Une attaque DDoS perturbe l'accès à de nombreux sites importants pendant plusieurs heures
Essentiellement pour les internautes américains

Le , par Stéphane le calme, Chroniqueur Actualités
Depuis la publication du code source de Mirai, un logiciel malveillant qui permet la création d’un botnet d’objets connectés pour lancer des attaques de déni de service, le nombre d’opérateurs de réseaux de zombies a augmenté comme le craignaient des experts en sécurité.

Pour rappel, Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

Des rapports liés à ce logiciel malveillant se sont multipliés, comme un rapport publié il y a quelques jours par Sierra Wireless, l’équipementier canadien en dispositifs sans fil, qui a indiqué à ses clients que « Sierra Wireless a confirmé les rapports selon lesquels le malware Mirai infecte les passerelles AirLink utilisant le mot de passe par défaut d’ACEmanager et accessibles depuis Internet ».

Cette fois-ci, le logiciel a été impliqué dans une attaque DDoS lancée contre Dyn, un fournisseur de service DNS. Vendredi 21 octobre en fin d’après-midi, Dyn a confirmé qu’une attaque a été lancée contre ses services, paralysant ainsi l’accès aux sites de ses clients à l’Est des États-Unis même si certains sites étaient inaccessibles depuis l’Europe. Selon le baromètre DataNyze, Dyn possède 4,7 % des sites figurant sur le top 1M de l’indice Alexa, soit 82 712 sites. Parmi eux, figurent des icônes comme Paypal, Twitter, Github, Playstation Network, Netflix, Spotify ou encore Airbnb. Peu après minuit (heure de Paris), l’entreprise a annoncé avoir résolu cet incident.



Dyn a indiqué que l’attaque est venue de millions d’adresses internet, en faisant l’une des plus puissantes jamais observées. Comme pour l’attaque contre OVH ou KrebsOnSecurity, une partie du trafic de l’attaque s’est appuyée sur des milliers de dispositifs connectés comme des caméras de surveillance, des moniteurs de bébé et des routeurs maisons qui ont été infectés à l’insu de l’utilisateur. Dale Drew, chef de la sécurité, a déclaré que d'autres réseaux de machines compromises ont également été utilisés dans l'attaque de vendredi, ce qui suggère que l'auteur avait loué l'accès à plusieurs botnets.

Face à l’ampleur de l’attaque, le FBI et la sécurité nationale américaine se sont déjà penchés sur cette attaque pour étudier toutes les causes potentielles parmi lesquelles une activité criminelle ou un attaque contre les États-Unis.

Les chercheurs en sécurité ont longtemps averti que le nombre croissant de dispositifs connectés peut potentiellement représenter un énorme problème de sécurité. Faisant allusion à l’attaque lancée vendredi, les chercheurs ont averti qu’il ne s’agit là que d’un aperçu de la façon dont ces dispositifs peuvent être utilisés pour lancer des attaques en ligne.

Source : Reuters, Dyn


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Iradrille Iradrille - Expert confirmé https://www.developpez.com
le 22/10/2016 à 17:21
Un article intéressant, en rapport avec les attaques récentes : Someone Is Learning How to Take Down the Internet.
Avatar de tomlev tomlev - Rédacteur/Modérateur https://www.developpez.com
le 22/10/2016 à 18:17
essentiellement pour les internautes américains
Et les abonnés Numéricable apparemment
C'était presque impossible de se connecter à Github ou Twitter depuis mon PC hier soir
Avatar de marsupial marsupial - Membre chevronné https://www.developpez.com
le 22/10/2016 à 19:11
Citation Envoyé par BufferBob Voir le message
donner des idées de quoi, partager le code source de leurs bouses ? ma foi j'espère, ça permet de se rendre compte du niveau réel (ridicule !) des pirates en comparaison aux dégâts dont ils sont capables

ah oui, entièrement d'accord là dessus, arriver à générer un DDoS de 620Gbps (~67Go/s ?) rien qu'en ramassant des hôtes sur Telnet, en root et avec une wordlist d'à peine 30 logins/passwords ça laisse vraiment songeur

pour laisser un accès distant en root sur des équipements en 2016, les entreprises responsables devraient être clouées au pilori, les décisionnaires écartelés et le cdp coupé en petits morceaux pour donner à manger aux devs avant qu'ils se fassent copieusement fouetter

sauf qu'on laisse pas forcément le choix, le consommateur achète les produits disponibles, et les entreprises se livrent la bataille des features sur leurs produits, et la sécurité c'est "si on a le temps, si ça coûte pas trop cher, si quelqu'un pense à évoquer la question en réunion"

Dans ma partie, j'ai la conscience tranquille du devoir accompli et achevé sans aller au-delà des possibilités; les jalons sont déjà posés pour l'avenir tout en restant disponible et ouvert à toutes éventualités, c'est-à-dire si je pense à mieux sans être l'ennemi du bien.
Ce qui a été mis en place reste sous brevet et classé mais peut s'adapter et s'intégrer à peu près partout avec un peu de cervelle et de volonté : tous systèmes et réseaux.

Donc gros +1 à la nuance près de la révélation du code source encore que cela permettrait de faire une pause pour sérieusement se pencher sur la question.

Edit : gros merci à vous tous pour votre patience et votre veille.
Avatar de Iradrille Iradrille - Expert confirmé https://www.developpez.com
le 22/10/2016 à 19:22
Citation Envoyé par BufferBob Voir le message
donner des idées de quoi, partager le code source de leurs bouses ? ma foi j'espère, ça permet de se rendre compte du niveau réel (ridicule !) des pirates en comparaison aux dégâts dont ils sont capables
La sécurité est un "jeu" très déséquilibré :
l'équipe en défense ne peut pas gagner : dans le meilleur des cas elle empêche une attaque et évite ainsi de "perdre".
l'équipe en attaque ne peut pas perdre : dans le pire des cas l'attaque est repoussée et elle ne "gagne" pas.

Maintenant si un hack simpliste marche, ça ne veut pas dire que les hackeurs sont mauvais (c'est pas de leur faute si le système n'est pas sécurisé du tout...).

Après le DDoS, c'est un cran au dessus niveau déséquilibre : facile à mettre en place / dur de s'en protéger.
Avatar de Olivier Famien Olivier Famien - Chroniqueur Actualités https://www.developpez.com
le 24/10/2016 à 7:39
XiongMai Technologies, une entreprise chinoise admet que ses appareils ont été utilisés par Mirai
dans les récentes attaques DDoS menées contre les infrastructures de Dyn

Alors que les experts en sécurité avaient longtemps attiré l’attention de la communauté IT sur les risques que représentent les objets connectés, c’est vendredi dernier qu’il nous a été donné de voir le danger réel que représentent ces appareils. En effet, ce vendredi, Dyn, le fournisseur de service DNS a subi trois vagues d’attaques par déni de service hautement distribué contre ses infrastructures. Ces attaques jamais enregistrées auparavant par l’entreprise ont été si virulentes qu’elles ont entraîné des lenteurs pour certains sites et l’inaccessibilité des sites de ses clients à l’est des États-Unis.

Derrière ces attaques, Dyn indexe Mirai, un botnet qui exploite sur la toile les objets connectés mal protégés avec des identifiants attribués par défaut par leurs fabricants. Ces failles sont alors exploitées par Mirai afin d’utiliser ces objets dans des attaques massives par déni de service contre des plateformes.

Avec l’aide de Flashpoint et Akamai, Dyn a pu recenser des dizaines de millions d’adresses IP utilisées pour étouffer ses infrastructures DNS. Le fournisseur de backbone, Level 3 Communications, parle pour sa part d’au moins 500 000 appareils utilisés dans ces cyberattaques. Face à une telle ampleur, il ne serait pas surprenant de voir un grand nombre d’objets fabriqués par des entreprises de grands noms être impliqués dans ces attaques.

Et depuis quelques heures, on en sait un peu plus sur les objets utilisés pour tenter de faire tomber la plateforme de Dyn. En effet, XiongMai Technologies, un fournisseur chinois de caméras connectées et d’enregistreurs DVR vient de confesser que ses produits ont par inadvertance joué un rôle dans la cyberattaque massive qui a perturbé les principaux sites internet aux États-Unis le vendredi.

Plus précisément, l’entreprise chinoise assène que « Mirai est un grand désastre pour l’internet des objets ». Et d’ajouter que « nous devons admettre que nos produits ont également souffert d’effractions et d’utilisations illégales par les pirates ».

Il faut noter que lorsque les attaques sont survenues, le fournisseur de solutions de sécurité, Flashpoint a souligné ouvertement que Mirai cible les objets connectés comme les routeurs, les enregistreurs DVR, les webcams, les caméras de sécurité afin de les asservir pour ensuite les utiliser dans des attaques DDoS.

La sortie de XiongMai Technologies pour préciser que ses équipements ont été également utilisés dans ces attaques n’est donc pas une surprise. L’entreprise explique que le malware a pu se rendre maître des appareils des utilisateurs pour lesquels les mots de passe par défaut du fabricant n’avaient pas été changés. Un patch avait déjà été publié en septembre 2015 afin d’éviter un tel scénario. Le correctif du firmwire demandait aux clients de changer le mot de passe par défaut lorsqu’ils utilisaient les appareils de l’entreprise pour la première fois. Mais les appareils tournant avec de vieilles versions du système sont toujours vulnérables.

Etant donné que la menace est constante, les utilisateurs des équipements connectés sont donc priés de changer les mots de passe par défaut de leurs appareils qui ont été fournis par leur fabriquant au risque de contribuer involontairement à propager les effets de Mirai et autres malwares sur la toile.

Source : China Cyber Safety

Et vous ?

De quelle entreprise pensez-vous que les appareils puissent être également impliqués dans ces récentes attaques ?

Voir aussi

Des hackeurs utilisent un malware pour faire tomber le réseau électrique Dans l'ouest de l'Ukraine

La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié
Avatar de Omote Omote - Membre averti https://www.developpez.com
le 24/10/2016 à 11:55
Le problème vient aussi des utilisateurs de ces objets qui les branche à Internet sans changer de mot de passe. Encore une question d'éducation (à mettre dans le lot avec "ne pas ouvrir les fichiers joints de sources inconnues". Je pense que les gouvernements qui veulent absolument apprendre à des enfants de coder, devraient commencer par leur apprendre à utiliser les convenablement outils existant à la place.

Peut être que cela diminuerait la possibilité d'attaque de ce genre. Ou du moins, cela viendrait ajouter une protection supplémentaire à celui par défaut (on s'entend que les entreprises sont aussi responsable d'obliger le changement de mot de passe à la première utilisation).
Avatar de ijk-ref ijk-ref - Membre averti https://www.developpez.com
le 24/10/2016 à 13:07
Citation Envoyé par Omote Voir le message
Le problème vient aussi des utilisateurs de ces objets qui les branche à Internet sans changer de mot de passe (...)
Pour moi ce n'est pas Le problème. Car il y aura toujours plus d'objets connectés utilisés par de plus en plus de monde sans aucune connaissance informatique et ce fait ne changera pas.

Le problème est qu'il n'existe toujours pas de solution de protection standardisée et universelle qui ne fasse pas intervenir les travers de l'humain - le laisser choisir et se souvenir de mots de passe est d'une grande hérésie !

A mon avis il serait temps d'inventer une clé universelle individuelle se branchant sur chaque appareil et se chargeant seule d'assigner les mots de passe et de s'en souvenir.
Avatar de transgohan transgohan - Expert éminent https://www.developpez.com
le 24/10/2016 à 13:54
Ce n'est même pas forcement un problème d'utilisateur...
J'ai coupé récemment l'accès internet à mon imprimante l'ayant retrouvé sur un moteur de recherche d'objets connectés mal sécurisés.
Je n'ai aucune interface me permettant de modifier le mot de passe...
Donc à part lui couper l'accès vers le monde extérieur je peux pas faire grand chose...
C'est la même chose pour bon nombre d'objets connectés, vous pouvez changer le mot de passe de l'interface locale d'administration, mais pas celui de la connexion de mise à jour ou d'administration distante d'usine ou encore de debug...
Avatar de Iradrille Iradrille - Expert confirmé https://www.developpez.com
le 24/10/2016 à 19:42
Citation Envoyé par Omote Voir le message
Le problème vient aussi des utilisateurs de ces objets qui les branche à Internet sans changer de mot de passe. Encore une question d'éducation (à mettre dans le lot avec "ne pas ouvrir les fichiers joints de sources inconnues". Je pense que les gouvernements qui veulent absolument apprendre à des enfants de coder, devraient commencer par leur apprendre à utiliser les convenablement outils existant à la place.

Peut être que cela diminuerait la possibilité d'attaque de ce genre. Ou du moins, cela viendrait ajouter une protection supplémentaire à celui par défaut (on s'entend que les entreprises sont aussi responsable d'obliger le changement de mot de passe à la première utilisation).
C'est la seule protection viable contre le DDoS (c'est pour ça que ça fait tant de dégâts...)

Mais sinon c'est assez ironique. Étant petit, on a tous entendu nos parents nous dire "ne parle pas à des inconnus" "n'accepte pas de bonbons d'un inconnu" etc...
Appliquer les mêmes règles sur le net réduirait drastiquement le phishing (et donc le vol d'identité / DDoS / autre joyeuseté). Les règles tout le monde les connait, personne ne les applique.
Avatar de Loceka Loceka - Expert confirmé https://www.developpez.com
le 25/10/2016 à 8:49
Citation Envoyé par transgohan Voir le message
Ce n'est même pas forcement un problème d'utilisateur...
Non mais je pense que ce serait la réponse de notre gouvernement (cf. Hadopi) : "si vous ne sécurisez pas vos appareils connectés et qu'un délit est commis avec, vous serez responsable"

C'est tellement plus simple que de s'attaquer au problème à la source...
Contacter le responsable de la rubrique Accueil