de service) subie par le prestataire technique Dyn, qui gère le DNS de sites tels que Twitter, Netflix, Spotify, Airbnb, Reddit, ou encore Paypal, Playstation Network et de nombreux médias (Wired, Business Insider ou The Verge et Re/code). Une attaque de grande ampleur déployée grâce à l’internet des objets.

hack_dyn_objets_connectes_internet

Avec leur présence de plus en plus importante dans notre quotidien, nombre d’experts interpellent consommateurs et pouvoirs publics sur la nécessité de sécuriser les objets connectés. En mai dernier, la CNIL publiait par exemple une fiche pratique à cette intention.

Tracking d’activité, données de santé, localisation, domotique, d’aspect anodin ces objets connectés n’en sont pas moins gourmands en données et promettent d’envahir notre quotidien. Pourtant, la sécurisation des objets connectés ne concerne pas uniquement les données sensibles qu’ils recèlent, avec tous les aspects de protection de la vie privée que cela peut générer, elle concerne également l’usage que certaines personnes mal intentionnées pourraient en faire.

Quand les objets connectés paralysent internet

L’attaque contre la société Dyn et la paralysie d’une partie de l’internet mondial qui a suivi vendredi 21 octobre, en est l’exemple le plus flagrant. Une mauvaise nouvelle n’arrivant jamais seule, cette attaque est amenée à se répéter, voire à se multiplier. Mais avant de nous alarmer et de détruire tous les thermostats connectés, il convient de revenir sur cette attaque et la manière dont elle a pu se produire et se propager à une telle vitesse.

Selon toute vraisemblance, l’attaque a été orchestrée via un botnet activé par le malware ‘Mirai’ (dont le code source a été publié peu avant par un hacker sur un forum de piratage). Ce malware s’attaque à des objets connectés peu sécurisés faisant d’eux un véritable « réseau zombie » à même de supporter l’attaque.

dyn_iot-hack

La sécurisation des objets connectés fait polémique

Les objets domotiques et autres objets connectés, des webcams, aux imprimantes en passant par les thermostats connectés sont très prisés, car nombreux et peu sécurisés, c’est une faille connue, mais paradoxalement peu surveillée. Selon Flashpoint, le logiciel malveillant ‘Mirai’ aurait exploité des caméras de surveillance, mais aussi des enregistreurs numériques. Une méthode qui n’est pas sans rappeler le piratage d’OVH le mois dernier via un réseau de 150 000 caméras de surveillance.

La cyberattaque s’est concentrée sur la société Dyn, sorte d’annuaire des sites web concernés, il fait le lien entre votre requête et le site recherché (et l’adresse IP de son serveur). Une fois les objets infectés par le malware, le botnet n’avait plus qu’à faire le reste. Le réseau zombie s’est mis en branle en envoyant automatique des requêtes à plusieurs sites internet afin de submerger les serveurs et les rendre inaccessibles.

Une paralysie aux enjeux multiples

Même si leur nombre reste restreint par rapport aux acteurs présents sur la toile, ils n’en sont pas moins de gros, si ce n’est les plus gros, pourvoyeurs de trafic. Netflix par exemple est un gros pourvoyeur de bande passante. La plateforme de SVoD représente à elle seule 1/3 du trafic internet aux heures de pointe.

Les enjeux d’une telle attaque sont multiples : de la sécurisation de l’Internet des objets à son impact économique pour ces entreprises du numérique (quid des pertes estimées lorsque ces sites restent down plusieurs heures, voire plusieurs jours ?). De même, cette attaque révèle la fragilité du système : un seul acteur technique touché peut engendrer une panne quasi-généralisée du web.

Le département de la sécurité intérieure et le FBI ont d’ores et déjà ouvert une enquête pour identifier l’instigateur d’une telle attaque : hacker isolé, groupe de hacker, ou acteur soutenu par un État ?

dyn-ddos

Source

Une erreur dans l'article ? Proposez-nous une correction