Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
28 octobre 2016 5 28 /10 /octobre /2016 20:37

 

Source : https://www.mediapart.fr

 

 

 

Les objets connectés s’attaquent à Internet

27 octobre 2016 | Par Jérôme Hourdeaux
 
 
 

Depuis plusieurs semaines, des chercheurs alertent sur la propagation d’un malware, un programme informatique installé dans les objets connectés (caméras de surveillance, enregistreurs vidéo) afin d’en prendre le contrôle. Le week-end dernier, un réseau de machines infectées a lancé une attaque de grande envergure ayant mis hors ligne de nombreux sites tels que Twitter ou Spotify.

Internet a connu, le week-end dernier, une attaque informatique historique : pour la première fois, des attaques lancées depuis des objets connectés ont réussi à mettre hors ligne certains des plus grands sites mondiaux. Une attaque rendue possible par la propagation sur « l’Internet des objets » d’un malware d’un nouveau type, tout aussi simple qu’inquiétant, et baptisé « Mirai ».

C’est au cœur de l’été que ce petit programme informatique aurait fait ses premières apparitions. Il est pour la première fois identifié dans une note publiée sur le site Malware Must Die le 31 août dernier. Ce collectif de chercheurs en sécurité informatique y expliquait avoir été alerté, au début du même mois, par des amis responsables de système informatique de l’existence d’un nouveau malware s’attaquant spécifiquement aux objets connectés. Celui-ci était baptisé « Mirai » et serait une variante d’autres virus du même type, Gafgyt, BASHLITE et Torlus.

L’information passe dans un premier temps inaperçue. Mais il ne faudra qu’un mois pour que « Mirai » se transforme en menace mondiale. Le mardi 20 septembre dans la soirée, Brian Krebs – journaliste américain spécialisé dans la cybersécurité – constate une étrange activité sur son site internet, KrebsonSecurity. Celui-ci est la cible d’un nombre inhabituel de requêtes qui, très vite, saturent ses serveurs et mettent son site hors ligne. En clair, Brian Krebs est victime d’une « attaque DDoS », encore appelée « attaque par déni de service distribuée », consistant à rendre un site indisponible, généralement en le submergeant de requêtes.

Immédiatement, le journaliste contacte la société Akamai qui assure la sécurité de son site. En quelques heures, Brian Krebs comprend qu’il est confronté à une attaque hors du commun. Et ce, pour deux raisons. Tout d’abord, selon les premières investigations d’Akamai publiées dès le lendemain de l’attaque sur KrebsonSecurity, l’attaque DDoS lancée contre le site était d’une ampleur phénoménale, jamais vue chez la société de sécurité. Ses analyses font état d’un trafic d’environ 620 gigabits par seconde. À titre de comparaison, le précédent « record » constaté par Akamai était une attaque DDoS générant un trafic presque deux fois moins important, à 363 gigabits.

Mais ce qui interpelle le plus les experts en sécurité, c’est la simplicité de l’attaque. Ses auteurs ont en effet utilisé un « botnet », littéralement un « réseau de robots », c’est-à-dire un ensemble de programmes informatiques injectés dans des machines afin d’en prendre le contrôle. Ces dernières deviennent autant de « machines zombies » que l’auteur de l’attaque peut utiliser pour surcharger la cible de requêtes. Mais généralement, et encore plus dans le cadre d’une attaque de l’amplitude de celle menée contre KrebsonSecurity, les pirates utilisent différentes techniques pour l’amplifier en démultipliant le nombre de requêtes envoyées.

Or, selon Akamai, aucun des artifices connus n’a cette fois été employé. Les attaquants n’ont utilisé, selon les mots de Brian Krebs, que des méthodes « pourries ». La seule explication possible est que ceux-ci aient réussi à infecter un nombre sans précédent de machines, « peut-être des centaines ou des milliers de systèmes ». « Quelqu’un a un botnet avec des capacités que nous n’avons jamais vues », expliquait alors au journaliste un responsable de la sécurité d’Akamai, Martin McKeay. « Nous avons regardé le trafic provenant des systèmes attaquant et ils n’étaient pas dans une seule région du monde ou dans un petit sous-ensemble de réseaux – ils étaient partout. »

Brian Krebs précisait déjà qu’il y a « quelques indications que cette attaque ait été lancée avec l’aide d’un botnet ayant asservi un grand nombre d’appareils de ce que l’on appelle l’“Internet des objets” – routeurs, caméras de surveillance IP et enregistreurs vidéo numériques (DVR) exposés à Internet et protégés par des mots de passe faibles ou codés en dur », c'est-à-dire intégrés au code source du logiciel. Le site KrebsonSecurity restera quasiment inaccessible durant plusieurs jours. Au cours de cette période, la société Akamai informe le journaliste que, débordée par la situation, elle n’assurera plus sa sécurité informatique.

Si la mésaventure de Brian Krebs est largement relayée par la presse spécialisée, ce n’est que quelques jours plus tard que le lien avec « Mirai » est évoqué. La société américaine Level 3 communications, l’un des principaux opérateurs de réseaux internet au monde, annonce avoir étudié l’attaque menée contre KrebsonSecurity. Selon ses conclusions, entre 500 000 et 980 000 appareils auraient pu être infectés pour constituer deux « botnets ». De son côté, la société BackConnect, spécialisée dans la protection contre les attaques DDoS, confirme que le malware utilisé est bien « Mirai ».

Le vendredi 30 septembre, un utilisateur du site communautaire Hackersforums y publie le code source du malware, c’est-à-dire son ADN, permettant ainsi à n’importe qui de le dupliquer. Et « garantissant virtuellement », commente alors Brian Krebs, « qu’Internet sera bientôt inondé d’attaques provenant de nombreux nouveaux botnets alimentés par des routeurs, des caméras de surveillance IP, des enregistreurs vidéo numériques non sécurisés et d’autres appareils facilement piratables ».

Les jours qui suivent donnent raison au journaliste. Avec son code source rendu public, les chercheurs peuvent se pencher plus en profondeur sur Mirai : le lundi suivant, les chercheurs du site Malware Tech mettent en ligne une carte de l’évolution de l’épidémie, illustrée par une vidéo résumant, en moins de 3'30, 18 minutes de propagation du malware dans le monde.

 

 

Un peu plus d’une semaine après la mise en ligne du code source, Level 3 faisait état d’un doublement du nombre d’appareils infectés, passant de 213 000 à 493 000 « bots » en quelques jours. Des chiffres purement indicatifs du fait d’une « vue incomplète de l’infrastructure », précisait la société. Les objets impliqués dans les attaques étaient quant à eux répartis dans quasiment le monde entier, mais en priorité aux États-Unis (29 %), au Brésil (23 %) et en Colombie (8 %)...

 

*Suite de l'article sur mediapart

 

 

Source : https://www.mediapart.fr

 

 

Partager cet article

Repost 0

commentaires

Présentation

  • : Démocratie Réelle Maintenant des Indignés de Nîmes
  • Démocratie Réelle Maintenant des Indignés de Nîmes
  • : Le blog des Indignés de Nimes et de la Démocratie Réelle Maintenant à Nimes
  • Contact

Texte Libre

INFO IMPORTANTE

 

DEPUIS DEBUT AOÛT 2014

OVERBLOG NOUS IMPOSE ET PLACE DES PUBS

SUR NOTRE BLOG

CELA VA A L'ENCONTRE DE NOTRE ETHIQUE ET DE NOS CHOIX


NE CLIQUEZ PAS SUR CES PUBS !

Recherche

Texte Libre

ter 

Nouvelle-image.JPG

Badge

 

          Depuis le 26 Mai 2011,

        Nous nous réunissons

                 tous les soirs

      devant la maison carrée

 

       A partir du 16 Juillet 2014

            et pendant l'été

                     RV

       chaque mercredi à 18h

                et samedi à 13h

    sur le terrain de Caveirac

                Rejoignez-nous  

et venez partager ce lieu avec nous !



  Th-o indign-(1)

55

9b22