.[Ec4] Eco numérique, cyberespace

USA: De nombreux sites internet perturbés par une vaste cyberattaque
AWP/AFP, Romandie news - 22 oct 2016
http://www.romandie.com/news/USA-de-nombreux-sites-internet-perturbes-par-une-vaste-cyberattaque/746753.rom

 SAN FRANCISCO - Une cyberattaque menée en plusieurs vagues a sérieusement perturbé le fonctionnement d'internet vendredi aux Etats-Unis, privant des millions de personnes d'accès notamment à Twitter, Spotify, Amazon ou eBay et soulevant les inquiétudes des autorités. La liste des victimes a également inclus Reddit, Airbnb, Netflix et les sites de plusieurs médias (CNN, New York Times, Boston Globe, Financial Times, The Guardian...). Aucun de ces sites n'était directement visé par les pirates. Ils s'en sont en réalité pris à la société Dyn, qui redirige les flux internet vers les hébergeurs et traduit en quelque sorte des noms de sites en adresse IP.

"Quand je vois une telle attaque, je me dis que c'est un Etat qui est derrière", a estimé Eric o'Neill, chargé de la stratégie pour la société de sécurité informatique Carbon Black et ex-chargé de la lutte contre l'espionnage au FBI. Pour cet expert, les conséquences pourraient être bien plus graves dans les secteurs de la finance, du transport ou de l'énergie, bien moins préparés que Dyn à ce type de cyberattaques. "C'est une attaque très élaborée. A chaque fois que nous la neutralisons, ils s'adaptent", a expliqué Kyle Owen, un responsable de Dyn, cité sur le site spécialisé Techcrunch. La première attaque, lancée à 11H10 GMT, a été suivie par plusieurs offensives successives à mesure que l'impact se déplaçait de la côte est des Etats-Unis vers l'ouest du pays. A 22H17 GMT, Dyn indiqué que l'incident était résolu.

En pleine recrudescence de la cybercriminalité, cette attaque a alerté les autorités américaines. "Le département de la Sécurité intérieure (DHS) et le FBI ont été informés et enquêtent sur toutes les causes potentielles", a indiqué à l'AFP une porte-parole du DHS. L'identité et l'origine géographique des auteurs demeuraient encore inconnues. Le site Wikileaks, qui a publié des milliers d'emails du directeur de campagne de la candidate démocrate à la présidentielle Hillary Clinton, a cru déceler dans cette attaque une marque de soutien à son fondateur Julian Assange, réfugié dans l'ambassade d'Equateur à Londres et dont l'accès à internet a été récemment coupé. "M. Assange est toujours en vie et Wikileaks continue de publier. Nous demandons à nos soutiens d'arrêter de bloquer l'internet américain. Vous avez été entendus", a tweeté le site. Le groupe de hackers Anonymous semblait, lui, appeler à poursuivre l'offensive. "Le toit, le toit, le toit est en feu. Nous n'avons pas besoin d'eau. Laissez l'enfoiré brûler", a-t-il tweeté.

Quelle qu'en soit l'origine, l'attaque a mis en lumière les dangers posés par l'utilisation croissante des objets connectés, qui peuvent être utilisés à l'insu de leurs propriétaires pour bloquer l'accès à un site. La technique de déni de service distribué (DDoS) utilisée vendredi consiste ainsi à rendre un serveur indisponible en le surchargeant de requêtes. Elle est souvent menée à partir d'un réseau de machines zombies ("botnet"), elles-mêmes piratées et utilisées à l'insu de leurs propriétaires. "Ces attaques, en particulier avec l'essor d'objets connectés non sécurisés, vont continuer à harceler nos organisations. Malheureusement, ce que nous voyons n'est que le début en termes de botnets à grande échelle et de dommages disproportionnés", prédit ainsi Ben Johnson, ex-hacker pour l'agence américaine de renseignement NSA et cofondateur de Carbon Black. Des objets connectés et a priori totalement inoffensifs comme des machines à café ou des réfrigérateurs peuvent ainsi être utilisés par des pirates. "Internet continue de se reposer sur des protocoles et une infrastructure conçus avant que la cybersécurité ne soit un problème", relève M. Johnson.

Selon James Scott, expert en cybercriminalité de l'Institute for Critical Infrastructure Technology, des attaques similaires ont été menées en décembre 2015 par des cyberjihadistes à l'aide de 18.000 appareils mobiles. Cette nouvelle attaque "trahit une vulnérabilité bien connue dans la structure d'internet", assure-t-il, ajoutant que sa "sophistication" et sa "précision" semblaient pointer du doigt un Etat comme la Chine ou la Russie. Les attaques informatiques et autres actes de piratage sont déjà en pleine recrudescence aux Etats-Unis et dans les autres pays industrialisés. Yahoo Mail a récemment reconnu que les données de 500 millions de ses utilisateurs avaient été compromises il y a 2 ans. Plusieurs attaques ont également visé le secteur financier et certaines banques centrales, conduisant les pays industrialisés du G7 à adopter, mi-octobre, une série de règles de protection.

Le service DNS Dyn attaqué: Reddit, Spotify, Twitter… trébuchent
par Christophe Auffray
ZDNet - 21 oct 2016
http://www.zdnet.fr/actualites/le-service-dns-dyn-attaque-reddit-spotify-twitter-trebuchent-39843682.htm

Des utilisateurs de services en ligne populaires comme Reddit, Twitter, Spotify et Airbnb ont tout simplement été incapables de se connecter. En Europe, ces sites continuent de fonctionner parfaitement. Seuls les clients des sites localisés sur la cote Est des Etats-Unis sont en effet affectés par ces coupures de service ou ralentissement. Et ces incidents sont la conséquence d'une attaque informatique de type DDoS contre un prestataire technique: Dyn.

Par l'intermédiaire d'Anycast Network, Dyn fournit des services de gestion de nom de domaine. Or celui-ci a déclaré avoir été la cible d'une attaque en déni de service. Ses clients, parmi lesquels figure notamment Twitter, ont été affectés. Dans un message publié sur son site, Dyn précise donc que c'est son infrastructure managée de DNS qui est attaquée et que l'attaque impacte principalement la cote Est des Etats-Unis. Ses ingénieurs travaillent à atténuer les effets du DDoS.

« Ce qui rend cette attaque différente c’est qu'un fournisseur de DNS spécifique, une société appelée Dyn ait été la cible, plutôt que des organisations spécifiques. En faisant cela, les pirates ont réussi à perturber un plus large éventail de cibles parmi les organisations qui utilisent les services du fournisseur dont des sites de renoms tels que Box, CNN, Imgur, PayPal Twitter, Spotify, Github, Airbnb, Reddit, etc. » commente dans un communiqué l'éditeur de sécurité F5 Networks.

« Les pirates ont récemment utilisé cette approche dans plusieurs attaques de haut niveau, comme par exemple dans le cas du botnet IoT Mirai utilisé plus tôt ce mois-ci contre OVH mais aussi auparavant lors de l’attaque qui a touché Spamhaus. Toutes deux ont en commun d’avoir été parmi les plus grandes attaques enregistrées à leur époque. Comme le prouve encore cette attaque, DNS est un protocole particulièrement ciblé de par la relative simplicité à forger des attaques puissantes (paquets UDP, technique d’amplification, etc.) ainsi que les dégâts causés. En effet si le DNS d’une société est indisponible, c’est l’ensemble des applications de cette entreprise qui ne sont plus accessibles » précise-t-il encore.

EDIT (23 octobre 2016)

DynDNS: Face aux objets connectés, l'Internet américain a tremblé ?
par Louis Adam
ZDNet - 22 oct 2016
http://www.zdnet.fr/actualites/dyndns-face-aux-objets-connectes-l-internet-americain-a-tremble-39843692.htm

(.../...)
Merci la vidéosurveillance !
Dans un post de blog, Flashpoint explique être parvenu à confirmer que les botnets utilisés par les cybercriminels pour mener cette attaque étaient au moins en partie constitués d'objets infectés grâce au malware Mirai. Celui ci était à l'origine un malware s'attaquant aux objets connectés et capable d'utiliser les identifiants par défaut mis en place par le constructeur pour les détourner de leur usage initial. Il y a quelques jours, la société Level 3 avait ainsi publié une analyse du nombre de machines infectées par ce malware et constatait que celui ci était devenu particulièrement populaire depuis que son créateur avait publié librement le code source sur Internet. Au total, Mirai dénombre actuellement plus de 500.000 machines infectées par le malware selon Level 3. Lors des premières estimations effectuées par la société au début du mois d'octobre, ce chiffre s’élevait à 213.000 machines infectées. Selon des propos rapportés par The Register, DynDNS confirme cette version des faits et évoque un « des dizaines de millions d'adresse ip » impliquées dans l'attaque ayant visé leur service.
 
Alors, les frigos connectés ont ils fait flancher les services de DynDNS ? Pas exactement. Selon KrebsonSecurity, la majorité du trafic provient de cameras et d'enregistreurs vidéos compromis, plus particulièrement les modèles utilisant le logiciel d'une société chinoise, XiongMai Technologies. Cette société conçoit et revend en marque blanche des modèles de cameras IP qui sont généralement proposés aux clients finaux par différents revendeurs à travers le monde. Cette ligne de cameras dispose d'identifiants par défaut que les utilisateurs ne peuvent pas toujours changer: si la modification est possible pour l'interface web, ces identifiants par défaut restent néanmoins utilisables pour se connecter à la camera via Telnet ou SSH. C'est cette vulnérabilité qui est exploitée par Mirai pour infecter de nouvelles machines et lancer des attaques ddos contre les cibles désignées par les opérateurs du botnet. Malheureusement, beaucoup d'experts en sécurité estiment que cette vulnérabilité sera complexe voire impossible à corriger et que la solution ne pourra se résumer à un simple patch. 

L'ouverture du code de Mirai lui permet aujourd'hui de s'attaquer à de nouveaux objets connectés, et il semblerait selon MotherBoard que plusieurs cybercriminels luttent aujourd'hui entre eux pour tirer le meilleur parti de ces malwares. Les auteurs de l'attaque restent pour l'instant inconnus. Difficile d'affirmer que l'utilisation de Mirai permet de lier les responsable de l'attaque à ceux ayant visé OVH ou Brian Krebs. L'ouverture du code source permet en effet à de nombreux cybercriminels de mettre en place ce type d'attaque. Il est donc difficile de déterminer qui est à l'origine de cette attaque ou quelles sont les motifs de celle ci. Mais après tout, Bruce Schneier ne nous avait il pas prévenu ?

EDIT (25 octobre 2016)

Piratage de Dyn: L’attaque qui révèle le danger des objets connectés
par Sébastian Seibt
France24 - 25 oct 2016
http://www.france24.com/fr/20161024-piratage-dyn-attaque-danger-objets-connectes-iot-cybersecurite-internet-twitter-paypal

L'attaque informatique qui a rendu inaccessible vendredi des géants du Web comme PayPal ou Twitter révèle les dangers en matière de sécurité informatique que représente l'engouement actuel pour les objets connectés. L’Internet of Things (IoT) - ou "Internet des objets" - a montré ce week-end ses faiblesses en termes de sécurité informatique. La spectaculaire attaque qui a rendu inaccessible pendant plusieurs heures, vendredi 21 octobre, des géants du Web tels que Twitter, PayPal ou Spotify a été menée en utilisant une faille de sécurité présente sur des objets connectés comme les webcams, les imprimantes ou les thermostats.

Les cybercriminels ont envoyé, via environ 10 millions d’objets connectés, des requêtes en continu à la société américaine Dyn (qui s'occupe de la résolution des noms de domaines). Submergée, cette dernière n’a plus pu faire face aux demandes du commun des internautes qui, tapant une requête dans leur barre d’adresse Internet, n'étaient pas redirigés vers le bon site. Une partie des objets connectés utilisés pour mener cette attaque a été fabriquée et vendue par la société chinoise Xiongmai, qui les a rappelés en urgence, lundi 24 octobre, pour leur appliquer un correctif de sécurité. Elle conteste, cependant, le nombre avancé dans la presse de 550 000 produits de sa marque qui auraient servi les cyber-desseins des assaillants.

Ce type d’attaques, appelé déni de service, n’a rien de neuf. Les cybercriminels utilisent depuis des années des armées d’ordinateurs piratés pour inonder de requêtes les sites ciblés et les rendre inaccessibles. Mais la popularité croissante des objets connectés a étendu leur champ des possibles. “On est bien au-delà de ce que les pirates informatiques ont pu faire avec des PC”, assure Chris Moret, vice-président cybersecurité pour la société française des services numériques Atos, interrogé par France 24. Il rappelle qu’il existe actuellement environ six milliards d’objets connectés dans le monde, contre “seulement” plusieurs centaines de millions d’ordinateurs. La puissance d’une attaque par déni de service dépend essentiellement du nombre de périphériques piratés, d’où l’intérêt de passer par la case IoT.

Tous les thermostats, toutes les webcams ou les imprimantes ne présentent pas de faille de sécurité, mais Chris Moret reconnaît que “c’est l’un des points les plus préoccupants de ces objets, car dans bon nombre de cas la sécurité n’a pas été la priorité dès le départ”. Certains fabricants préfèrent mettre leur produit au plus vite en vente quitte à négliger l’aspect sécurité informatique afin de profiter d’un engouement momentané pour ceux-ci. Difficile ensuite de rattraper le coup. “Tous les ordinateurs équipés de Windows ou MacOs se mettent régulièrement et presque automatiquement à jour pour corriger des failles découvertes, mais rares sont les utilisateurs qui mettent à jour leur télé ou thermostat connecté”, explique l’expert français. Une véritable aubaine pour les cybercriminels.

L’attaque de vendredi n’était d’ailleurs probablement qu’un coup d’essai. “Elle n’a pas été revendiquée et il n’y a pas eu de suite [demande de rançon, fuite d’informations, NDLR], ce qui suggère que le ‘coup de maître’ est encore à venir”, prédit Chris Moret. Heureusement, ces objets connectés contiennent rarement des informations aussi sensibles que celles qui sont stockées sur un ordinateur. Les conséquences, outre les fait pour les internautes d'être privés d’accès à certains sites, sont donc moins importantes que dans les cas de vols d’informations personnelles ou de données bancaires. Mais les téléviseurs et les thermostats ne sont pas les seuls objets à être de plus en plus connectés. “Il y a des domaines, comme la santé ou l’automobile, qui doivent être sécurisés en priorité”, souligne Chris Moret. Des experts en sécurité informatique ont démontré que les pacemakers ou les voitures connectées peuvent par exemple être piratés à distance.

Les constructeurs sont de plus en plus sensibles à ces problématiques, assure Chris Moret. L’arrivée sur ce secteur de géants du Net à la pointe des questions de sécurité informatique, comme Google ou Apple, devrait aussi tirer les normes vers le haut. Mais il y aura toujours des acteurs qui, pour se faire une place au soleil, chercheront à vendre moins cher que leurs concurrents, quitte à faire des compromis sur la sécurité. D’où l’appel de certaines sommités du secteur, comme l’expert en sécurité Brian Krebs, pour la création d’un organisme international chargé d’établir des règles de sécurité à appliquer par tous. Au risque de voir votre frigo devenir un jour votre pire ennemi.