dimanche 23 octobre 2016

Cyberattaques OVH puis Dyn ou la déstabilisation numérique par objets connectés illustrée


Une vague de cyberattaques majeure débutée vendredi 22 octobre à 7h10, heure de New-York, a sérieusement perturbé l'accès à de nombreux sites internet d'acteurs majeurs étasuniens durant plusieurs heures. Inédite par son ampleur (durée, conséquences), elle s'est appuyée sur une typologie d'attaques old school, un déni de services distribués (DDoS) massif, via un mode émergent, celui de l'utilisation de centaines de milliers voire de millions d'objets connectés (IoT ou IdO). Un risque qui, s'il est pointé depuis quelques années [1], apparait aujourd'hui concrètement [2] et sera très probablement dans les prochains mois de plus en plus à la Une.

Comme lors des précédentes cyberattaques majeures [3], la prudence et la patience sont systématiquement de mise [4]. Il est donc trop tôt pour forger des réponses exhaustives et pointer la responsabilité de tel ou tel. L'objectif de cet article est cependant d'exposer les faits connus et vraisemblables [5] puis de poser quelques hypothèses en ce qui concerne les motivations et les possibles coupables, désignés ou auto-désignés.

Les faits
Les attaques ont eu lieu en trois vagues successives et se sont concentrées sur Dyn, un fournisseur de services internet. Elles ont d'abord touché la côte Est des USA durant deux heures puis les conséquences se sont faites sentir sur l'ensemble des USA puis ont finalement touché le vendredi soir les services européens des entreprises touchées.

D'après les premières informations, le DDoS aurait utilisé une dizaine de millions d'objets connectés, notamment des webcams et de caméras, grâce à l'utilisation de Mirai, un code malveillant apparu into the wild depuis environ un mois dont la particularité est de créer des botnets à partir d'objets et de capteurs connectés [6]. L'attaque se serait ensuite particulièrement concentrée sur  les services Domain Name System (DNS) de Dyn.

Les victimes
La conséquence de ces cyberattaques peut être considérée comme d'ampleur, les sites internet touchés étant ceux de grandes entreprises numériques : Twitter, Paypal, Spotify, Shopify, AirBnN, Reddit ainsi que des média comme le New York Times et HBO. La diversité et la puissance de ces différentes victimes souligne le caractère inédit et massif de l'attaque.

La séquence
Les perturbations générées par cette vague de cyberattaques interviennent alors qu'enflent ces dernières semaines plusieurs pomiques aux USA dans le cadre de leur élection présidentielle
- les fuites liées à l'affaire des courriels [7] du parti démocrate ;
- les accusations [8] du gouvernement étasunien envers la Russie qui mènerait, d'après lui, des cyberattaques afin de déstabiliser l'élection du 8 novembre 2016.

Ajoutons que Julian Assange, hébergé politiquement dans l'ambassade équatorienne de Londres depuis 2012, a vu ses accès internet coupés puis réduits fortement le samedi 15 octobre suite à la diffusion des 19 000 courriels du parti démocrate. Le créateur de Wikileaks est en effet accusé d'une certaine collusion avec les services russes qui auraient, en réalité, réalisé la "récupération" des courriels afin de favoriser l'élection du candidat républicain, Donald Trump, réputé comme étant plutôt "Poutine enthousiaste".

Les réactions
Il est notable de constater que du côté des autorités fédérales américaines, la plus grande prudence transparait. En revanche, d'autres n'ont pas la même retenue et utilisent à bon compte cet incident majeur afin de gonfler les muscles et de le faire savoir. C'est ainsi que la réaction du secrétaire général de l'OTAN doit être perçue [9]. Ce serait fortement anticiper que d'y voir l'atteinte du seuil de déclenchement de la réponse armée de l'OTAN face à l'agression cyber de l'un de ses membres [10].

Les possibles coupables
Les États : Corée du Nord, Russie
Très rapidement citées, la Corée du Nord puis la Russie font effectivement de bons candidats notamment dans le cadre des tensions actuelles avec les USA et l'Europe sur les dossiers ukrainiens et syriens ou entre une partie de l'Asie et des USA face à la posture guerrière nord-coréenne. Pour autant, le coupable désigné est tellement évident que d'autres pistes sont à envisager sérieusement. Et les cyberattaques réalisées n'ont pas forcément réclamé une expertise technique de niveau étatique. D'où les réserves apparues rapidement tant à l'égard de la Corée du Nord [11] que de la Russie [12], y compris du côté des services étasuniens chargés de l'enquête en cours.

Une vendetta entre intérêts privés ?
Célèbre chercheur et bloggeur, Brian Krebs a été la toute première victime d'importance médiatique à subir un DDoS d'ampleur en septembre, juste avant OVH. Alors qu'une présentation sur l'enquête qu'il a menée avec Doug Madory, le directeur de l'analyse internet de...Dyn (!) a été effectuée mardi dernier (19 octobre), certains ont fait le rapprochement [13] avec la possible sanction d'une tierce partie explicitement mise en cause, BackConnect, société de cybersécurité accusée de pratiques techniques illégales par Doug Madory [14]. D'autant plus que Dyn a réalisé ces derniers jours une deuxième levée de fonds d'un montant de 50 millions $.

Wikileaks ?
Le tweet qui illustre cet article semble indiquer que les supporters de Wikileaks auraient organisé les cyberattaques contre Dyn. L'hypothèse apparaît peu probable, les capacités de Julian Assange et de ses troupes semblant plutôt reposer sur leur force de frappe médiatique, les fuites (leaks), que des capacités techniques qui feraient trembler le net. L'époque des hacktivistes et de leur artillerie logicielle LOIC [15] semble bien lointaine !

Pour conclure
Il est évidemment à ce stade trop tôt pour accuser qui que ce soit, surtout sans un début d'élément de preuve. A titre personnel, la vengeance entre personnes (ego) de différentes entreprises techno et/ou cybersécurité apparait plutôt séduisante. Maintenant, le jeu à 25 bandes étant l'une des caractéristiques de nombreux services de renseignement, une franche manipulation étasunienne en vue d'accroître la pression sur la Russie ou, à l'inverse, celle des services russes à quelques jours du vote pour la présidentielle aux USA tient parfaitement la corde. Voire une tierce partie étatique (Iran, Syrie, Chine) pour qui le contexte et la séquence apparaissent comme idéal. L'hypothèse Wikileaks, malgré sa revendication, apparaît finalement peu crédible, l'intelligence de la situation les ayant conduit à se payer une bonne communication à peu de frais.


[2] https://www.ovh.com/fr/a2367.goutte-ddos-n-a-pas-fait-deborder-le-vac (à lire, magnifique communication d'OVH !)
[4] http://si-vis.blogspot.fr/2016/03/cyberattaques-les-papillons-de-nuit-les.html 
[5] Issus de http://www.aljazeera.com/news/2016/10/hackers-cripple-internet-wide-scale-cyber-attack-161022063916685.html, http://www.euronews.com/2016/10/22/who-broke-the-internet-cia-and-fbi-scramble-to-find-authors-of-massive et http://www.forbesadvocate.com.au/story/4244589/massive-disruptions-to-internets-infrastructure/?cs=4096

Aucun commentaire: