Tout le monde a parlé le l’attaque DDoS dont Dyn a été victime le 21 Octobre. Quelques jours après l’attaque « monstrueuse » qui a fait trembler l’Amérique et le monde, il est me semble pertinent de revenir sur cette affaire après lecture d’un certain nombre d’articles (il y a l’embarras du choix sur Internet).
Après un rappel des faits je vous donnerai les 3 enseignements que je tire de cette attaque.
Les faits rien que les faits
On revient sur les faits. Samedi 21 octobre à 7h du matin, la société Dyn (dyn.com) hébergeur de DNS s’est fait attaquer en DDoS sur plusieurs de ses datacenters. Ceci a eu pour effet de rendre totalement indisponible tous ses services DNS. A priori, on pourrait la considérer comme une attaque parmi tant d’autres. Cependant, cet hébergeur est un peu spécial puisqu’il est un des hébergeurs majeurs du DNS. Il a la responsabilité des noms de domaines tels qu’Amazon Web Services, Twitter, Spotify, Airbnb, etc… Et c’est là que l’attaque devient très médiatique. En effet, sans DNS, ces grands noms du web ne sont plus disponibles dès lors que les utilisateurs tentent d’effectuer la résolution de nom d’un de ces sites web. Bien évidemment qui connait et retient l’adresse IP d’un site web ? Personne ! Leur petit nom est bien plus simple à retenir. Pour preuve : Google ne nous présente que leur petit nom, pas l’adresse IP ! Le nom DNS est d’autant plus important que les adresses IP changent très régulièrement en fonction de la charge des différents serveurs web, des datacenters qui vont vous répondent et même du fournisseur d’accès internet par lequel vous allez accéder au site. Enfin, bref ! Le DNS est LE passage obligé pour permettre d’accéder à n’importe quel site web dans le monde.
Une défaillance dans la protection de l’architecture
L'attaque a ciblé un SPoF (Single Point of Failure) de l'internet: le DNS, puisque tout se base dessus. Il suffirait donc de faire tomber un hébergeur DNS de renommée mondiale pour mettre à terre Internet ou au moins une partie non négligeable. Normalement non ! S’il y a un SPoF, on le duplique : c’est la base même de la sécurité. Par conséquent, en backupant / secourant un DNS, on s’affranchit d’une faiblesse du DNS primaire : c’est ce qu’on appelle un DNS secondaire. Et pour éviter que la défaillance soit généralisée au niveau du gestionnaire du DNS, il est préférable que le DNS secondaire soit géré par un autre prestataire. C’est exactement comme n’importe quel client désirant plusieurs accès internet pour s’assurer de la disponibilité de ses actifs en cas de défaillance de l’opérateur internet (on parle souvent du fameux coup de pelleteuse).
Donc, le 21 octobre, si les sites web ont été rendus inaccessibles, c’est en raison d’une erreur dans l’analyse des risques liés au DDoS et/ou au manque d’investissement dans la sécurisation de certaines infrastructures (ici, DNS).
Oui, le DDoS est une vraie menace même pour les DNS ! Aujourd’hui, il ne viendrait l’idée à personne d’exposer le réseau d’une entreprise à internet sans firewall ou proxy pour le surf. L’anti DDoS doit devenir un réflexe et pour toutes les architectures. On ne le répètera jamais assez : il faut se protéger.
1ère enseignement : reconsidérez vos précédentes analyses de risque et prenez en compte cette menace !
Accusés objets connectés levez vous
A ce jour les motivations de l’attaque sont encore extrêmement floues voire même non connues. Les responsables de l’attaque ne sont pas plus identifiés. On parle d’hacktivistes, de hackers agissant pour le compte de pays, et d’autres différents noms. Les revendications de différents groupes cybercriminels connus et moins connus pleuvent : aujourd’hui, nous ne connaissons pas le responsable et nous ne le connaitront peut être jamais.
Par contre, une chose est désormais confirmée : Mirai est dans le coup! Mirai dont nom est apparu il y a quelques semaines est un malware qui a infecté les objets connectés. Ce sont ces objets connectés qui ont attaqué le blog de Korbs et l’hébergeur français (de taille mondiale) OVH il y a quelques semaines. Ce sont aussi ces objets connectés qui ont remporté la palme suprême du DDoS le plus volumineux (620Gbps puis 1Tbps).
Selon une étude de Level 3, Mirai prolifère vite, très vite ! Début septembre, on recensait de 150 000 objets connectés infectés, aujourd’hui, on parle plus de 500 000…. Et il y a fort à parier que ça ne va pas s’arrêter là.
Ces fameux objets connectés infectés sont principalement des lecteurs vidéo, des caméras et autres objets reliés à internet. Un fournisseur chinois qui travaille en marque blanche est particulièrement pointé du doigt. Il a fourni jusqu’en septembre 2015 des centaines de milliers, voire des millions, d’objets connectés avec un accès Telnet ouvert. Ce fournisseur a corrigé la faille il y a 1 an et a annoncé qu’il fallait faire une mise à jour du firmware pour supprimer cette vulnérabilité. Il a juste oublié de donner la procédure pour le faire ! D’ailleurs, en existe-t-il vraiment une ? Vue la tournure des évènements, et peut être pour répondre à la pression de certains de ces clients, le fournisseur est allé plus loin que simplement demander une mise à jour du firmware : il a fait un rappel des objets connectés. Mais quel sera le réel impact sur ce rappel ? Il pourra toujours dire qu’il a tout entrepris pour corriger la faille, il est difficile à croire que les propriétaires ramèneront des équipements en service pour une correction. Le mal est fait !
Si on ajoute à ça que l’identifiant/mot de passe pour prendre le contrôle de ces objets connectés est extrêmement simple (de type admin/admin ou admin/password), les hackers adorent !
Enfin, pour faciliter encore la vie des hackers, le code de Mirai a été rendu public par son concepteur il y a quelques semaines.
Tout ceci donne un jouet ultra puissant à la portée de n’importe quel apprenti hacker qui peut se servir de ces trois vulnérabilités pour attaquer de nouvelles cibles à n’importe quel moment.
Le mal est fait !
2e enseignement : Pensez sécurité. Pensez que votre développement pourrait être détourné pour des raisons différentes de celles pour lesquelles il a été conçu. Si vous développez une application ou un équipement connecté, demandez-vous s’il n’est pas vulnérable ou si toutes les commandes non utiles ne pourraient pas être tout simplement désactivées.
Une attaque difficile à contrer
Contrairement aux 2 attaques contre Brian Krebs et OVH, la taille de l’attaque n’a pas battu de record à moins que le nombre d’attaquants devienne une nouvelle référence dans la performance d’une attaque. En effet, certains articles parlent de 400 000 sources actives pour l’attaque. Mais ces sources auraient attaqué de façon pernicieuse ce qui a rendu le nettoyage de l’attaque très complexe. En effet, habituellement, une attaque va entrainer un fort trafic généré par des sources qui, prises individuellement, vont générer un trafic « important » ou anormal. Dans ce cas, les objets connectés se sont mélangés au trafic normal ce qui a rendu très difficile la remédiation. En d’autres termes, il est beaucoup plus facile d’identifier et nettoyer une attaque provenant de 50 000 sources générant 200 sessions chacune qu’une attaque provenant de 400 000 sources générant 25 sessions chacune.
Nulle part la gestion du DDoS n’a été remise en cause : l’attaque semble donc avoir été gérée correctement mais sa complexité a rendu la remédiation plus difficile que dans une DDoS plus classique.
3eme enseignement : Dotez-vous d’experts de la gestion des menaces et des incidents ! La technologie tente de simplifier le monde mais les hackers restent encore très imaginatifs et les attaques se complexifient. C’est pourquoi, pour faire face à ce type de menace, l’expertise humaine est de rigueur.
En conclusion : le DDoS est une menace grandissante dans tous les domaines. Les objets connectés accentuent ce risque d’autant plus qu’ils sont très vulnérables par conception : il va falloir apprendre à limiter ce risque et s’en prémunir si on veut survivre dans l’ère du numérique….
La sécurité a un bel avenir…
Seb
Pour aller plus loin :
Le CyberSOC, un centre opérationnel pour la détection d'incidents de sécurité
Retour sur les Assises de la sécurité 2016 : la réponse de l'ANSSI aux enjeux nationaux
Au sein d'Orange Business, je suis marketeur ! En tant que bon marketeur, je ne connais rien à la sécurité et encore moins à la technique. Cependant, mon parcours m'a permis d'acquérir une certaine expérience sur le domaine sécurité et surtout sur tout ce qui a attrait au service. Je ne me qualifierais donc pas comme expert de la sécurité mais plutôt comme expert du service dans le domaine de la sécurité. Et je revendique cette différence : la technologie de la sécurité sans le service qui va autour ne sert à rien. Mes domaines de prédilection sont les domaines dont je suis responsable au sein d'Orange Business : services de sécurité de l'infrastructure et services de gestion des risques. Expérience, faits réels, synthèse et réflexion personnels sont les bases de mes écrits.