L’origine du botnet qui fit trembler Internet enfin révélée

Le 9 février 2017

L’attaque contre l’hébergeur OVH en septembre, et en octobre contre le service DNS de DynDNS qui a bloqué l’accès à des sites de grande écoute, aux Etats-Unis, a révélé un nouveau mode opératoire d’attaque.

Dans un premier temps, il fut envisagé que ces attaques étaient le fruit d’une action coordonnée de la part d’un Etat compte tenu de son ampleur. Cependant l’identité des attaquants a été divulguée, le 20 janvier 2017, et il s’agit d’attaques orchestrées pour des motifs très différents.

L’attaque par déni de service (DDos) dont fut victime les deux entités fut provoquée par le botnet Mirai (« futur » en Japonais). Un botnet est un programme connecté à Internet qui infecte une machine pour l’exécution de tâche précise. Ce programme communique, via un serveur, avec d’autres machines infectées pour l’exécution de tâches malveillantes. La particularité de Mirai est qu’il infectait les objets connectés de massivement afin de rediriger les connections de l’appareil vers une adresse IP précise. Les botnets ne sont pas nouveaux, mais l’usage des objets connectés confère à ces attaques une puissance décuplée.

La première victime de ce botnet se trouvait être le site krebsonsecurity.com, le 17 septembre, le site internet de Brian Kreps, ancien journaliste IT pour le New York Times, et désormais spécialiste en cyber sécurité.

La deuxième attaque fut dirigée contre les serveurs OVH du 18 au 23 septembre. Le 30 septembre, le code du botnet Mirai fut posté sur GitHub, plateforme de partage de programme, par Anna-Senpai, pseudonyme de l’auteur.

Une troisième eut lieu le 26 octobre contre DynDNS, ce qui rendit des sites tel que CNN, Reddit, Linkedin indisponibles pendant plusieurs heures.

Brian Kreps, première victime de ce type d’attaques a mené l’enquête afin de révéler l’identité derrière ces attaques. En décelant une familiarité entre le botnet Mirai et d’anciens botnets datant d’il y a moins de trois ans, dont il fut victime, il put commencer à comprendre l’évolution du mode opératoire. La particularité de ces botnets est de chercher d’autres appareils à infecter. Ironiquement, les caméras de sécurité furent visées en particulier. La première cible de ces attaques était des serveurs de Minecraft. En effet, ce jeu très populaire, vendu à plus de 100 millions d’exemplaire en 5 ans, nécessite de se connecter sur un serveur pour évoluer dans leur univers.

Après des attaques par DDoS en 2014, de nouveaux services de protection anti-DDoS, sont apparus sur le marché. C’est sur ce secteur que nous retrouvons l’entreprise : Protafs Solutions. Cette entreprise est composée de deux personnes seulement : Josiah White et Paras Jha. Paras Jha est la personne qui a codé le Botnet Mirai afin d’attaquer les serveurs Minecraft. Il utilisait auparavant Qbot, mais ce dernier était aussi utilisé par ses concurrents. Il a décidé d’en créer un nouveau, plus puissant et rendant obsolète le précédent. En attaquant lui-même des serveurs dont Protafs Solutions n’était pas le prestataire. Ainsi, Paras Jha assurait un avantage compétitif à son entreprise en jouant à la fois comme attaquant et défenseur.

Ces attaques et le mode opératoire sont très instructifs pour l’évolution de la sécurité des systèmes d’informations. L’usage à grande échelle de Mirai a fait apparaitre le problème de firmwares, n’étant pas suffisamment sécurisé. Le problème soulevé vient principalement de la multiplication des objets connectés qui sont pour la plupart dotés de failles de sécurité. Dans une société connectée, l’attaque d’un point nodal du réseau peut se révéler néfaste pour l’accès aux données présentes sur la même infrastructure physique, ici les serveurs ou le service DNS. Une attaque dirigée à la base contre des serveurs de Minecraft a eu des impacts plus importants que sa première finalité. Le botnet Mirai nous présente le futur des attaques informatiques, dans la perspective de l’augmentation du nombre d’objets connectés. Les attaques nous rappellent l’importance de la mise en place d’infrastructures disposant de système d’information dual.

William Paris