Une attaque informatique géante fait trembler le web aux Etats-Unis

L'un des principaux fournisseurs de service de résolution de nom de domaine américain a été victime d'une attaque en déni de service massive ce 21 octobre. L'accès aux sites de plusieurs de ses grands clients a été affecté.

[Mis à jour le 24/10/16 à 13:35] Un groupe de hackers, baptisé New World Hackers, a revendiqué sur Twitter l'attaque lancée contre Dyn, la qualifiant de "test annuel". D'après CBS, ce groupe qui se réclame être un collectif d'activistes est présent en Russie, en Chine et en Inde. Dans le passé, ce groupe avait revendiqué des attaques similaires contre ESPN.com et la BBC.

Le fournisseur de service de résolution de nom de domaine (DNS) américain Dyn a été victime d'une vaste attaque en déni de service (DDoS) ce 21 octobre. Elle a engendré des problèmes d'accès à quelques grands sites web figurant parmi ses clients, parmi lesquels Reddit, Twitter, Spotify, Airbnb, GitHub, Paypal ou eBay. Plusieurs sites de médias ont aussi été affectés, comme ceux de CNN, du New York Times et du Wall Street Journal. Certains des sites touchés ont pu enregistrer des temps de latence anormalement long, voire des indisponibilités complètes, y compris depuis l'Europe. La rédaction du JDN (basée à Paris) a pu constater un temps d'accès inaccoutumé à Twitter vendredi après-midi (les pages pouvant demander plusieurs dizaines de secondes pour s'afficher).

Cibler un DNS pour faire tomber les plus grands sites

"L'attaque a affecté principalement la Côte Est des Etats-Unis et les clients de notre service de DNS dans cette région", indique Dyn sur son site. En fin d'après-midi, la société informait que son service faisait l'objet d'une seconde vague d'attaques, puis d'une troisième, et précisait être toujours en train d'analyser le problème et chercher des solutions. En début de soirée, le service de cartographie DownDectector affichait encore des pannes sur le réseau de Level3, principalement localisées aux Etats-Unis (voir capture ci-dessous).

Un peu après minuit samedi matin, Dyn affirmait avoir résolu le problème.

Cartographie DownDectector des pannes du réseau Internet de Level3. © Capture

Des dizaines de millions d'objets connectés piratés

Pour parvenir à leur fin, les attaquants ont eu recours à des millions d'objets connectés préalablement infectés par un virus. Un réseau IoT "zombies" qu'ils ont pu exploiter pour lancer des milliards de requêtes sur le DNS en vue de le rendre hors d'état de fonctionner (c'est là le principe du déni de service). Les objets connectés ciblés ici ? Il s'agit notamment de webcams ou encore d'appareils de diffusion ou d'enregistrement vidéo... C'est le code malicieux Mirai qui a été utilisé par les pirates pour les détourner de leur mission habituelle. "Nous avons compté des dizaines de millions d'adresses IP [représentant autant objets connectés ndlrissues du botnet Mirai, qui ont contribué à cette attaque", précise Kyle York, Chief Strategy Officer de Dyn (lire son post complet sur le site de Dyn).

"DNS est un protocole particulièrement ciblé par les pirates de par la relative simplicité à forger des attaques puissantes ainsi que les dégâts causés. S'attaquer à un fournisseur de DNS spécifique, comme Dyn, permet par ailleurs de perturber un plus large éventail de cibles", commente Vincent Lavergne de l'éditeur de logiciels de sécurité F5 Networks. "Les pirates ont récemment utilisé cette approche dans plusieurs attaques de haut niveau. Un botnet IoT reposant sur le virus Mirai a d'ailleurs déjà été utilisé plus tôt ce mois-ci en France contre OVH. Il s'agissait, aussi, d'une des plus grandes attaques DDoS jamais enregistrées."

DDOS