Mirai : ce botnet IoT qui a frappé Dyn comme OVH
Le malware Mirai, conçu pour prendre le contrôle d’objets connectés vulnérables, est impliqué dans l’attaque DDoS contre Dyn. Il l’avait déjà été contre OVH.
On pouvait s’y attendre : la publication, fin septembre sur Hack Forums, du code source de Mirai, a été suivie d’effet.
Et quel effet : le malware, conçu pour découvrir et prendre le contrôle d’objets connectés faiblement sécurisés, a été exploité dans le cadre de plusieurs attaques d’envergure, dont celle lancée contre OVH.
L’hébergeur français avait subi un DDoS (déni de service distribué) causé essentiellement par des caméras IP : elles étaient plus de 100 000 à envoyer simultanément des requêtes.
Le scénario est similaire pour l’assaut dont Dyn se remet tout juste.
Il était environ midi à Paris ce vendredi quand le gestionnaire d’infrastructures DNS a détecté une offensive contre ses serveurs.
Onze heures se sont écoulées jusqu’à la résolution complète du problème. Pendant cette période, trois vagues de DDoS ont été recensées, perturbant des services tels que Twitter, Spotify, eBay, GitHub, SoundCloud, PayPal, Box, Airbnb, reddit et Shopify, en rendant impossible le rapprochement entre les nom des sites et les adresses de leurs serveurs Web.
Revendications
La côte Est des États-Unis a été la plus touchée, tout du moins dans un premier temps (Gartner a estimé qu’à certains moments, plus d’une personne sur deux ne pouvait plus du tout accéder aux services susmentionnés). Le deuxième assaut a entraîné des indisponibilités en Europe et en Asie, mais il a été contenu assez rapidement. Quant à l’ultime offensive, elle n’a « pas eu de conséquence », selon Kyle Work.
Le directeur de la stratégie de Dyn reste prudent sur l’identité des assaillants, à l’heure où certains parlementaires américains évoquent déjà la piste russe. Il confirme toutefois que sur l’ensemble des adresses IP associées à l’attaque, plusieurs dizaines de millions correspondent à des objets connectés piratés par le biais de Mirai.
CBS News souligne qu’un groupe qui se présente sous la bannière « New World Hackers » a revendiqué les faits. Le collectif, qui s’est déjà illustré en déclarant avoir piraté des sites médias américains ainsi que l’État islamique, assure qu’une dizaine de ses membres, basés aussi bien en Chine et en Russie qu’en Inde et au Royaume-Uni, ont contribué à ce DDoS d’une capacité de 1,2 Tbit/s.
Pour Dyn, l’épisode intervient deux semaines à peine après la nomination de Colin Doherty, ancien d’Arbor Networks, au poste de CEO. Il remet surtout sur la table la question de la sécurité de l’IoT, que ce soit au niveau des protocoles de communication ou des objets en eux-mêmes, souvent livrés avec un mot de passe par défaut qui n’est jamais modifié.