La Cyberattaque du 21 octobre expliquée à mes proches numériquement béotiens

Bon a priori, vous devez avoir entendu parler de la grande panne de l’internet mondial du 21 octobre à un moment ou un autre en matant, lisant ou écoutant les infos. Mais il y a de fortes chances pour que vous ayez entendu des choses incompréhensibles, mal expliquées ou carrément erronées. Par exemple, qu’il s’agissait d’une « panne mondiale ». Ou alors vous n’avez juste pas tout pigé. Par envie d’un bête exercice d’écriture dont j’ai besoin et surtout un si philanthropique besoin de vous éclairer qui me caractérise et m’honore, je me targue de vous faire comprendre ce qui s’est passé, en rappelant pour commencer que cette « panne » n’était pas mondiale mais concernait essentiellement la côte Est des Etats Unis, un peu moins la côte Ouest et plus que faiblement une partie de l’Europe. En prime, elle ne touchait qu’une partie des sites du World Wide Web, qu’accessoirement on ne doit pas confondre avec Internet, mais ça on en causera peut-être un autre jour. Donc pouf, pouf, soyons scolaire, voici mon plan :

  • Comment faire tomber un service web, c’est quoi une attaque DDoS ?
  • Petit pré-requis : savoir ce qu’est la Domain Name System (c’est simple)
  • Ce qui s’est passé ou comment ta babycam en réseau empêche de poster des photos de Timothé sur Facebook
  • Pourquoi des économies de bouts de ficelles contribuent à augmenter les risques, aka : centralisation et décentralisation.

Bon, c’est peut-être long, mais je suis rigolo alors vous irez facilement au bout. Les pros, je vous signale que je vais être assez grossier, je vous rappelle que je cherche à expliquer certaines choses pour de vrai à ceux chez qui vous avez surement déjà eu à supprimer des barres d’outils vérolées. Hein, Babylon, ça vous parle ?

C’est quoi une attaque DDoS ?

Quand on entend parler de « cybercriminalité », de « hackers » et de « cyber attaque », on prend facilement peur de ne pas imprimer un traître mot. Or, une attaque DDoS est assez simple à comprendre, en tout cas son principe à défaut de son exécution, qui peut être le fruit d’un véritable maestro comme d’un parfait crétin, selon le niveau.

EPSON MFP image

Je dis chinois parce que la plupart des attaques émanent de Russie ou de Chine et que « chinois » c’est plus rigolo. Libre à vous d’adapter à vos propres phobies, exemple « oh mon dieu des roux ! »

DDoS est l’acronyme de Distributed Denial of Service, ou Déni de Service Distribué. L’idée est de faire en sorte que la cible, qu’il s’agisse d’un site web ou carrément d’un ensemble de services en ligne, ne soit plus en mesure de répondre à la demande, ce qui va au mieux en ralentir l’accès, au pire, le faire carrément s’effondrer et donc le rendre, ce qui est un grand malheur sur la toile… in-dis-po-nible.
Comment fait-on ? Un site, ou un fournisseur de services, reçoit en permanence des requêtes ou des paquets de données qu’il traite à la volée. Chaque fois que vous allez sur votre site web favori, que vous cliquez sur un lien, une image, que vous ouvrez une page ou que vous postez un commentaire, vous envoyez une requête à laquelle le site doit répondre. En temps normal, la capacité de réponse est adaptée au trafic. Le DDoS consiste « bêtement » à inonder sa cible de requêtes jusqu’au point de rupture (il existe plusieurs variantes mais restons à la base). Notez à ce stade que le plus rigolo, c’est qu’en vous acharnant à vouloir recharger une page, mettre à jour votre statut ou uploader une photo de Timothé, vous contribuez à ce « flood » du serveur qui est déjà en pleine crise d’asthme.
Si vous n’avez toujours pas compris, imaginez que le serveur soit un homme (je dis homme parce que les femmes sont plus douées pour faire plusieurs choses à la fois, c’est pas sexiste, il parait que c’est scientifique, bref on s’en fout, le serveur s’appelle Patrick) et qui écoute la radio en réparant l’évier tout en surveillant un enfant alors qu’on lui raconte une histoire belge (je dis belge parce que…. ben parce que). Et ben Patrick, à force il va planter et s’ouvrir le siphon sur la gueule.

Mais, Nicolas, comment font-ils ???

EPSON MFP image

Les chinois roux à l’assaut

Et bien là encore c’est relativement simple, ils profitent des grosses lacunes de sécurité chez les particuliers ou les entreprises. Regardez le dessin ça vous aidera. Les attaques DDoS sont lancées par ce que l’on nomme un botnet, un réseau composé de machines infectées par un malware, une sorte de virus. Ces malwares précis ne vous feront aucun mal, ils n’ont pas intérêt à risquer la détection. Mais ils obéissent à un maître, ce qui fait de votre machine un esclave (on parle également de zombie). Pour lancer une attaque, il suffit de demander à chaque zombie d’envoyer des paquets de données ou des requêtes à la cible. Chaque machine n’envoie que de petites quantités de données, la chose est parfaitement transparente, vous ne vous rendez compte de rien et pourtant, votre PC, voire votre téléphone (ou on le verra ensuite, votre babycam) participe à l’attaque. C’est pour cela qu’on parle d’attaque « distribuée », elle ne vient pas d’une source maisde milliers, de millions qui collaborent. De nos jours, les botnets sont pratiquement devenus des biens commerciaux, on peut les acheter à leurs créateurs ou les louer ou encore commanditer des attaques DDoS clef en main. Le pire, c’est que même si certains botnets sont le fruit de hackers talentueux, d’autres sont les enfants batards de script kiddies, des amateurs peu éclairés, ce qui en dit long sur la sécurité du net.

Si vous préférez une explication plus visuelle, je vous glisse des images provenant de l’un des sites permettant de guetter en direct les attaques. La première montre une journée normale, la vidéo a été capturée durant un DDoS.

norse_usual

 Mais pourquoi font-ils de telles horreurs ??

Tout dépend de qui le fait et de qui est la cible. Certains ont des motivations politiques, une volonté de lutter contre des symboles du Capital ou contre des lois jugées liberticides, d’autres sont des maîtres chanteurs qui exigent le versement d’une rançon pour faire cesser leurs attaques (se protéger des DDoS peut être très, très coûteux et très difficile) et bien sûr, on trouve également un lot de « parce que si je peux faire chier le monde j’vois pas pourquoi j’l’ferais pas ». On peut encore ajouter des agression d’état à état voire d’entreprise à entreprise. Dans le cas du 21 octobre, à l’heure ou j’écris, il n’y a que des conjectures sur l’origine de l’attaque. Même si l’hypothèse d’une attaque soutenue par un état est écartée.

Petit pré-requis : savoir ce qu’est le Domain Name System (c’est simple)

Bon, là, vous avez compris le Distributed Denial of Service, vous vous sentez plus puissant, plus fort, plus cultivé, prêt à briller en société. Parce que bon, au repas de Noel, vous allez le moucher le tonton bourré avec ça. Pour la suite, vous devez apprendre ce qu’est le DNS, le système de nom de domaine.
Pour faciliter la vie des utilisateurs du World Wide Web, on peut accéder à un site via une URL, comme http://www.purehuitre.com, toute l’actu de ostréiculture et ses tendances. Mais en vrai, le réseau ne fonctionne pas comme ça. Cette URL doit être traduite en adresse numérique, une suite de chiffres au format XXX.XXX.XXX.XXX. Cette tâche est dévolue au fournisseur de DNS, une sorte d’annuaire du web qui s’actualise régulièrement afin de toujours savoir quelle adresse IP correspond à quel site. Et ce dur labeur est délégué à plusieurs entreprises privées qui, chaque fois que vous cherchez à accéder à un site, traite votre demande en consultant son registre afin d’orienter votre connexion. C’est tout expliquer dans le schéma là en dessous.

EPSON MFP image

Ce qui s’est passé ou comment ta babycam en réseau t’empêches de poster des photos de Timothé sur Facebook

De l’intérêt d’avoir des ampoules de secours

EPSON MFP imageCe qui s’est donc produit le 21 octobre, c’est qu’une attaque DDoS de très grande envergure a été lancée contre l’un des principaux gestionnaires de DNS des Etats Unis, jusqu’à les faire s’effondrer. Ce n’est pas la première fois qu’on attaque le DNS, mais c’est la première fois que la chose a de si amples conséquences. Plus les jours passent, plus il apparaît qu’il s’agit de la plus grosse attaque DDoS jamais enregistrée.
L’avantage de ce genre d’attaque ? Au lieu de s’en prendre à un site, on peut en faire tomber plusieurs centaines. Ce n’est pas pour autant l’apocalypse numérique annoncée par certains média, la rupture de service n’a pas affectée l’ensemble du web mais la partie dépendante du prestataire attaqué, à savoir la compagnie Dyn. Mais il est vrai que Dyn compte parmi ses clients, aux USA, de gros mastodontes du web, Twitter, Facebook, Amazon, Etsy etc. etc. De gros, très gros sites qui, s’ils avaient appliqué le principe de redondance de leur grandpapa Arpanet, auraient fait en sorte de ne pas dépendre « de points de vulnérabilités uniques » en faisant appel à deux prestataires de DNS en cas de catastrophe au lieu de recentraliser leurs points faibles pour faire des économies. C’était pas clair ? Disons quec ‘est comme acheter une grose voiture en refusant de payer pour la roue de secours et en chipotant sur le kit anti-crevaison.
Ce n’est pas la première fois que des acteurs majeurs d’internet paient le prix fort pour avoir refuser de prendre des mesures pour assurer leur sécurité et surtout celle de leurs utilisateurs, là encore, c’est un autre sujet mais sachez-le, il est déjà arrivé que des données personnelles soient perdues parce qu’un opérateur a choisi d’ignorer en pleine conscience une faille de sécurité dont la correction l’aurait contraint à se rendre in-dis-po-ni-ble pendant une période jugée trop longue. Pour un site comme Amazon.com, une rupture de service de quelques heures représente plusieurs centaines de milliers de dollars de manque à gagner. C’est à ce moment qu’intervient l’équation que je ne sais pas exprimer correctement parce que moi les maths ça me gonfle > risque/gain pour l’opérateur // risque/ta gueule pour l’utilisateur.
Ce qui nous amène la véritable particularité de l’attaque du 21 octobre.

Du danger d’avoir des ampoules connectées

Le 21 octobre, ce ne sont pas des PC qui ont pris d’assaut les serveurs de Dyn mais essentiellement des objets connectés. Les objets connectés vont de la voiture intelligente au frigo qui sait avec quoi vous le remplissez en passant par une TV, une caméra reliée au réseau pour surveiller son bébé ou son salon via son téléphone ou un magnétoscope numérique.
Autant de bidules embarquant des composants sous-traités à des usines chinoises qui se contentent du strict minimum en matière d’efficacité et de sécurité. En gros, ça marche, ça ne prend pas feu, donc c’est bon, c’est CEE Compliant. Quand soudain, quelqu’un découvre que des composants produits par XiongMai Technologies sont particulièrement vulnérables – pour ne pas dire carrément pas protégés – et décide d’exploiter cette vulnérabilité. Précisément, ils sont équipés d’identifiants par défaut, genre Login > Admin et Mot de passe > Admn.  Il en résulte le malware Mirai qui se promène sur la toile en quête du composant incriminé dans lequel il va se lover. Du botnet de PC mal sécurisés par leurs propriétaires, on passe au botnet d’appareils électroménagers qui font tomber des parties essentielles du réseau.
Et les appareils connectés potentiellement dangereux, il y en a plein et surtout de plus en plus. Mirai s’attaque principalement aux webcams en réseau (qu’on puisse brancher une caméra sur le Net en permanence, je ne comprends pas) et aux magnétoscopes numériques (pas vraiment utilisés chez nous puisque les Box en font office). Mais quantité d’appareils connectés s’apprêtent à débarquer. Des frigos capables de vous conseiller des recettes en fonction du contenu ou, et on en trouve déjà en grandes surfaces, des ampoules dont on peut contrôler l’intensité et la couleur avec son téléphone. Problème : tout le monde se contrefout de la sécurisation de ces machins du moment qu’ils coûtent pas trop cher. En conséquence, c’est toute une gamme de produits qui peut devenir un relais pour lancer des attaques, ou vous casser les bonbons. Et pour corriger ce genre de failles, bonne chance. En tant qu’utilisateur, contrairement à un PC ou un smartphone vous n’y pouvez pas grand-chose car ils ne disposent pas tous d’une interface, ou si c’est le cas, vous n’êtes pas toujours sensibilisés. Du coup, ce qu’on appelle « l’Internt des Objets » permet potentiellement de créer une armée de zombies gigantesque comme on l’a vu le 21 octobre, pouvant dégommer une des compagnies disposant des meilleures protections. Le scénario apocalyptique serait alors celui d’une attaque coordonnée de plusieurs botnets de ce genre ciblant plusieurs fournisseurs de DNS afin de provoquer une véritable panne mondiale. Pour autant, ça n’est pas la fin du monde annoncée par les grands média. L’attaque du 21 octobre a mis à mal une portion du web, les sites dépendants d’un fournisseur de DNS sur un territoire donné. Pas l’ensemble de la toile.
Une première bonne nouvelle depuis l’attaque : la société XiongMai Technologies, pointée du doigt par l’expert Brian Krebs, première victime de Mirai en représailles de sa grande gueule, a annoncé la diffusion rapide de correctifs de sécurité ainsi que le rappel des produits ne pouvant être mis à jour.
Une solution plus radicale résiderait dans une prise de conscience des états. C’est un peu là qu’on rigole. Hihi. Tout comme on impose des normes qui nous évitent de nous électrocuter en touchant un interrupteur, de voir un appartement prendre feu parce qu’un frigo a trop chauffé ou d’avoir les yeux qui éclatent parce que le micro-onde fuit, il faudrait qu’il existe une norme imposant une sécurisation minimale des objets connectés. Car, soit dit en passant, il est plus facile actuellement de voler une voiture de luxe avec un ordinateur qu’avec un pied de biche. Et ne rêvons pas, ce ne sont pas les industriels qui vont s’emmerder avec ce genre de préoccupations dont personne n’a cure si on ne les y contraint pas… d’ou cette longue tirade dont je vous ai gratifié. Mais ne soyons pas médisant, sachez que l’Europe y songe en ce moment très sérieusement, ce que je viens littéralement d’apprendre il y a quelques heures. Merci, bisous, bonne nuit.

Prochains épisodes envisagés :

La sécurité numérique dans ta maison, c’est comme un passage à niveau, faut pas se croire plus fort que le train
J’ai un compte Gmail, ça me gratte dans le slip, c’est normal ? Oui.
Ma vie : pourquoi je pense que mes cours de dessin par correspondance c’était sans doute une arnaque.

Publicités

3 réflexions sur “La Cyberattaque du 21 octobre expliquée à mes proches numériquement béotiens

  1. C’est un très chouette article, je trouve le résumé propre et simple à comprendre. Autant je savais en gros ce qui s’était passé (une attaque DDoS sur un très gros fournisseur de DNS aux Etats-Unis, bref, le résumé rapide quoi), autant je n’avais pas toujours les bonnes manières de l’expliquer… merci 🙂

    J'aime

  2. Merci beaucoup pour cet article. Et même pour tous les autres d’ailleurs. A chaque fois que je lis du Dinowan j’ai l’impression d’être totalement con et c’est bien ça qui me plaît. Alors effectivement j’ai 4 neurones dont 3 au chômage mais au moins j’apprends des trucs en lisant tes lignes. Et non j’avais jamais entendu parlé de l’attaque du 21 octobre parce que je me tiens bien loin des informations en tout genre et n’est plus de compte facebook. Toujours est-il que si je comprends bien il pourrait y avoir une armée de petits chinois underground qui, s’il se préparaient bien, pourraient vraiment mettre à terre une grosse partie d’internet dans le monde.
    Ahlala! Le progrès rend la vie compliquée. Je vais aller vivre en slip dans la Creuse moi…
    Merci encore et continue de nous éclairer de tes lumières!

    J'aime

    • Jamais entendu parler, je n’ai plus de compte facebook, s’ils se préparaient bien… Mon neurone était surchargé au moment où je tapais.

      J'aime

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s