21 oct. 2016 : le premier soulèvement des machines

Rassurez-vous, un robot T-800 de va pas débarquer chez vous pour vous demander l’adresse de Sarah Connor.

En fait, hier, la moitié du web était inaccessible à cause de méchants petits robots. Explications.

Pourquoi la moitié du web est tombé ?

L’idée est ingénieuse. Pirater la moitié des serveurs de tout le web est quasiment irréalisable. Chacun a des mécanismes de défense différents. Et c’est hyper complexe.

Mener une attaque de déni de service sur la moitié du web est également très complexe. Il faut énormément de machines pour faire tomber tous ces serveurs.

Par contre, pour accéder à l’adresse IP de ces serveurs, nos différents ordinateurs et smartphones passent par d’autres serveurs qui vont associer le nom de domaine (twitter.com, spotify.com) à l’adresse IP du serveur (XX.XX.XX.XX).

En faisant tomber uniquement les serveurs de noms (serveurs DNS), nos ordinateurs ne sauront plus où aller chercher l’information et les services seront accessibles.

L’idée est donc de saturer le plus gros serveur de noms de la côte est des USA et le tour est joué.

OK. Mais comment faire saturer ces serveurs : il faut une armée de machines !

L’armée : les objets connectés

Nous sommes de plus en plus nombreux à avoir au moins un objet connecté chez nous : TV, Box internet, routeur, trackeur d’activité, caméra de vidéosurveillance et tout autre objet permettant un accès distants.

La plupart de ces objets fonctionnent avec un système d’exploitation GNU/Linux minimaliste. Qui a ses propres failles de sécurité.

La plupart de ces objets utilisent des protocoles de connexion « maison » pour se connecter depuis l’extérieur. En gros, on préfère faire notre propre protocole plutôt qu’utiliser des protocoles sécurisés comme HomeKit (Apple) ou Brillo (Google).

Et, vu qu’on est un peu paresseux, on créé un système d’exploitation avec un compte « root » (le compte qui a accès à tout le système) dont le mot de passe est simple. (« 1234 », « admin », etc)

Le compte utilisateur associé possède souvent un mot de passe par défaut très simple, permettant d’accéder à la configuration. (le mot de passe des Livebox a longtemps été « admin »)

Et, après tout, quel intérêt de pirater ma maison ? Tout le monde s’en fiche de ma vie privée.

Sauf que si on pirate les objets connectés de chacun pour les « armer », ça fait une armée énorme de millions d’ordinateurs. Car, après tout, ce n’est pas la taille qui compte mais le nombre de connexions effectuées simultanément.

Le piratage des objets connectés

Le procédé est assez simple : les adresses IP sont scannées pour trouver les appareils.

La connexion telnet (non sécurisée) de ces appareils est exploitée pour injecter du code en exploitant une faille. (on écrit des instructions dans un espace mémoire non protégé)

Plusieurs combinaisons nom d’utilisateur / mot de passe sont testées jusqu’à trouver la bonne combinaison.

Une base de données de robots est ainsi constituée.

Lancement de l’attaque

A une heure précise donnée, on demande à tous les millions de robots de se connecter à un même serveur. En l’occurrence le serveur de noms.

Ce serveur ne sait plus répondre à la demande qui le fait saturer.

Les ordinateurs du monde entier ne peuvent plus se connecter à ce serveur de noms.

L’accès aux serveurs de Twitter, Spotify, Netflix et autres devient impossible.

Et voilà.

Si vous voulez en savoir plus sur l’aspect technique, le botnet Mirai qui a servi à l’attaque est disponible en open-source.

 

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s