Internet a connu, le week-end dernier, une attaque informatique historique : pour la première fois, des attaques lancées depuis des objets connectés ont réussi à mettre hors ligne certains des plus grands sites mondiaux. Une attaque rendue possible par la propagation sur « l’Internet des objets » d’un malware d’un nouveau type, tout aussi simple qu’inquiétant, et baptisé « Mirai ».
C’est au cœur de l’été que ce petit programme informatique aurait fait ses premières apparitions. Il est pour la première fois identifié dans une note publiée sur le site Malware Must Die le 31 août dernier. Ce collectif de chercheurs en sécurité informatique y expliquait avoir été alerté, au début du même mois, par des amis responsables de système informatique de l’existence d’un nouveau malware s’attaquant spécifiquement aux objets connectés. Celui-ci était baptisé « Mirai » et serait une variante d’autres virus du même type, Gafgyt, BASHLITE et Torlus.
L’information passe dans un premier temps inaperçue. Mais il ne faudra qu’un mois pour que « Mirai » se transforme en menace mondiale. Le mardi 20 septembre dans la soirée, Brian Krebs – journaliste américain spécialisé dans la cybersécurité – constate une étrange activité sur son site internet, KrebsonSecurity. Celui-ci est la cible d’un nombre inhabituel de requêtes qui, très vite, saturent ses serveurs et mettent son site hors ligne. En clair, Brian Krebs est victime d’une « attaque DDoS », encore appelée « attaque par déni de service distribuée », consistant à rendre un site indisponible, généralement en le submergeant de requêtes.
Immédiatement, le journaliste contacte la société Akamai qui assure la sécurité de son site. En quelques heures, Brian Krebs comprend qu’il est confronté à une attaque hors du commun. Et ce, pour deux raisons. Tout d’abord, selon les premières investigations d’Akamai publiées dès le lendemain de l’attaque sur KrebsonSecurity, l’attaque DDoS lancée contre le site était d’une ampleur phénoménale, jamais vue chez la société de sécurité. Ses analyses font état d’un trafic d’environ 620 gigabits par seconde. À titre de comparaison, le précédent « record » constaté par Akamai était une attaque DDoS générant un trafic presque deux fois moins important, à 363 gigabits.
Mais ce qui interpelle le plus les experts en sécurité, c’est la simplicité de l’attaque. Ses auteurs ont en effet utilisé un « botnet », littéralement un « réseau de robots », c’est-à-dire un ensemble de programmes informatiques injectés dans des machines afin d’en prendre le contrôle. Ces dernières deviennent autant de « machines zombies » que l’auteur de l’attaque peut utiliser pour surcharger la cible de requêtes. Mais généralement, et encore plus dans le cadre d’une attaque de l’amplitude de celle menée contre KrebsonSecurity, les pirates utilisent différentes techniques pour l’amplifier en démultipliant le nombre de requêtes envoyées.
Or, selon Akamai, aucun des artifices connus n’a cette fois été employé. Les attaquants n’ont utilisé, selon les mots de Brian Krebs, que des méthodes « pourries ». La seule explication possible est que ceux-ci aient réussi à infecter un nombre sans précédent de machines, « peut-être des centaines ou des milliers de systèmes ». « Quelqu’un a un botnet avec des capacités que nous n’avons jamais vues », expliquait alors au journaliste un responsable de la sécurité d’Akamai, Martin McKeay. « Nous avons regardé le trafic provenant des systèmes attaquant et ils n’étaient pas dans une seule région du monde ou dans un petit sous-ensemble de réseaux – ils étaient partout. »
Brian Krebs précisait déjà qu’il y a « quelques indications que cette attaque ait été lancée avec l’aide d’un botnet ayant asservi un grand nombre d’appareils de ce que l’on appelle l’“Internet des objets” – routeurs, caméras de surveillance IP et enregistreurs vidéo numériques (DVR) exposés à Internet et protégés par des mots de passe faibles ou codés en dur », c'est-à-dire intégrés au code source du logiciel. Le site KrebsonSecurity restera quasiment inaccessible durant plusieurs jours. Au cours de cette période, la société Akamai informe le journaliste que, débordée par la situation, elle n’assurera plus sa sécurité informatique.
Si la mésaventure de Brian Krebs est largement relayée par la presse spécialisée, ce n’est que quelques jours plus tard que le lien avec « Mirai » est évoqué. La société américaine Level 3 communications, l’un des principaux opérateurs de réseaux internet au monde, annonce avoir étudié l’attaque menée contre KrebsonSecurity. Selon ses conclusions, entre 500 000 et 980 000 appareils auraient pu être infectés pour constituer deux « botnets ». De son côté, la société BackConnect, spécialisée dans la protection contre les attaques DDoS, confirme que le malware utilisé est bien « Mirai ».
Le vendredi 30 septembre, un utilisateur du site communautaire Hackersforums y publie le code source du malware, c’est-à-dire son ADN, permettant ainsi à n’importe qui de le dupliquer. Et « garantissant virtuellement », commente alors Brian Krebs, « qu’Internet sera bientôt inondé d’attaques provenant de nombreux nouveaux botnets alimentés par des routeurs, des caméras de surveillance IP, des enregistreurs vidéo numériques non sécurisés et d’autres appareils facilement piratables ».
Les jours qui suivent donnent raison au journaliste. Avec son code source rendu public, les chercheurs peuvent se pencher plus en profondeur sur Mirai : le lundi suivant, les chercheurs du site Malware Tech mettent en ligne une carte de l’évolution de l’épidémie, illustrée par une vidéo résumant, en moins de 3'30, 18 minutes de propagation du malware dans le monde.