La poubelle des objets connectés est déjà là

La semaine dernière, le site Web de Brian Krebs a été la cible d’une attaque en déni de service d’une ampleur record : de l’ordre de 620 Gbps. Jusque-là, en 2016, Akamai, qui protégeait gracieusement le site de notre confrère avant cet incident, n’avait pas observé d’attaque DDoS de plus de 363 Gbps. Surtout, la plupart de ces attaques ont recours à des techniques de réflexion et/ou, surtout, d’amplification. Mais là, rien de tout cela selon Akamai : les attaquants ont brutalement tenté de noyer les serveurs visés sous des requêtes SYN, GET et POST. Autre originalité, « ce qui fut peut-être le plus gros de l’attaque est venu sous la forme de trafic conçu pour ressembler à des paquets conformes au protocole GRE », une surprise pour Akamai. Car avec ce protocole conçu pour permettre les communications point-à-point directes sur Internet, pour constituer un réseau privé virtuel par exemple, il n’est pas possible d’usurper l’identité du point de départ de l’attaque. Dès lors, pour Akamai, il apparaît probable que cette attaque ait été lancée par « un vaste ensemble de systèmes piratés – peut-être des centaines de milliers de systèmes ». De quoi faire dire à ses experts que « quelqu’un a un botnet aux capacités que l’on n’a pas observées auparavant ».

OVH a peut-être des éléments là-dessus. Octave Klaba, fondateur et directeur de l’hébergeur français a observé un botnet qu’il décrit comme capable de lancer des attaques en DDoS de plus de 1,5 Tbps sur le protocole TCP. Ce botnet serait composé de plus de 145 000 objets connectés et détournés, caméras et enregistreurs vidéo numériques selon Octave Klaba.  

This botnet with 145607 cameras/dvr (1-30Mbps per IP) is able to send >1.5Tbps DDoS. Type: tcp/ack, tcp/ack+psh, tcp/syn.

— Octave Klaba / Oles (@olesovhcom) September 23, 2016

La poubelle attendue de l’Internet des objets semble donc déjà là. L’expert Brian Honan insiste d’ailleurs : « cette attaque montre pourquoi la sécurité est si importante lorsqu’il s’agit d’objets connectés ». Symantec ne dit pas autre chose et relève de son côté que « la sécurité limitée de beaucoup d’objets connectés en fait des cibles faciles et, souvent, les victimes ne savent même pas qu’elles ont été compromises ». 

This attack is why security is so important when it comes to the Internet of Things. https://t.co/yd3c96rgA9

— BrianHonan (@BrianHonan) September 26, 2016

En juin dernier, Sucuri avait analysé une attaque en déni de service distribué, visant le protocole http, et s’appuyant sur plus de 25 000 caméras de surveillance connectées à travers le monde. Récemment, Sucuri a découvert plus musclé : une attaque DDoS sur le protocole https basée sur 47 000 équipements connectés compromis, et capable de générer plus de 120 000 requêtes par seconde à destination de sa cible. Là, environ un quart des matériels détournés était des routeurs domestiques.

Las, se protéger contre de telles attaques n’a rien de trivial. Comme le relève Sucuri, « en tant que propriétaires de sites Web, […] vous ne pouvez pas faire grand-chose pour corriger les millions d’appareils vulnérables sur Internet qui peuvent être utilisés comme botnets ou pour conduire des opérations d’amplification dans le cadre d’attaques DDoS ». Ce qui ne veut pas dire que chacun ne puisse pas faire sa part, ne serait-ce qu’en appliquant régulièrement les correctifs de sécurité.

Mais se protéger contre les attaques DDoS n’est pas forcément chose aisée. ProtonMail en a fait l’expérience l’an passé, soulignant le coût des protections. A l’époque, certains avaient justement suggérer un hébergement chez OVH pour profiter de ses défenses. De son côté, Brian Krebs s’en est remis au projet Shield de Google, gratuit. Akamai estimant ne plus pouvoir protéger gracieusement le site Web de notre confrère, ce dernier aurait dû débourser de l’ordre de 150 000 $ à 200 000 $ par an pour obtenir le même type de service. Et de dénoncer d’ailleurs à quel point, du coup, la censure se trouve facilitée et démocratisée.

Récemment, l’expert reconnu Bruce Schneier indiquait soupçonner des acteurs soutenus par des Etats de conduire des attaques en déni de service distribué pour dimensionner leurs outils dans la perspective d’un éventuel cyberconflit.