Assaut DDoS & IoT : OVH dresse un (auto)diagnostic troublant

CloudRisquesSécurité
ddos-iot-ovh
5 83

L’assaut massif par déni de service distribué dont OVH a été victime fin septembre démontre qu’il faudra accentuer la sécurité IT avec l’essor de l’Internet des objets.

OVH fournit régulièrement des détails sur les attaques informatiques dont il fait l’objet sur son réseau. Un exercice de transparence qu’il poursuit « avec la plus importante attaque DDoS jamais enregistrée » dans la semaine du 19 septembre via une centaine de milliers de caméras IP compromises.

Dans une contribution dense datée du 5 octobre et localisée sur l’espace d’information de son site Internet, OVH le reconnaît : c’est un assaut « hors norme par son intensité » (des pics jusqu’à 1 Tbit/s) et, surtout, par son mode opératoire (« plus de 145 000 objets connectés piratés envoyant des requêtes simultanément »).

Le groupe, à la fois hébergeur de sites Web et fournisseurs de services Internet, télécoms et cloud pour les entreprises, est persuadé que l’attaque par déni de service distribuée visait à « rendre le service indisponible ».

En fait, seule une « poignée de clients hébergés par OVH » a été affectée avec des sites mis hors de fonctionnement. « Rien à voir, donc, avec l’exfiltration ou la destruction de données », commente le groupe fondé par Octave Klaba et sa famille.

Ce qui est plus intriguant dans l’assaut contre OVH, c’est le profil des machines zombies exploitées dans le botnet. Traditionnellement, on pense à des ordinateurs connectés à ordinateurs comme vecteur de propagation et d’exécution.

Mais la vague IoT change la donne : smartphones, caméras, thermostats, télévisions ou voitures connectées…Tous les moyens sont bons pour impliquer davantage de produits estampillés Internet des objets.

C’est inquiétant, estime OVH : non seulement les objets connectés sont tout le temps disponibles (contrairement aux PC) mais, en plus, ils sont plus faciles à compromettre que les serveurs.

Vecteurs de propagation multi-formes à l’ère IoT

« C’est ainsi qu’en quelques mois ont pu se constituer des réseaux d’objets connectés piratés de très grande envergure, tels que ceux qui ont attaqué OVH », poursuit le groupe dans sa contribution.

Des malware comme Mirai ou Bashlite participent à la genèse de ces botnets d’un nouveau genre.

Outre des caméras, OVH a repéré des DVR infectés (Digital Video Recorder, soit les petits serveurs domestiques utilisés pour enregistrer les images des caméras de vidéosurveillance), des NAS, des routeurs (des boîtiers d’accès xDSL), et des Raspberry pi.

Autant de relais pour accumuler une puissance de calcul importante qui a servi – avec un niveau de bande passante adéquat – à concrétiser l’assaut sur le réseau du prestataire de services Internet pour les pros.

OVH dresse une liste des contournements possibles et elle concerne tous les maillons de la chaîne : failles dans la conception des logiciels associés aux produits high-tech, négligence des fabricants et des installateurs, existence supposée de « portes dérobées » (backdoor)…

L’enquête en cours a identifié plus de 145 000 objets connectés infectés à l’origine des dernières attaques, sachant que l’opérateur de transit IP Level3 a récemment évalué leur nombre à plus d’un million…

OVH ne désarme pas face à cette menace DDoS. Le groupe IT français peaufine son service VAC (combinaison de technologies « maison » pour atténuer l’impact de ce type d’assaut) pour protéger ses clients.

D’ici la fin de l’année, la technologie initiale sera remplacée par une nouvelle technologie sur la base de FGPA (circuits intégrés programmables) et de codes développée en interne.

« Cela nous permettra de proposer un VAC capable de supporter des attaques DDoS avec des pics jusqu’à 5 Tbit/s sans ralentissement sur notre réseau », assure OVH qui devrait revenir sur ce sujet lors de son prochain Summit (11 octobre 2016 aux Docks de Paris).

Sécurité IT et IoT : le prochain défi

Simultanément au cas OVH, KrebsOnSecurity, un blog de référence sur la sécurité IT alimenté par le chercheur en sécurité Brian Krebs, avait été mis KO pendant deux jours.

Là aussi, l’attaque DDoS avait été puissante (avec des pics de trafic observés de plus de 600 Gbit/s de trafic) que la protection déployée par Prolexic (une filiale d’Akamai) n’avait pas tenu la charge, rappelle Silicon.fr.

Plus globalement, la sécurité IT doit être rehaussée avec la diffusion de l’IoT au sens large et la profusion de capteurs et sondes intelligentes en tous genres dans le monde numérique.

Outre la domotique connectée qui se répand dans les foyers, cette vague concerne aussi les entreprises (intégrant les systèmes de contrôle industriels ou SCADA), les équipements de santé, la robotique…

« Nous pouvons clairement prédire aujourd’hui qu’il y aura de plus en plus d’attaques de ce type. Les objets connectés sont plus faciles à trouver que les équipements installés sur un réseau d’entreprises mieux sécurisé », évoque Arnaud Cassagne, Directeur du développement de l’intégrateur Cheapset (groupe Newlode), dans une contribution envoyée à la presse.

« Nous observons aujourd’hui que des entreprises disposant d’un grand nombre de mécanismes de sécurité se font quand même voler des données. Alors que penser d’une infrastructure IoT un peu plus jeune… »


Lire la biographie de l´auteur  Masquer la biographie de l´auteur