Les objets connectés de nouveau à l’attaque !

Le vendredi 21 octobre 2016, le  réseau Internet a tremblé pendant quelques heures sous les coups répétés d’objets parfaitement identifiés : les objets connectés. L’idée est de s’attaquer à DNS – Domain Name Server - l’un des points faibles d’Internet. Le rôle de DNS est de faire le lien entre noms de domaine et adresses IP ; l’attaque consiste à submerger le serveur avec un afflux de requêtes (Distributed Denial of Service) lancées depuis un nombre important d’ordinateurs infectés mis en réseau (botnet). Le résultat est un ralentissement voire un blocage de ces serveurs DNS.

Dans le cas de l’attaque de vendredi, seul le service nommé Dyn Managed DNS était visé. Dyn donne aux serveurs DNS de la souplesse lors de la prise en compte  des évolutions adresses IP. Dyn Managed DNS ne concerne qu’une poignée de sites Internet mais pas des moindres : ce sont par exemple Reddit, Twitter, Spotify, Airbnb, GitHub, Paypal, Netflix, Pinterest, The New York Times, Playstation Network ou eBay. Des piliers du Web dont l’accès est devenu problématique.

Objets de tous les ressentiments
Et de nouveau, le botnet à l’origine de l’attaque est constitué d’objets connectés. Point besoin de sophistication ou de puissance de traitement pour être enrôlé en tant que petit soldat dans un botnet : une connexion Internet suffit dans la mesure où l’absence de protection permet la prise de contrôle par un tiers. Les ordinateurs opposent maintenant trop de résistance mais les objets connectés dans le dénuement de leur simplicité constituent de faciles recrues.

Les objets doivent avant tout être d’utilisation aisée et un protocole nommé « Universal Plug and Play » ou UPnP facilite leur insertion dans un environnement local. L’ennui est que l’outil destiné avant tout au domaine privé est néanmoins doté de la capacité de se connecter à votre routeur et d’ouvrir des accès indépendamment des barrières de protection. C’est ce qui advient régulièrement, volontairement ou par accident, bug voire erreur de configuration. Dès lors une machine extérieure peut accéder à votre objet connecté, ce qui resterait sans conséquence avec un couple identifiant/mot de passe fort pour bloquer l’intrus mais conduit à des catastrophes dans le cas contraire.

Sauf qu’a priori doter un réfrigérateur, des lumières ou une bouilloire d’un mot de passe et se préoccuper des mises à jour de logiciel semblent incongrus. Les imprimantes ou les caméras n’attirent pas plus les mesures de protection. Résultat : les configurations installées par défaut en usine restent en place. Tout intrus se référant à la documentation du produit peut prendre ses aises dans la plateforme de l’objet connecté.

De surcroît la collaboration existe dans le monde du DDoS et c’est ainsi qu’il a été mis à la disposition de tous – à des fins d’amélioration … - le code du logiciel Mirai qui permet de balayer systématiquement les objets connectés et leurs couples identifiants/mots de passe. Afin de compliquer sa détection, le code entre le système de contrôle et les objets connectés est chiffré.

Ne croyez pas que je révèle là un secret. Non, j’enfonce une porte ouverte. Fin janvier 2013 déjà, la société Rapid7 alertait sur les vulnérabilités du protocole dans  Security Flaws in Universal Plug and Play - Unplug. Don’t Play : par construction une mauvaise configuration des services UPnP permet d’ouvrir un port réseau depuis Internet sur un routeur malgré la présence d’un pare-feu.

Un avenir prometteur pour les DDoS ?
Près de quatre ans après l’avertissement, plusieurs milliards d’objets sont pourtant concernés. On en attend vingt milliards dans les cinq ans. Heu … combien d’attaques ?

Quoi qu’il en soit, tout porte à penser que nous ne sommes pas au bout de nos frayeurs, que l’heure serait plutôt à l’amplification. Peut-être la prise de conscience aiguisée par l’ampleur des attaques remettra les mots de passe en grâce ? Mais nombre d’objets ne seront probablement jamais protégés car oubliés ou disposant d’un mot de passe codé en dur. De simples procédures d’installation exigeant de créer le mot de passe lors de l’installation pourraient pourtant déjà enrayer la menace. Espérons que les évènements prévisibles en seront le moteur pour les futures objets connectés.

Osez l’alternatif !
Cela dit dans le cas spécifique d’une attaque sur les DNS telle que nous l’avons connue, des réponses individuelles existent. Les plus chevronnés utilisent directement l’adresse IP de leur correspondant, voire possèdent localement leur propre serveur. À défaut les serveurs DNS « non officiels », les serveurs alternatifs (Open Root, OpenNIC …) permettent de traverser la crise en minimisant les perturbations.

 

 

 


< Revenir à la newsletter

 
Auteur: 
Jacques Baudron - Administrateur Forum ATENA - jacques.baudron@ixtel.fr

Ajouter un commentaire

Full HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Vous pouvez utiliser du code PHP. Vous devrez inclure les tags <?php ?>.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Filtered HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.