En voulant faire une blague à ses amis, il déclenche une attaque DDoS contre des systèmes d'urgence 911

D’après un communiqué de presse de l’unité du cybercrime du comté de Maricopa (dans l'État de l'Arizona aux États-Unis), les forces de l’ordre ont arrêté Meetkumar Hiteshbhai Desai, un jeune adulte de 18 ans qui habite la région de Phoenix, accusé d’avoir inondé le système d'urgence 911.

Le bureau du shérif affirme que Desai a créé un exploit JavaScript qu’il a partagé sur Twitter et sur d’autres sites avec ses amis. Le hic ? Les personnes qui tentaient d’avoir accès au lien qu’il avait posté depuis des dispositifs iOS (iPhone ou iPad) voyaient leurs appareils lancé automatiquement encore et encore l’appel d’urgence 911.

Mais Desai a expliqué aux officiers qu’il était simplement intéressé par la découverte de failles sur iOS qu’il aurait pu rapporter à Apple et donc éventuellement gagner de l’argent ainsi que la reconnaissance de ses amis. Rappelons qu’en août, durant la conférence Black Hat, Apple a annoncé l’ouverture de son bug bounty program, même si l’éditeur d’iOS a précisé que, dans un premier temps, un groupe de chercheurs sélectionnés seraient éligibles pour pouvoir participer.

Desai a indiqué qu’il a eu un tuyau sur un bogue dans iOS qu'il a bien entendu réussi à exploiter. Au cours de ses essais, l'adolescent a écrit plusieurs scripts s’appuyant sur ce bogue qui pouvaient par exemple lancer composer un numéro de téléphone et lancer indéfiniment l’appel ou alors afficher des pop-ups ennuyeux.

Il a alors déclaré qu’il voulait piéger ses amis, pensant que ça serait drôle. Mais lorsqu’il a partagé le lien en ligne, il a mis une version qui, au lieu d’afficher des pop-ups, lançait un appel vers un numéro de téléphone, en l'occurrence le 911.

Les forces de l’ordre ont indiqué qu’il a partagé son lien sur Twitter où il a plus de 12 000 followers. Plus tard, l’enquête a permis aux autorités d’estimer à 1 849 personnes le nombre d’individus qui ont cliqué sur le lien. Les enquêteurs ont avancé que les appareils iOS de ces personnes ont commencé à lancer des appels d’urgence partout aux États-Unis puis à raccrocher. Les systèmes d'urgence du Texas à la Californie ont déclaré avoir observé un pic dans les appels raccrochés.

La région la plus touchée a été Phoenix, où Desai et la plupart de ses amis vivent. Le service de police de Peoria et le bureau du shérif du comté de Maricopa ont déclaré avoir reçu un grand nombre d'appels 911 qui se sont immédiatement soldés par un raccrochage, mais le département de police le plus touché était celui de Surprise, qui a reçu plus de 100 appels dans un court laps de temps, ce qui a failli mettre son système hors ligne.

En septembre dernier, les scientifiques du centre de recherche en cybersécurité de l’université Ben Gurion (Israël) ont publié les résultats de leur recherche qui stipulent qu’il faudrait environ 6000 smartphones pour mettre hors service un système d’urgence 911 par une attaque DDoS. .

Source : rapport du bureau du shérif du comté de Maricopa, 9-1-1 DDoS: Threat, Analysis and Mitigation (au format PDF)

Voir aussi :

Une attaque DDoS perturbe l'accès à de nombreux sites importants pendant plusieurs heures, essentiellement pour les internautes américains

Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs, a été publié en ligne

OVH victime de la plus violente attaque DDoS jamais enregistrée par un botnet de caméras connectées qui n'étaient pas sécurisées