DDOS : faut-il craindre du grabuge sur le réseau Internet prochainement ?

Il y a un peu plus d’un an, le grand public découvrait ce qu’est une attaque par déni de service (DDOS). En effet, le 20 septembre 2016, le botnet Mirai s’attaquait à l’hébergeur Français OVH, le 21 octobre 2016, il s’en prenait aux services DNS proposés par l’entreprise DYN et affectait pendant plusieurs heures l’accès à de nombreux sites Web, comme Twitter, GitHub, la BBC, CNN ou encore PayPal.

Alors pour commencer, qu’est-ce qu’un botnet ? Un botnet est un réseau de machines corrompues par un seul et même logiciel malveillant, permettant de contrôler cet ensemble de machines depuis un serveur de commande et de contrôle, communément appelé serveur C&C ou C2.

Ces machines corrompues peuvent-être de différents types, ordinateurs, serveurs, routeurs, IOT…
Le botnet Mirai, se composait quant à lui de caméras IP principalement. Pourquoi ce type d’appareil ? Déjà parce qu’elles présentent souvent des vulnérabilités, qui plus est, rarement « patchées ». Ensuite, car des caméras disposent bien souvent d’une grande capacité en bande passante, l’idéal pour réaliser des attaques par déni de service.

Une attaque par déni de service peut se comparer à des embouteillages. L’attaquant utilise donc son botnet pour envoyer un grand nombre de requêtes simultanées depuis l’ensemble des machines contrôlées, contre un site Internet ou un service afin de le rendre indisponible. Les motivations peuvent être diverses, mais les répercussions peuvent être importantes.

Imaginez que votre PACS soit externalisé chez un hébergeur agréé. Si vous, votre prestataire (ou un de ces prestataire) est victime de ce type d’attaque et ne dispose pas d’une protection nécessaire, vos services d’imagerie et blocs opératoires risquent bien de se retrouver au chômage technique pendant la durée de l’attaque.

Alors que prévoit le « Bison Futé » de l’Internet dans un futur proche ? Malheureusement des risques de bouchons. Selon l’Atlas d’Arbor Networks, la France a connu 27 000 attaques DDOS sur le mois d’octobre, ce qui représente tout de même 6 attaques par minute !

Et la récente découverte (1) du botnet Reaper a bien de quoi inquiéter les experts.
Selon les chercheurs de la société 360, 2 millions de machines composeraient déjà le botnet ! Soit 4 fois plus que Mirai ! Exploitant plusieurs vulnérabilités assez récentes, Reaper a pu rapidement se constituer une armée composée de routeurs et de caméras IP, et ce n’est probablement pas terminé. Même si pour le moment, comme nos volcans auvergnats, ces « bots » ne sont pas en activité, il y a de quoi être inquiet lorsque l’on voit qu’il embarque dans son code source 100 résolveurs DNS, de quoi faire fortement trembler le réseau mondial.

 

Quand sera-t-il utilisé ? Dans les semaines ou les mois à venir ? Par qui ? Hacktivistes ? Clients du « dark web » ?
Dans tous les cas, ça risque bien de faire mal !

(1) https://research.checkpoint.com/new-iot-botnet-storm-coming/

http://blog.netlab.360.com/iot_reaper-a-rappid-spreading-new-iot-botnet-en/