En voulant faire une blague à ses amis, il déclenche une attaque DDoS contre des systèmes d'urgence 911
Qui a failli mettre l'un d'eux hors ligne
Le 2016-10-28 13:38:12, par Stéphane le calme, Chroniqueur Actualités
D’après un communiqué de presse de l’unité du cybercrime du comté de Maricopa (dans l'État de l'Arizona aux États-Unis), les forces de l’ordre ont arrêté Meetkumar Hiteshbhai Desai, un jeune adulte de 18 ans qui habite la région de Phoenix, accusé d’avoir inondé le système d'urgence 911.
Le bureau du shérif affirme que Desai a créé un exploit JavaScript qu’il a partagé sur Twitter et sur d’autres sites avec ses amis. Le hic ? Les personnes qui tentaient d’avoir accès au lien qu’il avait posté depuis des dispositifs iOS (iPhone ou iPad) voyaient leurs appareils lancé automatiquement encore et encore l’appel d’urgence 911.
Mais Desai a expliqué aux officiers qu’il était simplement intéressé par la découverte de failles sur iOS qu’il aurait pu rapporter à Apple et donc éventuellement gagner de l’argent ainsi que la reconnaissance de ses amis. Rappelons qu’en août, durant la conférence Black Hat, Apple a annoncé l’ouverture de son bug bounty program, même si l’éditeur d’iOS a précisé que, dans un premier temps, un groupe de chercheurs sélectionnés seraient éligibles pour pouvoir participer.
Desai a indiqué qu’il a eu un tuyau sur un bogue dans iOS qu'il a bien entendu réussi à exploiter. Au cours de ses essais, l'adolescent a écrit plusieurs scripts s’appuyant sur ce bogue qui pouvaient par exemple lancer composer un numéro de téléphone et lancer indéfiniment l’appel ou alors afficher des pop-ups ennuyeux.
Il a alors déclaré qu’il voulait piéger ses amis, pensant que ça serait drôle. Mais lorsqu’il a partagé le lien en ligne, il a mis une version qui, au lieu d’afficher des pop-ups, lançait un appel vers un numéro de téléphone, en l'occurrence le 911.
Les forces de l’ordre ont indiqué qu’il a partagé son lien sur Twitter où il a plus de 12 000 followers. Plus tard, l’enquête a permis aux autorités d’estimer à 1 849 personnes le nombre d’individus qui ont cliqué sur le lien. Les enquêteurs ont avancé que les appareils iOS de ces personnes ont commencé à lancer des appels d’urgence partout aux États-Unis puis à raccrocher. Les systèmes d'urgence du Texas à la Californie ont déclaré avoir observé un pic dans les appels raccrochés.
La région la plus touchée a été Phoenix, où Desai et la plupart de ses amis vivent. Le service de police de Peoria et le bureau du shérif du comté de Maricopa ont déclaré avoir reçu un grand nombre d'appels 911 qui se sont immédiatement soldés par un raccrochage, mais le département de police le plus touché était celui de Surprise, qui a reçu plus de 100 appels dans un court laps de temps, ce qui a failli mettre son système hors ligne.
En septembre dernier, les scientifiques du centre de recherche en cybersécurité de l’université Ben Gurion (Israël) ont publié les résultats de leur recherche qui stipulent qu’il faudrait environ 6000 smartphones pour mettre hors service un système d’urgence 911 par une attaque DDoS. .
Source : rapport du bureau du shérif du comté de Maricopa, 9-1-1 DDoS: Threat, Analysis and Mitigation (au format PDF)
Voir aussi :
Une attaque DDoS perturbe l'accès à de nombreux sites importants pendant plusieurs heures, essentiellement pour les internautes américains
Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs, a été publié en ligne
OVH victime de la plus violente attaque DDoS jamais enregistrée par un botnet de caméras connectées qui n'étaient pas sécurisées
Le bureau du shérif affirme que Desai a créé un exploit JavaScript qu’il a partagé sur Twitter et sur d’autres sites avec ses amis. Le hic ? Les personnes qui tentaient d’avoir accès au lien qu’il avait posté depuis des dispositifs iOS (iPhone ou iPad) voyaient leurs appareils lancé automatiquement encore et encore l’appel d’urgence 911.
Mais Desai a expliqué aux officiers qu’il était simplement intéressé par la découverte de failles sur iOS qu’il aurait pu rapporter à Apple et donc éventuellement gagner de l’argent ainsi que la reconnaissance de ses amis. Rappelons qu’en août, durant la conférence Black Hat, Apple a annoncé l’ouverture de son bug bounty program, même si l’éditeur d’iOS a précisé que, dans un premier temps, un groupe de chercheurs sélectionnés seraient éligibles pour pouvoir participer.
Desai a indiqué qu’il a eu un tuyau sur un bogue dans iOS qu'il a bien entendu réussi à exploiter. Au cours de ses essais, l'adolescent a écrit plusieurs scripts s’appuyant sur ce bogue qui pouvaient par exemple lancer composer un numéro de téléphone et lancer indéfiniment l’appel ou alors afficher des pop-ups ennuyeux.
Il a alors déclaré qu’il voulait piéger ses amis, pensant que ça serait drôle. Mais lorsqu’il a partagé le lien en ligne, il a mis une version qui, au lieu d’afficher des pop-ups, lançait un appel vers un numéro de téléphone, en l'occurrence le 911.
Les forces de l’ordre ont indiqué qu’il a partagé son lien sur Twitter où il a plus de 12 000 followers. Plus tard, l’enquête a permis aux autorités d’estimer à 1 849 personnes le nombre d’individus qui ont cliqué sur le lien. Les enquêteurs ont avancé que les appareils iOS de ces personnes ont commencé à lancer des appels d’urgence partout aux États-Unis puis à raccrocher. Les systèmes d'urgence du Texas à la Californie ont déclaré avoir observé un pic dans les appels raccrochés.
La région la plus touchée a été Phoenix, où Desai et la plupart de ses amis vivent. Le service de police de Peoria et le bureau du shérif du comté de Maricopa ont déclaré avoir reçu un grand nombre d'appels 911 qui se sont immédiatement soldés par un raccrochage, mais le département de police le plus touché était celui de Surprise, qui a reçu plus de 100 appels dans un court laps de temps, ce qui a failli mettre son système hors ligne.
En septembre dernier, les scientifiques du centre de recherche en cybersécurité de l’université Ben Gurion (Israël) ont publié les résultats de leur recherche qui stipulent qu’il faudrait environ 6000 smartphones pour mettre hors service un système d’urgence 911 par une attaque DDoS. .
Source : rapport du bureau du shérif du comté de Maricopa, 9-1-1 DDoS: Threat, Analysis and Mitigation (au format PDF)
Voir aussi :
-
BufferBobExpert éminent<trolldi>Apple, la sécurité à la portée des amateurs</trolldi>le 28/10/2016 à 15:24
-
abriotdeMembre chevronnéEn France avec les nouvelle loi, si l'on prévient la société (Apple) on peux être condamné....le 28/10/2016 à 15:05
-
LyonsMembre éclairéSi moins de 2'000 zombies sont suffisant pour mettre la moitié des centrale d'urgence d'un état en PLS c'est qu'une petite remise à neuf de leurs infrastructutres doit s'imposer...le 28/10/2016 à 18:32
-
marsupialExpert éminent"CHEF !!!! J'ai la moitié de New-York qui sature le standard !!! Comment je fais ??!?"
Die Hard 3le 28/10/2016 à 19:14 -
blbirdMembre chevronnéAh ben oui 2000 appels c'est tellement rien. Je ne vois pas comment leur infrastructure pourrait changer quelque chose au problème que cela cause.le 29/10/2016 à 9:55
-
LyonsMembre éclairéIl me semble déceler un peu d'ironie
Oui 2'000 appels c'est rien. N'importe qui a les moyens de générer 2'000 appels / sec ('fin je sais pas sur quel interval de temps c'était mais ça semblerait logique de parler en terme d'appel / seconde).
Je suis complètement d'accord qu'il y aura toujours une limite au-delà de laquelle l'infrastructure sera saturée, mais si monsieur Dupont peut pousser le système jusqu'à cette limite depuis son salon, c'est qu'il y a un problème. On parle d'une centrale d'appel d'urgence, pas d'un numéro d'information genre 118 218ça reste malgré tout une infrastructure sensible. le 30/10/2016 à 15:38 -
captaindidouInactifBien joué, cornichon !
Ça va te valoir une belle amende et quelques jours à l'ombre, peut-être.le 28/10/2016 à 16:20 -
tomlevRédacteur/ModérateurLe bureau du shérif affirme que Desai a créé un exploit Javaactivate the telephone dialing feature on ios cell phones by utilizing a java script code that he createdle 28/10/2016 à 16:38
-
Fleur en plastiqueMembre extrêmement actifJ'espère que cet irresponsable criminel croupira de nombreuses années en prison.
En plus du délit d'intrusion dans un système informatique et du délit de création de logiciel malfaisant, en mettant hors service le 911, il peut très bien être indirectement responsable de décès ou d'invalidité temporaire ou permanente de nombreuses personnes qui auraient pu être sauvées si le 911 avait été fonctionnel, ce qui ajoute le chef d'inculpation de génocide involontaire.
On t'amènera des oranges, va. Ou pas. Ou alors j'aurais craché dedans d'abord.le 28/10/2016 à 17:18 -
noextMembre à l'essaimais bien-sur , quand tu veux faire un test de spam tu met le 911 comme numero, ça parait cohérentle 28/10/2016 à 17:48