I DDoS-ed the sheriff, but I did not DDoS the deputy

J’ai descendu le shérif au DDoS, pas DDoSé l’adjoint

C’est le Far West sur la toile quand il s’agit des attaques par déni de service distribué (DDoS) et l’IdO ne va pas ramener le calme sur la prairie.

L’un des plus grands reporters de la cybercriminalité, Brian Krebs, vient de publier une description homérique du pirate à l’origine du malware Mirai. Je parle bien du Mirai qui lançait des attaques DDoS massives en créant des armées de botnets à partir d’objets connectés mal sécurisés, pas du dessin animé.

L’article À la découverte des pirates qui se cachent derrière Mirai de Brian fait apparaître bon nombre de parallèles entre le Far West de l’ancien temps et les efforts des truands modernes pour faire leur beurre dans le monde numérique. Au Far West, la frontière était mince entre les gentils et les méchants. La différence tenait souvent au minutage et aux conditions de paiement. C’est la même chose dans le monde du DDoS.

Suivez l’argent et Minecraft

L’enquête de Brian dévoile que le principal suspect derrière Mirai serait un dénommé Paras Jha. Loin d’être un membre aguerri d’un syndicat du crime international, il s’agirait plutôt d’un lycéen moralement déficient et techniquement très doué qui s’est fait prendre la main dans le sac. Jha a commencé à gagner sa vie sur Internet en protégeant des serveurs d’hébergement de joueurs de Minecraft contre les attaques DDoS. En protégeant ses clients, il est également devenu spécialiste du lancement d’attaques DDoS contre d’autres serveurs Minecraft pour essayer de les faire tomber et de récupérer leurs clients sur son propre réseau. C’était une forme de stratégie commerciale très agressive ; ensuite, ils ont été plusieurs à dériver vers un secteur du cybercrime en pleine expansion qui lançait des attaques DDoS contre d’autres entreprises cibles.

Les attaques DDoS contre la vie de Brian

Lancer des attaques DDoS ne semble pas très compliqué… mais ça l’est. Une attaque réussie suppose que les victimes supportent des coûts élevés lorsque leurs serveurs sont catapultés hors ligne. Ils ont également des frais substantiels pour se défendre et renvoyer l’attaque – ou alors ils sont rançonnés par les pirates. Alors que les attaques DDoS faisaient déjà partie intégrante du paysage professionnel, le lancement d’une attaque réussie demandait toujours aux pirates des ressources considérables et de larges réseaux d’ordinateurs esclaves.

Cependant, quelques pirates acharnés avaient réussi, au nez et à la barbe des chercheurs, à identifier et enrôler les objets connectés mal sécurisés dans leurs armées de botnets. Cet anonymat relatif a permis l’été dernier la série noire d’attaques basées sur l’IdO contre Krebsonsecurity.com et l’hébergeur français OVH. Comme le site de Krebs est une source d’information réputée en matière de cybersécurité, l’attaque garantissait une grosse publicité au pirate – et allait évidemment déclencher une enquête épuisante pour Brian.

La démocratisation de la flibuste

Au-delà du coût direct, l’attaque a révélé la présence d’un immense contingent d’objets connectés non sécurisés qu’il suffisait d’enrôler dans une armée de zombies. En plus, la majorité de ces appareils étaient pourris jusqu’à l’os, nativement non sécurisés et sans possibilité de mise à jour. La situation a pris un tour étrange lorsque le code de base de Mirai a été révélé par « Anna-Senpai ». Cela a placé la barre plus bas en termes de coût et de prouesses techniques nécessaires pour construire et exploiter un botnet malveillant et a donné lieu à un foisonnement conséquent d’attaques clonées, aidant peut-être les créateurs de Mirai à brouiller leur piste. Deuxièmement, cela a attiré l’attention sur le défaut intrinsèque de sécurité de nombreux objets connectés disponibles sur le marché et installés partout dans le monde. Il y a maintenant des « listes de dénonciation » de ces appareils IdO alimentées par les chercheurs en sécurité.

Chevauchée vers le soleil levant

L’article sur Krebonsecurity n’est que le début de l’histoire de Mirai et des IdO – et des poursuites judiciaires potentielles pour ses créateurs. Je recommande la lecture de l’article lui-même et du glossaire des noms et termes. N’étant moi-même pas très technophile, cette histoire me conduit à formuler une simple conclusion qui donne à réfléchir :

Script kiddies + appareils IdO non sécurisés = un paquet de problèmes.

Pensez-y avant de brancher votre dernier jouet.

Cet article est également disponible en: AnglaisAllemandItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.