Vendredi, plusieurs sites Web - dont quelques-uns très populaires - ont été inaccessibles pour des internautes en raison d'une attaque par déni de service distribué qui a ciblé le prestataire américain de services DNS dénommé Dyn.

Une première cyberattaque a ciblé l'infrastructure de gestion DNS de Dyn dans la région de l'Est des États-Unis. Elle a été résorbée au bout de 2 heures. Une deuxième cyberattaque répartie de manière plus globale a suivi et a été contrée en 1 heure. Une troisième tentative de cyberattaque n'a pas eu d'effet.

Cette cyberattaque a mis en lumière une certaine fragilité d'Internet avec des sites n'ayant qu'un seul et unique fournisseur de service DNS pour permettre aux internautes de faire le lien entre une adresse saisie dans le navigateur et leur adresse IP.

Cela étant, Dyn est évidemment habitué à atténuer les effets d'attaques DDoS. Celle de vendredi est considérée comme sophistiquée et hautement distribuée. À ce stade de l'enquête, il est avéré qu'elle s'est appuyée sur des dizaines de millions d'adresses IP associées au botnet Mirai.

Un compte Twitter (@MiraiAttacks) utilise des données compilées par les chercheurs en sécurité MalwareTech et 2sec4u qui cartographient la propagation du malware à l'origine du ou plutôt des botnets Mirai. Ce compte Twitter publie en temps réel des attaques DDoS en cours qui sont lancées par des bataillons d'objets connectés compromis par Mirai. Il affiche les adresses IP ciblées par les botnets.

Nous avions déjà évoqué le cas de Mirai dans nos colonnes, et notamment pour signaler la libération du code source du cheval de Troie de ce botnet de l'Internet des Objets, d'où l'existence de plusieurs botnets.

Un botnet Mirai en Open Source
Le malware infecte des objets connectés et n'a de cesse d'en chercher d'autres à infecter. Le souci est l'emploi d'identifiants d'usine par défaut (faciles à trouver et rarement modifiés par les utilisateurs ; certains sont codés en dur dans le malware) avec des interfaces d'accès Web ou des services comme Telnet, SSH qui peuvent être détournés.

La société de cybersécurité Flashpoint - qui a aidé Dyn pour l'analyse de la cyberattaque - met notamment en cause des objets connectés avec un firmware de XiongMai où les mots de passe sont codés en dur, de même que le service Telnet dans un script /etc/init.d/rcS qui est le premier à être lancé au démarrage. Tout ceci n'est alors pas facile à changer.

Avec la cyberattaque de vendredi, la prise de conscience est sévère pour l'industrie des objets connectés. Un électrochoc qui devrait l'amener à réagir et enfin prêter oreille attentive aux alertes répétées d'experts en sécurité. Un problème est que les objets connectés constituent un environnement hétérogène et la question de la sécurité n'est pas suffisamment prise en compte par tous (elle est aussi coûteuse). La majeure partie de ces objets ne propose pas - ou très peu - de mises à jour.

Il sera difficile d'attribuer la paternité de la cyberattaque de la semaine dernière, d'autant plus en tenant compte du fait de la libération en open source de Mirai. Cette libération était peut-être l'effet recherché pour brouiller les pistes et un prérequis à des actions retentissantes.