En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    IT & IT Security Meetings 2018

    IT Meetings devient IT & IT Security Meetings et ouvrira ses portes en mars, du…

    en détail En détail...
  • 20/03/2018
    Mobility Meetings, toutes les solutions mobiles

    Lancement d’un nouveau salon Mobility Meetings, qui aura lieu à Cannes les 20, 21 et…

    en détail En détail...
Appels d'offres en cours
  • Accompagnement développement Windev pour une société dans l'événementiel
    A déterminer €
    > En savoir plus
  • Création d'un site eCommerce pour de la vente de prêt-à-porter
    < 6 000 €
    > En savoir plus
  • Designer de produits grand public
    A déterminer €
    > En savoir plus
GlobalK_Lean_leaderboard

DDoS de Dyn : une cyberattaque pourrait-elle couper Internet ?

ITrust_SOC_pave

Après l’attaque de Dyn, Philippe Humeau, directeur Stratégie du Groupe OT, s’interroge : Internet pourrait-il être totalement couper par une attaque massive

Le 21 octobre dernier, de nombreux services en ligne comme Twitter, AirBnB ou Spotify ont été indisponibles pendant quelques heures, affolant la sphère Internet. Cette perturbation de grande ampleur est le résultat d’une attaque DDoS (Distributed Denial of Service, ou déni de service distribué en français) massive sur les infrastructures du fournisseur de services DNS Dyn.

De nombreux articles expliquant cette attaque et ses conséquences directes, avec plus ou moins de détails et de manière plus ou moins technique, ont déjà fleuri sur la toile. Mais quelles sont les conséquences sur la sécurité informatique, à long terme, découlant de la faisabilité même d’une telle attaque ?

Internet sécurisé et décentralisé ? Pas tant que ça…

L’Internet étant à l’origine décentralisé, une attaque ne devrait pas pouvoir toucher l’ensemble du parc mondial. Même si on peut imaginer la chute de l’Internet, on a tout de même du mal à y croire. Pourtant, l’attaque DDoS sur Dyn montre bien qu’il existe des points de faiblesse pouvant impacter de grandes parties de l’Internet mondial.

Et à l’ère de la virtualisation et de l’augmentation massive de l’utilisation du Cloud Public, la décentralisation de l’Internet est un fait de moins en moins avéré. Nous avons justement tendance à rassembler nos systèmes d’information (architecture, services, données) chez de grands acteurs comme AWS ou Microsoft, qui bénéficient d’infrastructures énormes… et ne représentent plus qu’une cible unique, pouvant potentiellement toucher des milliers de système à la fois.

Cette tendance n’est pas mauvaise en soi, elle laisse notamment la place à des avancées technologiques comme le serverless, et simplifie l’administration des systèmes d’information. Cependant, elle nécessite une adaptation de la sécurité de ces systèmes informatiques en conséquence, à une époque où les attaques elles-mêmes évoluent de plus en plus rapidement.

Piratage informatique : plus d’imagination, plus de cibles

Jusqu’à présent, les DDoS étaient principalement réalisées grâce à la technique de l’IP spoofing UDP, consistant à usurper l’adresse de sa cible pour envoyer une requête de sa part vers un site tiers. C’est donc le site ciblé qui reçoit le résultat de la requête, mais avec un levier de x10 à x100. Pour 1 Mbps de paquets envoyés par les machines du pirate en utilisant l’adresse de sa cible, cette dernière reçoit donc 100 à 1000 Mbps de trafic réseau.

Les pirates ayant attaqué Dyn ont, eux, utilisé un autre mode opératoire, pour lequel il est très complexe de trouver une solution, ne serait-ce qu’hypothétique. En effet, plutôt que d’usurper des adresses IP, ils ont directement utilisé les machines elles-mêmes. Après avoir récupéré une liste d’objets connectés (en scannant tout Internet, le « 0/0 »), ils ont utilisé le malware Mirai pour en faire des « machines zombies » (soit un « botnet »). Une fois cela fait, il est trop tard pour revenir en arrière : la machine est obéissante, mais les requêtes sont considérées comme « légitimes » puisqu’elles sont envoyées d’une « vraie » machine avec son IP propre. Il est donc encore plus compliqué de les repérer en amont.

Une attaque de cette ampleur, est une nouveauté dans le domaine de la sécurité informatique, mais la méthode elle-même est aussi un facteur « nouveau » ! Pourtant, les objets connectés ne sont pas les seuls gigantesques parcs de machines pouvant être utilisés comme un ensemble de machines zombie… En 2016, selon Gartner, 5,5 milliards d’objets connectés seront utilisés [1]. Mais fin 2014, on comptait déjà sept milliards d’abonnements mobiles dans le monde, soit l’équivalent de 96% de la population mondiale [2] ! Et en 2019, ce pourrait être près de 9,2 milliards de téléphones qui seront connectés [3]. Et contrairement à beaucoup d’objets connectés, les téléphones se déplacent avec leur propriétaire… Cela rendrait, par exemple, relativement simple la propagation d’un ver se transmettant via Wi-Fi.

Si des pirates parviennent à se composer un parc de machines-zombie composé de téléphones portables, l’étendue de ce parc pourrait ainsi augmenter de manière exponentielle… Cela ressemble à un scénario catastrophe, et pourtant ce n’est qu’un exemple d’attaque, pas si improbable que ça ! Les pirates informatiques savent être très imaginatifs et, on l’a vu, n’ont pas nécessairement peur de réaliser des attaques de grande ampleur. Les risques sont donc bien réels.

Sécurité informatique : une évolution trop lente des mentalités

La meilleure solution pour se protéger de ce type d’attaque, c’est la protection optimale, en amont, de l’ensemble des comptes en lignes et machines connectées à Internet. La majorité des objets connectés infectés par Mirai l’ont été parce qu’ils partageaient le même mot de passe, défini par le constructeur et non changé par les utilisateurs. Certes, la sécurité informatique devient aujourd’hui une inquiétude publique et mondiale, et les mentalités des utilisateurs comme des fournisseurs de solutions évoluent dans le bon sens. Cependant, le niveau de protection global est encore bien trop bas par rapport aux risques encourus, qui eux évoluent très rapidement.

Nous savons tous aujourd’hui qu’il faut protéger nos téléphones, ordinateurs et comptes avec différents mots de passe, qu’il faut changer ces derniers régulièrement, qu’il faut faire attention aux mails malveillants, etc. Malgré cette prise de conscience, tous ne suivent pas ces règles, même sur des comptes critiques. Ce manque de réactivité des utilisateurs se voit également au niveau des mises à jour logicielles. Il n’est pas rare de trouver des machines toujours vulnérables à une vieille faille de sécurité, même des années après la publication du correctif. Sur ces actions de protection simples à mettre en place, les utilisateurs n’ont pas d’excuse.

Cependant, même si de nombreux outils sont de plus en plus accessibles, ces mêmes utilisateurs sont vite découragés quand une action technique, qu’ils ne comprennent pas nécessairement, est demandée pour ajouter un niveau de protection.

La protection des utilisateurs revient donc, pour une grande part, aux constructeurs et fournisseurs. Il ne suffit parfois pas de grand-chose pour améliorer la sécurité des produits, et de telles actions pourraient avoir un grand impact sur la sécurité globale du Web. Par exemple, plutôt que de définir le même mot de passe sur tous ses produits, un constructeur pourrait prévoir une génération aléatoire de mots de passe depuis l’adresse MAC individuelle de chacun de ces derniers. Cela limiterait les risques de piratage massif, même si l’utilisateur oublie de changer le mot de passe.

La sécurité du Web est l’affaire de tous 

Des attaques du même type que cette DDoS massive, même si elles sont encore rares, ne resteront pas exceptionnelles éternellement. Les proportions des attaques par déni de service ne font qu’augmenter depuis leurs débuts, et ce n’est pas prêt de s’arrêter… Bruce Schneier, spécialiste reconnu en sécurité informatique, s’inquiète même que quelqu’un soit en train de scanner les points faibles du net pour le faire tomber !

Des décisions et accords internationaux et inter-fournisseurs seront probablement nécessaires dans le futur pour s’adapter à ces évolutions. Mais en attendant, chacun d’entre nous se doit d’être vigilant… Il est notamment conseillé aux entreprises d’étudier la nécessité et la faisabilité d’un plan de sécurité informatique hors Internet. Souvenez-vous : on n’est jamais trop prudent !

 

 

DDoS de Dyn : une cyberattaque pourrait-elle couper Internet ?
Notez cet article

Laisser un commentaire

GDPR VS ISO

L’apport de la gestion des accès à privilèges (PAM) à la conformité réglementaire.Une cartographie comparative. Lire le livre blanc

Lire le livre blanc

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Sécurité des données clients : la CNIL inflige une sanction de 100 000 € à Darty

    La CNIL prononce une sanction de 100 000 euros à l’encontre de Darty pour ne pas…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Shadow IT et RGPD : le CASB, un "sas protecteur entre Cloud et utilisateurs", Joël Mollo, Skyhigh

    L’utilisation par les employés de services Cloud non validés par leur direction informatique représente un…

    > En savoir plus...
Etudes/Enquêtes
  • Digitalisation de l'entreprise : au-delà des outils, les collaborateurs attendent des nouvelles pratiques managériales et organisationnelles

    Si les signes d'une révolution digitale sont tangibles pour les salariés, ils sont essentiellement liés…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

banniere_FIC2018_skycrapper
Agenda
livres blancs
Les Livres
Blancs
  • Comment la signature électronique a permis à Salesforce, LinkedIn, et McAfee d’ améliorer leurs performances.

    > Voir le livre
  • Guide du Cloud Public

    > Voir le livre
GlobalK_Lean_skycraper