Le groupe New World Hackers, qui se présente comme un groupe de pirates activistes avec des membres chinois, russes et indiens, affirme être à l’origine des attaques distribuées par déni de service (DDoS), qui ont paralysé de nombreux services vendredi aux États-Unis et dans le monde entier.
Au moins trois vagues d’attaques ont visé le service de DNS Dyn Inc au New Hampshire, ce qui a rendu l’accès aux sites de services comme Airbnb, Amazon, GitHub, Netflix, Twitter ou Paypal indisponibles pendant plusieurs heures.
Le FBI et le Department of Homeland Security affirment enquêter, mais n’on rien divulgué pour l’instant.
New World Hackers présente les attaques de vendredi comme un ‘test de capacité’:
Just having a little fun. Annual power test!#NwHackers
— New World Hackers (@NewWorldHacking) 21 octobre 2016
Le groupe s’était déjà illustré en mettant les sites de la BBC et d’ESPN hors ligne l’an dernier.
D’après les premières analyses de Flashpoint, une grande partie du trafic IP qui a submergé les serveurs de noms de domaines de Dyn provenait d’au moins un million d’objets connectés, comme des routeurs, des caméras de sécurité, des enregistreurs vidéos. Ces derniers ont été infectés avec le logiciel malveillant Mirai, dont le code source a récemment été divulgué sur Internet.
Cette divulgation permet potentiellement à des personnes malveillantes avec un savoir-faire technique très limité d’effectuer des attaques d’envergure. Dans le cas de Dyn, il semblerait que les attaques aient été sophistiquées.
Dyn est pourtant l’un des plus grands services de DNS dans le monde, conçu pour un fonctionnement sans interruption, distribué auprès de nombreux réseaux de diffusion de contenus (CDNs), et fort de 18 points de présence dans le monde. C’est pourquoi il est choisi par de très grandes multinationales comme fournisseurs de services DNS : Twitter, Netflix, Salesforce, T-Online, LinkedIn, etc.
Une quantité significative de matériels corrompus ont tous été produits par le fabricant chinois Xiongmai Technology. Certains à cause d’une faille de sécurité qui permet d’en prendre le contrôle. D’autres parce que leurs propriétaires n’ont changé ni le nom, ni le mot de passe par défaut du compte administrateur.
Xiongmai a recommandé à ses clients de mettre à jour le micrologiciel, et a annoncé un futur rappel partiel de produits déjà vendus aux États-Unis.
Le logiciel Malveillant Mirai a déjà été utilisé récemment contre le site Krebs on Security, dans l’une des plus grandes attaques DDoS de ces dernières années. Le réseau de bots n’était en revanche pas le même que celui à l’origine des attaques contre Krebs On Security et OVH.
La multiplication des objets connectés, à la sécurité exécrable, et l’accès au code source de logiciels malveillant peuvent faire craindre une recrudescence des attaques DDoS. En octobre, RSA a découvert les premières publicités pour des services de DDoS utilisant l’IoT. Si l’IoT est le dernier vecteur à la mode, n’oublions pas que les serveurs, ordinateurs et autres infrastructures informatiques sont à l’origine de bien des attaques DDoS.
Chacun a sa part de responsabilité, en configurant correctement tous les appareils (ordinateurs, tablettes, smartphones, routeurs) et tous les objets connectés pour lesquels on peut changer le mot de passe, voire l’identifiant. Les entreprises doivent bien évidemment également protéger leurs infrastructures, qui ont un potentiel néfaste encore plus élevé : serveurs, serveurs virtuels, etc.
Il est également recommandé de configurer des serveurs OpenDNS en tant que serveurs secondaires de noms de domaines, car il est a priori l’un des services de DNS les plus résiliants. Un service gratuit est disponible pour les individus et les familles.