Après l’attaque de Dyn, Philippe Humeau, directeur Stratégie du Groupe OT, s’interroge : Internet pourrait-il être totalement couper par une attaque massive
Le 21 octobre dernier, de nombreux services en ligne comme Twitter, AirBnB ou Spotify ont été indisponibles pendant quelques heures, affolant la sphère Internet. Cette perturbation de grande ampleur est le résultat d’une attaque DDoS (Distributed Denial of Service, ou déni de service distribué en français) massive sur les infrastructures du fournisseur de services DNS Dyn.
De nombreux articles expliquant cette attaque et ses conséquences directes, avec plus ou moins de détails et de manière plus ou moins technique, ont déjà fleuri sur la toile. Mais quelles sont les conséquences sur la sécurité informatique, à long terme, découlant de la faisabilité même d’une telle attaque ?
Internet sécurisé et décentralisé ? Pas tant que ça…
L’Internet étant à l’origine décentralisé, une attaque ne devrait pas pouvoir toucher l’ensemble du parc mondial. Même si on peut imaginer la chute de l’Internet, on a tout de même du mal à y croire. Pourtant, l’attaque DDoS sur Dyn montre bien qu’il existe des points de faiblesse pouvant impacter de grandes parties de l’Internet mondial.
Et à l’ère de la virtualisation et de l’augmentation massive de l’utilisation du Cloud Public, la décentralisation de l’Internet est un fait de moins en moins avéré. Nous avons justement tendance à rassembler nos systèmes d’information (architecture, services, données) chez de grands acteurs comme AWS ou Microsoft, qui bénéficient d’infrastructures énormes… et ne représentent plus qu’une cible unique, pouvant potentiellement toucher des milliers de système à la fois.
Cette tendance n’est pas mauvaise en soi, elle laisse notamment la place à des avancées technologiques comme le serverless, et simplifie l’administration des systèmes d’information. Cependant, elle nécessite une adaptation de la sécurité de ces systèmes informatiques en conséquence, à une époque où les attaques elles-mêmes évoluent de plus en plus rapidement.
Piratage informatique : plus d’imagination, plus de cibles
Jusqu’à présent, les DDoS étaient principalement réalisées grâce à la technique de l’IP spoofing UDP, consistant à usurper l’adresse de sa cible pour envoyer une requête de sa part vers un site tiers. C’est donc le site ciblé qui reçoit le résultat de la requête, mais avec un levier de x10 à x100. Pour 1 Mbps de paquets envoyés par les machines du pirate en utilisant l’adresse de sa cible, cette dernière reçoit donc 100 à 1000 Mbps de trafic réseau.
Les pirates ayant attaqué Dyn ont, eux, utilisé un autre mode opératoire, pour lequel il est très complexe de trouver une solution, ne serait-ce qu’hypothétique. En effet, plutôt que d’usurper des adresses IP, ils ont directement utilisé les machines elles-mêmes. Après avoir récupéré une liste d’objets connectés (en scannant tout Internet, le « 0/0 »), ils ont utilisé le malware Mirai pour en faire des « machines zombies » (soit un « botnet »). Une fois cela fait, il est trop tard pour revenir en arrière : la machine est obéissante, mais les requêtes sont considérées comme « légitimes » puisqu’elles sont envoyées d’une « vraie » machine avec son IP propre. Il est donc encore plus compliqué de les repérer en amont.
Une attaque de cette ampleur, est une nouveauté dans le domaine de la sécurité informatique, mais la méthode elle-même est aussi un facteur « nouveau » ! Pourtant, les objets connectés ne sont pas les seuls gigantesques parcs de machines pouvant être utilisés comme un ensemble de machines zombie… En 2016, selon Gartner, 5,5 milliards d’objets connectés seront utilisés [1]. Mais fin 2014, on comptait déjà sept milliards d’abonnements mobiles dans le monde, soit l’équivalent de 96% de la population mondiale [2] ! Et en 2019, ce pourrait être près de 9,2 milliards de téléphones qui seront connectés [3]. Et contrairement à beaucoup d’objets connectés, les téléphones se déplacent avec leur propriétaire… Cela rendrait, par exemple, relativement simple la propagation d’un ver se transmettant via Wi-Fi.
Si des pirates parviennent à se composer un parc de machines-zombie composé de téléphones portables, l’étendue de ce parc pourrait ainsi augmenter de manière exponentielle… Cela ressemble à un scénario catastrophe, et pourtant ce n’est qu’un exemple d’attaque, pas si improbable que ça ! Les pirates informatiques savent être très imaginatifs et, on l’a vu, n’ont pas nécessairement peur de réaliser des attaques de grande ampleur. Les risques sont donc bien réels.
Sécurité informatique : une évolution trop lente des mentalités
La meilleure solution pour se protéger de ce type d’attaque, c’est la protection optimale, en amont, de l’ensemble des comptes en lignes et machines connectées à Internet. La majorité des objets connectés infectés par Mirai l’ont été parce qu’ils partageaient le même mot de passe, défini par le constructeur et non changé par les utilisateurs. Certes, la sécurité informatique devient aujourd’hui une inquiétude publique et mondiale, et les mentalités des utilisateurs comme des fournisseurs de solutions évoluent dans le bon sens. Cependant, le niveau de protection global est encore bien trop bas par rapport aux risques encourus, qui eux évoluent très rapidement.
Nous savons tous aujourd’hui qu’il faut protéger nos téléphones, ordinateurs et comptes avec différents mots de passe, qu’il faut changer ces derniers régulièrement, qu’il faut faire attention aux mails malveillants, etc. Malgré cette prise de conscience, tous ne suivent pas ces règles, même sur des comptes critiques. Ce manque de réactivité des utilisateurs se voit également au niveau des mises à jour logicielles. Il n’est pas rare de trouver des machines toujours vulnérables à une vieille faille de sécurité, même des années après la publication du correctif. Sur ces actions de protection simples à mettre en place, les utilisateurs n’ont pas d’excuse.
Cependant, même si de nombreux outils sont de plus en plus accessibles, ces mêmes utilisateurs sont vite découragés quand une action technique, qu’ils ne comprennent pas nécessairement, est demandée pour ajouter un niveau de protection.
La protection des utilisateurs revient donc, pour une grande part, aux constructeurs et fournisseurs. Il ne suffit parfois pas de grand-chose pour améliorer la sécurité des produits, et de telles actions pourraient avoir un grand impact sur la sécurité globale du Web. Par exemple, plutôt que de définir le même mot de passe sur tous ses produits, un constructeur pourrait prévoir une génération aléatoire de mots de passe depuis l’adresse MAC individuelle de chacun de ces derniers. Cela limiterait les risques de piratage massif, même si l’utilisateur oublie de changer le mot de passe.
La sécurité du Web est l’affaire de tous
Des attaques du même type que cette DDoS massive, même si elles sont encore rares, ne resteront pas exceptionnelles éternellement. Les proportions des attaques par déni de service ne font qu’augmenter depuis leurs débuts, et ce n’est pas prêt de s’arrêter… Bruce Schneier, spécialiste reconnu en sécurité informatique, s’inquiète même que quelqu’un soit en train de scanner les points faibles du net pour le faire tomber !
Des décisions et accords internationaux et inter-fournisseurs seront probablement nécessaires dans le futur pour s’adapter à ces évolutions. Mais en attendant, chacun d’entre nous se doit d’être vigilant… Il est notamment conseillé aux entreprises d’étudier la nécessité et la faisabilité d’un plan de sécurité informatique hors Internet. Souvenez-vous : on n’est jamais trop prudent !
