En voulant faire une blague à ses amis, il déclenche une attaque DDoS contre des systèmes d'urgence 911
Qui a failli mettre l'un d'eux hors ligne

Le , par Stéphane le calme

83PARTAGES

12  0 
D’après un communiqué de presse de l’unité du cybercrime du comté de Maricopa (dans l'État de l'Arizona aux États-Unis), les forces de l’ordre ont arrêté Meetkumar Hiteshbhai Desai, un jeune adulte de 18 ans qui habite la région de Phoenix, accusé d’avoir inondé le système d'urgence 911.

Le bureau du shérif affirme que Desai a créé un exploit JavaScript qu’il a partagé sur Twitter et sur d’autres sites avec ses amis. Le hic ? Les personnes qui tentaient d’avoir accès au lien qu’il avait posté depuis des dispositifs iOS (iPhone ou iPad) voyaient leurs appareils lancé automatiquement encore et encore l’appel d’urgence 911.

Mais Desai a expliqué aux officiers qu’il était simplement intéressé par la découverte de failles sur iOS qu’il aurait pu rapporter à Apple et donc éventuellement gagner de l’argent ainsi que la reconnaissance de ses amis. Rappelons qu’en août, durant la conférence Black Hat, Apple a annoncé l’ouverture de son bug bounty program, même si l’éditeur d’iOS a précisé que, dans un premier temps, un groupe de chercheurs sélectionnés seraient éligibles pour pouvoir participer.

Desai a indiqué qu’il a eu un tuyau sur un bogue dans iOS qu'il a bien entendu réussi à exploiter. Au cours de ses essais, l'adolescent a écrit plusieurs scripts s’appuyant sur ce bogue qui pouvaient par exemple lancer composer un numéro de téléphone et lancer indéfiniment l’appel ou alors afficher des pop-ups ennuyeux.

Il a alors déclaré qu’il voulait piéger ses amis, pensant que ça serait drôle. Mais lorsqu’il a partagé le lien en ligne, il a mis une version qui, au lieu d’afficher des pop-ups, lançait un appel vers un numéro de téléphone, en l'occurrence le 911.

Les forces de l’ordre ont indiqué qu’il a partagé son lien sur Twitter où il a plus de 12 000 followers. Plus tard, l’enquête a permis aux autorités d’estimer à 1 849 personnes le nombre d’individus qui ont cliqué sur le lien. Les enquêteurs ont avancé que les appareils iOS de ces personnes ont commencé à lancer des appels d’urgence partout aux États-Unis puis à raccrocher. Les systèmes d'urgence du Texas à la Californie ont déclaré avoir observé un pic dans les appels raccrochés.

La région la plus touchée a été Phoenix, où Desai et la plupart de ses amis vivent. Le service de police de Peoria et le bureau du shérif du comté de Maricopa ont déclaré avoir reçu un grand nombre d'appels 911 qui se sont immédiatement soldés par un raccrochage, mais le département de police le plus touché était celui de Surprise, qui a reçu plus de 100 appels dans un court laps de temps, ce qui a failli mettre son système hors ligne.

En septembre dernier, les scientifiques du centre de recherche en cybersécurité de l’université Ben Gurion (Israël) ont publié les résultats de leur recherche qui stipulent qu’il faudrait environ 6000 smartphones pour mettre hors service un système d’urgence 911 par une attaque DDoS. .

Source : rapport du bureau du shérif du comté de Maricopa, 9-1-1 DDoS: Threat, Analysis and Mitigation (au format PDF)

Voir aussi :

Une attaque DDoS perturbe l'accès à de nombreux sites importants pendant plusieurs heures, essentiellement pour les internautes américains

Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs, a été publié en ligne

OVH victime de la plus violente attaque DDoS jamais enregistrée par un botnet de caméras connectées qui n'étaient pas sécurisées

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 28/10/2016 à 15:24
<trolldi>Apple, la sécurité à la portée des amateurs</trolldi>
2  0 
Avatar de abriotde
Membre expérimenté https://www.developpez.com
Le 28/10/2016 à 15:05
En France avec les nouvelle loi, si l'on prévient la société (Apple) on peux être condamné....
1  0 
Avatar de Lyons
Membre éclairé https://www.developpez.com
Le 28/10/2016 à 18:32
Si moins de 2'000 zombies sont suffisant pour mettre la moitié des centrale d'urgence d'un état en PLS c'est qu'une petite remise à neuf de leurs infrastructutres doit s'imposer...
1  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 28/10/2016 à 19:14
"CHEF !!!! J'ai la moitié de New-York qui sature le standard !!! Comment je fais ??!?"

Die Hard 3
1  0 
Avatar de blbird
Membre éprouvé https://www.developpez.com
Le 29/10/2016 à 9:55
Citation Envoyé par Lyons Voir le message
Si moins de 2'000 zombies sont suffisant pour mettre la moitié des centrale d'urgence d'un état en PLS c'est qu'une petite remise à neuf de leurs infrastructutres doit s'imposer...
Ah ben oui 2000 appels c'est tellement rien. Je ne vois pas comment leur infrastructure pourrait changer quelque chose au problème que cela cause.
1  0 
Avatar de Lyons
Membre éclairé https://www.developpez.com
Le 30/10/2016 à 15:38
Citation Envoyé par blbird Voir le message
Ah ben oui 2000 appels c'est tellement rien. Je ne vois pas comment leur infrastructure pourrait changer quelque chose au problème que cela cause.
Il me semble déceler un peu d'ironie
Oui 2'000 appels c'est rien. N'importe qui a les moyens de générer 2'000 appels / sec ('fin je sais pas sur quel interval de temps c'était mais ça semblerait logique de parler en terme d'appel / seconde).
Je suis complètement d'accord qu'il y aura toujours une limite au-delà de laquelle l'infrastructure sera saturée, mais si monsieur Dupont peut pousser le système jusqu'à cette limite depuis son salon, c'est qu'il y a un problème. On parle d'une centrale d'appel d'urgence, pas d'un numéro d'information genre 118 218 ça reste malgré tout une infrastructure sensible.
1  0 
Avatar de captaindidou
Inactif https://www.developpez.com
Le 28/10/2016 à 16:20
Bien joué, cornichon !
Ça va te valoir une belle amende et quelques jours à l'ombre, peut-être.
0  0 
Avatar de tomlev
Rédacteur/Modérateur https://www.developpez.com
Le 28/10/2016 à 16:38
Le bureau du shérif affirme que Desai a créé un exploit Java
Javascript, pas Java...

activate the telephone dialing feature on ios cell phones by utilizing a java script code that he created
Y a pas Java sur iOS
0  0 
Avatar de Fleur en plastique
Membre habitué https://www.developpez.com
Le 28/10/2016 à 17:18
J'espère que cet irresponsable criminel croupira de nombreuses années en prison.

En plus du délit d'intrusion dans un système informatique et du délit de création de logiciel malfaisant, en mettant hors service le 911, il peut très bien être indirectement responsable de décès ou d'invalidité temporaire ou permanente de nombreuses personnes qui auraient pu être sauvées si le 911 avait été fonctionnel, ce qui ajoute le chef d'inculpation de génocide involontaire.

On t'amènera des oranges, va. Ou pas. Ou alors j'aurais craché dedans d'abord.
0  0 
Avatar de noext
Membre à l'essai https://www.developpez.com
Le 28/10/2016 à 17:48
mais bien-sur , quand tu veux faire un test de spam tu met le 911 comme numero, ça parait cohérent
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web