En direct
Best of
Best of 15 au 21 juin
En direct
au lieu de lancer l’attaque à partir d’ordinateurs infectés par des virus comme il est d’usage, les pirates ont lancé l’attaque depuis de petits appareils connectés au web, tels que des caméras de sécurité. C’est une évolution inquiétante...
THE DAILY BEAST
Mega attaque sur le web mondial : comment les caméras de surveillance connectées sont devenues une arme de destruction massive
Publié le 25 octobre 2016
Ce vendredi 21 octobre, tout un pan essentiel d’Internet a vacillé. Et les pirates responsables de ce bug géant ont utilisé de petits équipements électroniques, tels que les caméras de surveillance. Comment est-ce possible ?
Robert Graham est expert en sécurité expérimenté, qui a créé les premiers IPS ("intrusion-prevention system" ou "systèmes de prévention d'intrusion"), le sidejacking, et plus récemment, masscan, un scanner de port ultra-rapide à l’échelle d’Internet...
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Robert Graham
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Robert Graham est expert en sécurité expérimenté, qui a créé les premiers IPS ("intrusion-prevention system" ou "systèmes de prévention d'intrusion"), le sidejacking, et plus récemment, masscan, un scanner de port ultra-rapide à l’échelle d’Internet...
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Ce vendredi 21 octobre, tout un pan essentiel d’Internet a vacillé. Et les pirates responsables de ce bug géant ont utilisé de petits équipements électroniques, tels que les caméras de surveillance. Comment est-ce possible ?

The Daily Beast - Robert Graham

Vendredi dernier, des hackers ont piraté une grande partie du web américain, et tout particulièrement des services situés sur la côte Est des Etats-Unis. Ils ont utilisé une vieille technique connue depuis 20 ans : une attaque "DDos" contre un service DNS.

Cependant, au lieu de lancer l’attaque à partir d’ordinateurs infectés par des virus comme il est d’usage, les pirates ont lancé l’attaque depuis de petits appareils connectés au web, tels que des caméras de sécurité. C’est une évolution inquiétante : ces appareils offrent aux hackers une nouvelle arme très puissante.

La révolution de l’"Internet des objets" est en train d’envahir Internet, avec une armée de voitures, de pacemakers, de robots industriels et de grille-pains. Si vous possédez un appareil ménager qui fonctionne à l’électricité, vous pouvez trouver un appareil similaire qui se connecte à Internet. Avec un dispositif de commande vocale comme Amazon Echo, vous pouvez ordonner à l'eau du café de commencer à bouillir, à la voiture de commencer à chauffer, et aux lumières de s’allumer le matin, le tout avant même d’être sorti du lit. Selon le groupe de recherche Gartner, plus de 6 milliards d’appareils seront ainsi connectés à Internet d’ici fin 2016.

La cyber-sécurité est le prix à payer pour cette nouvelle tendance. Certains appareils bas-de-gamme rognent sur les dépenses de sécurité. Bien qu’ils ne soient pas aussi vulnérables que les ordinateurs domestiques face à certaines attaques (comme les e-mails d’hameçonnage), ils rencontrent d’autres problèmes récurrents (comme les mots de passe appelés "portes dérobées" ou "backdoor passwords"). Ce sont des mots de passe comme le mot "assistance", que les fournisseurs paramètrent en secret par défaut dans leurs appareils pour différentes raisons. Tandis que leurs vendeurs se croient malins et discrets, les hackers, eux, trouvent ces mots de passe sans effort. Ils créent des listes de mots de passe répandus et se les échangent entre eux.

Heureusement, les appareils installés chez vous sont protégés derrière votre pare-feu : ils sont donc à l’abri de la plupart des attaques de pirates informatiques. Un pare-feu est un outil de sécurité répandu qui autorise les communications sortantes vers Internet, mais bloque la plupart des communications entrantes. La plupart des appareils qui connectent les habitations à Internet contiennent un pare-feu. Cependant, beaucoup d’autres sont reliés directement à Internet, où les hackers peuvent facilement en prendre le contrôle.

Voilà pourquoi lors des attaques de vendredi, la plupart des appareils étaient des caméras de surveillance plutôt que des moniteurs pour bébés. Les deux appareils font la même chose : de l’enregistrement vidéo. Ils possèdent généralement la même structure interne et les mêmes logiciels sont installés à l’intérieur. Mais les moniteurs pour bébés sont généralement installés dans des maisons, derrière des pare-feu, auxquels les hackers ne peuvent pas accéder directement. Les caméras de surveillance sont installées dans des immeubles isolés, avec souvent une connexion Internet dédiée spécialement pour la caméra, sans protection par un firewall.

La plupart des gens partent du principe qu’il est trop difficile de repérer ces appareils sur Internet. Par exemple, certains villages reculés de Mongolie ont peut-être des caméras de sécurité dotées de liaisons satellite. Mais quel est le risque que les hackers les trouvent ?

La réponse est : 100%. De la même façon qu’il vous suffit d’avoir le numéro de téléphone de quelqu’un pour l’appeler, vous n’avez besoin que d’une adresse Internet pour vous connecter à un appareil. Lorsque vous composez le numéro de téléphone de quelqu’un, le fait que la personne se trouve dans le centre-ville de Berlin ou en Mongolie n’a aucune importance. C’est la même chose pour une adresse Internet. Il y a moins d’adresses Internet que de numéros de téléphone, et seulement environ 4 milliards de combinaisons possibles. Il est possible de toutes les essayer en l’espace de quelques heures.

L’image ci-dessous illustre l’utilisation d’un outil de balayage de port appelé masscan, qui explore toutes les adresses Internet possibles. Comme vous pouvez le voir, en 6 heures environ, il aura scanné tout l’Internet et détecté tous les objets connectés du type de ceux qui ont été utilisés vendredi. Il interroge toutes les adresses possibles et imaginables sur Internet, quelle que soit leur localisation géographique. Si vous examinez attentivement votre pare-feu domestique, vous verrez que quelqu’un avec l’adresse IP 209.126.230.72 a essayé de vous contacter samedi. C’était moi. Et cela vaut même si vous vivez au beau milieu de la Mongolie.

Mais cela n’est même pas nécessaire. Plusieurs sites web gardent une trace de tous ces résultats d’exploration, de telle façon que de simples recherches Internet peuvent être effectuées pour trouver certains types d’appareils. Le plus populaire d’entre eux est Shodan, un moteur de recherche qui peut rapidement générer une liste de millions de cibles dont il est possible de prendre contrôle.

Lors de l’incident de vendredi, les pirates ont utilisé leur propre logiciel de piratage sur-mesure connu sous le nom de Mirai. Le blog ThreatPost, spécialisé dans les questions de sécurité, rapporte que 550 000 appareils sont infectés par Mirai, et que 10% d’entre eux ont été utilisés pendant l’attaque.

Mirai scanne Internet. Lorsqu’il repère des cibles, il tente de se connecter en utilisant de nombreux mots de passe "portes dérobées" bien connus.

Lorsque Mirai parvient à infecter un appareil, il prévient alors le hacker qui contrôle maintenant cet appareil. Il est devenu un robot en réseau (botnet) sous le contrôle du pirate informatique. Une commande courante consiste à exécuter une attaque DDos. Ce sigle signifie "Distributed Denial of Service" (ou "déni de service distribué"). L’attaque provient de milliers d’appareils, la source étant distribuée à travers tous ces appareils. Le terme "déni de service" est un ancien terme informatique qui désigne le fait de faire planter, de ralentir, ou encore de "dénier" aux utilisateurs le "service" fourni par l’outil ciblé.

Le (ou les) hacker(s) derrière Mirai ont commencé à construire leur réseau d'objets connectés "contaminés" depuis quelques mois. On en a vu les scans sur Internet. Et vendredi dernier, au matin, ils ont donné comme instruction aux machines de choisir une cible, en l’occurrence l’un des principaux fournisseurs de DNS (ou fournisseur de noms de domaine, ndlr.). Un DNS est une sorte de répertoire téléphonique d'Internet : il traduit les adresses web exprimées en langage humain en séries de chiffres correspondantes en langage informatique. Quand le DNS plante, techniquement, Internet continue de fonctionner, mais quiconque dépend de ce service DNS se trouve incapable de trouver ce qu'il cherche. La victime de cette attaque, Dyn.com, était un gigantesque fournisseur de nom de domaine, et par conséquent, l'impact de l'attaque a été d'une envergure inédite.

Et le plus alarmant dans l'attaque de vendredi, c'est qu'elle ne requiert aucune compétence particulière. N'importe qui peut utiliser masscan ou Shodan pour détecter des systèmes potentiellement vulnérables. N'importe qui peut infecter ces systèmes avec Mirai et les télécommander. Certains ont suggéré que des gouvernements étrangers pourraient être à l'origine de ces attaques - mais jusqu'ici, nous n'avons rien observé de sophistiqué, rien qui ne nécessite un budget d’État. Tout cela est dans les cordes d’un adolescent un peu geek travaillant depuis le garage de sa mère.

Lorsque les gens ouvrent la boite pour la première fois, ils voient un appareil en apparence innocent. C’est avec ce sentiment qu’ils le connectent à leur réseau. Mais Internet ne les perçoit pas comme des appareils. Internet les voit comme de véritables ordinateurs, sur lesquels tourne le dernier logiciel Windows ou Linus, dotés de grandes capacités de mémoire et une puissance d’ordinateur, et reliés à des liens Internet rapides. Aujourd’hui, les pirates exploitent cette contradiction, en prenant le contrôle de ces appareils, et en les utilisant pour faire planter Internet, et vous ne pouvez rien y faire.

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.
Quand les secrets du succès du Bon Coin intriguent Amazon et eBay
02.
Vol MH370 : "le pilote se serait envolé à 12 000 mètres pour tuer l'équipage dans la cabine dépressurisée ", selon un nouveau rapport
03.
Retour des moustiques tigre : voilà comment s'en protéger efficacement cet été
04.
Amazon : 11,2 milliards de profit, 0 dollars d’impôts payés… : mais dans quel état erre un certain capitalisme ?
05.
Semaine de canicule : ces erreurs qui vous feront encore plus ressentir la chaleur alors que vous cherchiez l’inverse
06.
Taxe d’habitation : les Français organisent leur propre malheur immobilier
07.
Amin Maalouf et Boualem Sansal, deux lanceurs d'alerte que personne n'écoute. Est-ce parce qu'ils sont arabes ?
01.
Retour des moustiques tigre : voilà comment s'en protéger efficacement cet été
02.
Pourquoi les Francs-maçons ne sont certainement pas les héritiers des constructeurs de cathédrale qu’ils disent être
03.
Vol MH370 : "le pilote se serait envolé à 12 000 mètres pour tuer l'équipage dans la cabine dépressurisée ", selon un nouveau rapport
04.
L'homme qui combat la bien-pensance pour sauver le monde agricole
05.
Dents de la mer : les grands requins blancs remontent vers le Nord aux Etats-Unis, faut il redouter la même chose en Europe ?
06.
Meghan & Harry : all is not well in paradise; Mariage sous couvre-feu pour Laura Smet; Laeticia Hallyday, délaissée ou entourée par ses amis ? Voici & Closer ne sont pas d’accord; Taylor Swift & Katy Perry se câlinent vêtues d’un burger frites de la paix
01.
Amin Maalouf et Boualem Sansal, deux lanceurs d'alerte que personne n'écoute. Est-ce parce qu'ils sont arabes ?
02.
L'Ordre des médecins autorise Jérôme Cahuzac à exercer la médecine générale en Corse
03.
Ce piège dans lequel tombe le gouvernement en introduisant le concept d’islamophobie dans le proposition de loi Avia sur la lutte contre les contenus haineux
04.
Et la banque centrale américaine publia une bombe sur les "méfaits" du capitalisme financier
05.
Acte II : mais comment définir la ligne suivie par le gouvernement en matière de politique économique ?
06.
Cash Investigation : pourquoi le traitement des semences par les multinationales est nettement plus complexe que le tableau dressé par l’émission de France 2
Commentaires (1)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
Texas
- 25/10/2016 - 18:17
Depuis un garage ?
10 millions d' adresses IP discrètes impliquées dans le DDoS.... cet adolescent n' a pas vu le jour depuis combien de temps ? .