Gérer les risques
Aujourd'hui et demain

Cybersécurité

Zeina Zakhour (Atos)  : « Attaques DDoS : la sécurité de l'Internet des objets n'existe pas »

Interview de Zeina Zakhour, directrice technique Cybersécurité chez Atos qui nous explique les dessous de la panne d'Internet du vendredi 21 octobre.

Que s’est-il passé sur Internet vendredi dernier ? Rappelez-nous les faits.
La société américaine Dyn a été victime d’une attaque en déni de service [DDoS : Distributed Denial of Service attack, NDLR]. C’est important parce que, en tant que fournisseur de services de noms de domaine [DNS : Domaine Name System, NDLR], cette société fait partie d’un groupe d’une vingtaine d’organisations dans le monde – principalement étasuniennes – qui, sous la houlette de l’Icann, ont la charge de traduire une adresse textuelle, par exemple infoprotection.fr, en une adresse IP [Internet Protocol, NDLR] faite de chiffres. Et c’est cette adresse IP qui permet d’ouvrir une page Web avec son navigateur.
De la part d’une société qui garantit l’accès aux pages du Web, se faire pirater de la sorte fait un peu amateur, non ?
A la décharge de Dyn, il s’agit d’un nouveau type d’attaque. En tous cas, à ce niveau. L’année dernière, il y avait eu dans le monde 3 attaques répertoriées à 300 à 400 Gbps. C’est-à-dire des attaques qui envoient 300 à 400 Gigabit de requêtes par seconde (Gbps) afin de saturer les serveurs. Aujourd’hui, d’après les chiffres que l’on a, le niveau d’attaque s’élève à 700 Gbps. En septembre dernier, Krebs, le site d’experts en cybersécurité et l’opérateur de Data centers OVH avaient été également attaqués avec des pics, pour OVH, à 1 Térabits de requêtes par seconde ! En fait, aucun opérateur, quel qu’il soit, ne s’attendait à de tels niveaux d’attaque.
Quel rapport y a-t-il entre le virus Mirai qui a été utilisé et l’internet des objets ?

En effet, pour lancer ce type d’attaque, il faut infecter des dizaines de milliers d’ordinateurs pour constituer des réseaux distribués, les Botnets. Ici, c’est le virus Mirai qui a été utilisé. Mais au lieu de cibler des ordinateurs, les attaquants ont privilégié des objets connectés – notamment des caméras de vidéosurveillance. Lesquels sont déjà très nombreux, 6 milliards aujourd’hui dans le monde. De plus, la très grande majorité de ces objets connectés n’est pas sécurisée. Le login est souvent  »admin » et le mot de passe  »123456 ». Le pirate n’a plus qu’à les scanner, les infecter pour en prendre le contrôle et lancer ses requêtes à très haut débit à partir d’un réseau de 500.000 à 1 million d’objets connectés.
Comment les spécialistes de la cybersécurité, qui connaissent Mirai, se sont-ils laissé avoir ?
Bien sûr qu’ils connaissaient Mirai mais pas de cette manière ! Pour monter ce genre de botnet, il n’a fallu qu’un à deux mois aux pirates. Déjà fin août, les spécialistes de la cybersécurité avaient détecté des attaques à partir de Botnets d’objets connectés. Mais nous ne sommes pas au bout de nos peines. Début octobre, les auteurs de ce virus l’ont mis en Open Source. En réalité, il y a même deux souches qui ciblent spécialement les Objets connectés : Mirai et Bashlight. Désormais, avec ces deux souches, en moins de 2 jours, on peut constituer un botnet d’un million d’objets connectés infectés.
Qui sont les attaquants ?
On n’a pas pu remonter la filière. En général, il y a plusieurs types d’acteurs. A commencer par les cybercriminels qui veulent faire du chantage et de l’extorsion. Viennent ensuite les États qui veulent déstabiliser l’économie d’un pays concurrent. On parle souvent de la Chine, de la Corée du nord, de la Russie… Actuellement, tous les grands États ont des moyens de constituer de tels botnets d’une manière plus ou moins sophistiquée. Enfin, il y a les Hacktivists qui veulent faire passer un message au travers de leur exploit. Pour le moment, on n’en sait rien car il n’y a pas eu de revendication connue, on en est au tout début. Rappelons qu’avec celle de Dyn, il n’y a eu jusqu’ici que 3 attaques de ce genre.
Comment les organisations peuvent-elles se protéger ?
Tout d’abord, les utilisateurs d’objets connectés doivent s’assurer d’avoir la capacité à changer les logins et mots de passe de leurs objets connectés. Or, sur certains modèles, ces éléments sont configurés en dur [Hard Coded, NDLR]. Bien sûr, il faut le savoir et se débarrasser de ces équipements. A cet égard, la société chinoise Xiongmai, fabricant de caméras de vidéosurveillance, a rappelé ses produits pour leur appliquer un patch… mais sans fournir d’outil de gestion des mot de passe pour parc d’objets connectés. En fait, sur ce marché, il y a eu une course à l’innovation. Quant à la sécurité, elle n’a pas du tout été à la source de la conception des objets connectés. La sécurité de l’IoT n’existe pas. Il faut une prise de conscience. Tout le monde est concerné.
Que peuvent faire les opérateurs de services de DNS ?
Ils ont l’habitude de gérer des attaques en DDoS tous les jours. Et les attaques à 300 Gbps étaient déjà très rares. Pour se protéger contre DDoS, il y a des solutions réseaux qui filtrent toutes les entrées afin de trier le grain de l’ivraie. Ces solutions fonctionnent bien jusqu’à 100 Gbps. Soit 80% des attaques DDoS. Mais au-delà de ce niveau, il faut passer par des centres de gestion d’attaques DDoS qui sont capables de traiter de très grands volumes de flux qu’ils analysent et nettoient. L’idée consiste à ne pas exposer directement sur la toile le serveur source DNS ou le serveur Web. Parmi les grands opérateurs de centres de gestion d’attaques DDoS, on peut citer Radware, Akamai, Atos, Arbor Network, Orange Business Services (OBS)…
Et que dire des fournisseurs d’équipements de sécurité qui n’ont pas intégré la sécurité des objets connectés ?
Cette industrie ne pourra plus se voiler la face. On ignore quelle est la proportion entre les équipements de sécurité dont on peut gérer les mot de passe et le parc et ceux qui en sont dépourvus. Ce qu’on sait, c’est que la majorité des objets connectés n’a pas été conçue en intégrant la sécurité à la source. Cette industrie n’a pas de bonnes pratiques.
Quel va être l’avenir ?
On va aller vers une standardisation, notamment avec des organisations comme l’alliance LoRa [réseau spécialisé pour l’IoT concurrent à Sigfox, NDLR]. Ensuite, il n’y aura que des initiatives individuelles d’industriels de l’objet connecté. Au niveau du monde d’Internet, il y a déjà des standards. Ce qui va changer, c’est l’analyse de risque, en particulier pour prendre en compte la croissance exponentielle des attaques DDoS. Donc les opérateurs de services et de sites Web vont souscrire des services des services en centres de gestion des attaques DDoS. Il va falloir tous se serrer les coudes !

Propos recueillis par Erick Haehnsen

Commentez

Participez à la discussion