Twitter, Spotify, Netflix, CNN, Airbnb, eBay... Tous ces sites sont restés inaccessibles une bonne partie de l'après-midi et de la soirée vendredi dernier. En cause, une cyberattaque géante menée contre l'entreprise américaine Dyn chargée de rediriger le flux Internet vers les hébergeurs des différents sites. Dans la nuit de lundi à mardi, le ministre de la Sécurité intérieure américain, Jeh Johnson, a indiqué que l'attaque avait été "neutralisée". De nombreuses questions restent posées. Explications.
Comment les pirates ont-ils paralysé ces sites Internet ?
Pour bloquer plusieurs sites Internet sans avoir à les attaquer un par un, les pirates ont choisi de s'attaquer à l'un de leurs fournisseur de service, la société américaine Dyn. Inconnue du grand public, cette entreprise gère les DNS. Autrement-dit, elle se charge de rediriger le trafic Internet vers les hébergeurs des sites de ses clients. Pour l'attaquer, le ou les pirates ont mené une attaque dite DDoS ou de déni de service.
Derrière ce nom un peu barbare, se cache un principe simple. Afin de saturer les serveurs de Dyn et de les rendre totalement inaccessibles, les pirates leurs ont envoyé un nombre gigantesque de requêtes. En envoyant des "dizaines de millions" de demandes via des adresses IP (l'adresse donnée à chaque objet connecté à Internet), les pirates ont réussi à paralyser les serveurs de Dyn durant près d'une demi-journée. Ce type d'attaque est loin d'être nouveau, une tentative du même genre avait touché l'hébergeur français OVH fin septembre, mais son ampleur est particulièrement importante ici.
Surtout, la véritable nouveauté de cette attaque vient des objets utilisés pour envoyer les requêtes à Dyn. Ce ne sont pas - comme précédemment - des ordinateurs qui ont été utilisés, mais des objets connectés. Des « dizaines de millions » d'objets connectés, souvent peu ou non sécurisés, comme des caméras connectées, mais aussi des baby-phone ont été détournés par les hackers de leur usage premier afin de mener l'attaque, sans que leurs propriétaires ne puissent s'en rendre compte.
Comment des objets connectés ont-ils pu se transformer en virus ?
Mirai. Ce nom ne vous évoque probablement rien et pourtant, avec Dyn et DDoS, il fait partie des mots-clés de cette cyberattaque géante. Ce nom est celui du virus utilisé par les pirates pour l'attaque qui a rendu inaccessible des dizaines de sites Internet. Ce virus qui tire profit du faible niveau de sécurité des objets connectés les transforme en robots capables d'envoyer des requêtes à des serveurs.
Et le virus est extrêmement facile à se procurer. Et pour cause, il est accessible gratuitement sur Internet. Publié par un utilisateur s'appelant "Anna-senpai", le logiciel (code source) derrière ce virus peut être utilisé par toute personne le souhaitant. Il peut sembler étonnant de mettre à disposition du plus grand nombre le code source d'un virus, cela facilitant sa détection par les systèmes de sécurité. Pourtant, l'internaute, cité par The Verge, explique avoir déjà gagné de l'argent et le publier car les experts de la sécurité commencent à s'y intéresser. Car, la mise en ligne du code source permet aussi à n'importe quel internaute de le modifier pour déjouer les sécurités mises en place dans les entreprises.
Faut-il s'attendre à d'autres attaques ?
Dans l'état actuel des choses on peut craindre que oui. Les objets connectés sont amenés à se multiplier depuis quelques années. Caméras de surveillance, réfrigérateur, téléviseur, alarme, serrure, machine à laver… la quasi-totalité des objets qui nous entourent peuvent désormais être connectés ou le seront dans un futur proche. Les analyses estiment que d'ici à 2020, le Monde comptera plus de 20 milliards d'objets connectés.
Or, ces objets connectés sont généralement très mal sécurisés, voire ne le sont pas du tout. C'est notamment ce faible niveau de sécurité qui a rendu possible le piratage de vendredi. Et, sauf à sécuriser rapidement leurs failles de sécurité - ce qui est difficilement envisageable à court terme - plusieurs millions d'objets connectés peuvent encore être utilisés pour mener une attaque du même type.
D'autant que la menace n'est pas nouvelle et est largement connue depuis plusieurs mois. Début octobre, le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques recommandait par exemple "la plus grande prudence lors de l'installation d'objets connectés sur Internet", indiquant que "les logiciels embarqués dans ces objets peuvent contenir des vulnérabilités". Ils étaient considérés comme "des cibles faciles pour des attaques qui pourront les utiliser".
Pour éviter que cela ne se reproduise, le ministre de la sécurité intérieure américain a annoncé lundi soir, que les autorités "travaillent avec les forces de l’ordre, le secteur privé et la communauté scientifique pour développer les moyens de neutraliser [ce logiciel] et d’autres logiciels malveillants qui y sont liés".
Qui est à l'origine de l'attaque ?
Le virus étant disponible gratuitement sur Internet, impossible pour le moment de savoir qui se cache derrière cette attaque géante. Une enquête, confiée au FBI, est en cours et devra déterminer l'origine de ce black-out. En attendant, plusieurs experts en sécurité pointent du doigt la Chine ou la Russie. Pour, Ben Johnson, ex-hacker pour l'agence américaine de renseignement NSA, la "sophistication" et la "précision" de cette attaque pointent bien un Etat.