Dyn, le service qui gère une partie essentielle de l'infrastructure de nombreux services, a subi une attaque massive il y a quelques jours. Résultat : de nombreux sites inaccessibles en tapant leur nom de domaine. Derrière l'attaque se cache Mirai, un réseau d'objets connectés « zombies » qui marque un pas dans l'évolution des botnets.
Le 21 octobre restera dans les mémoires chez Dyn, et « dans l'histoire » selon Kyle York, son directeur stratégique. Quelques dizaines de services importants, d'Airbnb à Twitter en passant par GitHub ou Reddit, sont devenus difficilement accessibles pendant quelques heures le soir. La raison : une attaque par déni de service distribué (DDoS) contre le fournisseur de services DNS Dyn, sur lequel reposent de nombreux acteurs américains.
Où se situe concrètement le problème ?
Dyn gère les « zones DNS » de nombreux sites, notamment américains. C'est dans ces zones qu'est indiqué concrètement vers quelle adresse IP doit se diriger un internaute qui demande à accéder à un service lié à un nom de domaine, comme le site web ou le serveur email derrière monsite.com.
Pour chaque nom de domaine, la zone DNS est un élément primordial : si elle ne déclare plus rien ou si elle déclare de fausses informations, le site associé n'est plus accessible. Même si le site en lui-même fonctionne bien techniquement, et que ses serveurs tournent sans problème, la route qui mène du nom de domaine au contenu est coupée.
Le système DNS fonctionne globalement en couple, avec d'un côté le serveur de nom (qui déclare la zone DNS, donc dit vers où aller quand on tape une URL (exemple : monsite.com) et de l'autre le résolveur DNS (qui demande où aller, pour ensuite y diriger l'internaute). Quand le serveur de nom envoie de mauvaises informations ou une fin de non-recevoir, le résolveur DNS est simplement incapable d'envoyer vers le serveur qui héberge le site.
Pour sa part, Dyn s'est fait connaître du grand public grâce à DynDNS, un service qui permet d'associer une adresse IP dynamique à un nom de domaine ou un sous-domaine. Cet outil est, par exemple, pratique pour héberger un contenu chez soi, quand son fournisseur d'accès change régulièrement l'adresse IP de la connexion.
Depuis, Dyn est devenu un gestionnaire de zone DNS majeur pour les tiers. La promesse est simple : une configuration sûre, des performances accrues, une grande sécurité et une gestion tout-en-ligne simplifiée. Une approche « cloud » qui a séduit de nombreux acteurs du Net, dont certains se reposaient uniquement sur lui pour maintenir cet élément essentiel de leur infrastructure.
Quelle différence avec le blocage de Google.fr par Orange ?
Alors, quelle est la différence avec l'incident chez Orange la semaine précédente (voir notre analyse) ? Pour rappel, le fournisseur d'accès a bloqué Google, Wikipédia et d'autres sites pendant quelques heures, suite à une « erreur humaine » dans la gestion des sites à détourner pour le compte du ministère de l'Intérieur.
La différence ? Dans un cas, c'est le résolveur DNS d'Orange qui donnait une mauvaise information à l'internaute, le redirigeant vers une page du ministère de l'Intérieur au lieu du site demandé, quand bien même le vrai site était bien accessible. Dans l'autre cas, le serveur de Dyn, sur lequel s'appuie habituellement le résolveur DNS pour savoir où aller, était inaccessible... Donc personne ne savait où diriger l'internaute.
Que s'est-il passé avec Dyn ?
Concrètement, le service qui associe certains noms de domaine (comme twitter.com) aux serveurs qui hébergent les sites a été saturé de requêtes, jusqu'à créer une importante latence, voire le rendre tout simplement inaccessible. L'opération s'est déroulée en deux vagues, explique l'entreprise dans un communiqué.
Le 21 octobre, vers 13h30, une attaque a visé les points de présence sur la côte Est des États-Unis. Les serveurs ont été placés là pour être près des internautes de la région, donc limiter la distance avec eux. Les serveurs de nom dans ces points de présence ont donc été rendus difficilement accessibles pendant environ deux heures, l'attaque étant officiellement contrée vers 15h30. Le problème a surtout touché les internautes à l'Est du pays, comme le montrait à ce moment l'opérateur de transit Level3. Le reste des internautes, eux, dépendent d'autres serveurs placés ailleurs.
Une seconde vague a touché le service vers 17h. Cette fois, elle « n'était pas limitée aux points de présence sur la côte Est » des États-Unis, note la société. Conséquence : bien plus d'internautes touchés, dans un plus grand nombre de régions du monde, dont une partie des Français. L'entreprise dit avoir mis un peu plus d'une heure pour y faire face. Une troisième attaque a ensuite été tentée, mais aurait été contrée sans conséquence sur l'accès au service, donc aux sites qui en dépendent.
« Notons que Dyn n'a pas subi de panne de l'ensemble de son système » tient à rappeler l'entreprise, qui a surtout été saturé un temps. En attendant, de nombreux services importants ont été affectés. C'est notamment le cas d'acteurs hébergés par Amazon Web Services, le premier fournisseur de cloud public mondial, dont la zone DNS est en partie gérée par Dyn.
La redondance du DNS, point faible de certains services
Le 21 octobre, une part importante des services en ligne populaires a donc montré qu'elle disposait d'un point faible, Dyn. Ils se reposaient entièrement sur l'entreprise, qui devenait donc un point à attaquer pour faire tomber de nombreux acteurs d'un seul coup. Dyn est ainsi un point de défaillance unique, ou single point of failure (SPOF) dans la langue de Taylor Swift.
L'incident pose donc la question de la centralisation des serveurs de nom. « Cette panne généralisée, provoquée par l'attaque, est aussi la conséquence d'une concentration excessive et dangereuse des services DNS, souvent pour des raisons économiques » juge par exemple Stéphane Bortzmeyer, interrogé par L'Expansion.
Comme nous l'explique Éric Freyssinet, secrétaire général du CECyF et grand spécialiste des réseaux zombies (botnets), les bonnes pratiques recommandent pourtant de ne pas s'appuyer sur un seul serveur de nom. « Passer par un acteur professionnel tel que celui qui semblait être ciblé ici n'est pas le problème (tout le monde n'a pas la compétence pour gérer des serveurs DNS de façon stable et en gérant la répartition de charge dans la durée), mais le fait de mettre tous ses œufs dans le même panier peut l'être » affirme-t-il.
Il note tout de même que l'événement n'est pas commun : Dyn affirme avoir été attaqué sur différents points dans le monde. « Il est fort possible que des infrastructures DNS en fait bien réparties géographiquement aient été attaquées en même temps, donc c'est un nouveau scénario d'attaque (attaque massive contre plusieurs points) qu'il faut apparemment prendre en compte ici » poursuit Freyssinet.
L'Internet des objets est-il le futur des botnets ?
L'une des particularités de l'attaque est l'attaquant : un botnet composé d'objets connectés, infectés par le malware Mirai. Dyn affirme que « des dizaines de millions d'adresses IP étaient impliquées », avec Mirai aux manettes, pour une bonne part de l'attaque. Face aux ordinateurs, l'intérêt de ces objets est le nombre. Souvent mal sécurisés, ces appareils ont un accès direct au réseau et sont peu surveillés, donc ils peuvent être facilement coordonnés dans des masses inégalées.
Pour mémoire, un botnet est un réseau de terminaux « zombies », qui sont infectés par un logiciel malveillant et souvent utilisés dans le cadre d'attaques coordonnées. Si la pratique se veut aussi vieille qu'Internet, elle a évolué pour passer massivement d'ordinateurs (par exemple sous Windows) à d'autres catégories, dont les routeurs personnels et les objets connectés, infiniment plus nombreux.
Mirai semble marquer un pas dans cette évolution. Début octobre, son code source a été publié en ligne et, il y a quelques jours, une alerte officielle a été donnée au sujet du logiciel. Il aurait notamment infecté les passerelles cellulaires de Sierra Wireless, après avoir été à l'origine de plusieurs attaques DDoS.
Pour Éric Freyssinet, « Mirai est un des premiers botnets utilisant de façon documentée et massive ce qu'on peut appeler des objets connectés (même si on peut noter plusieurs botnets similaires exploitant par exemple des routeurs Wi-Fi ou ADSL résidentiels) ». Il rappelle tout de même que « Mirai n'est pas un botnet d'IoT tel qu'on peut l'entendre couramment (balances, réfrigérateurs ou montres connectées). On est face à des objets plus classiquement concernés par ce type de menaces (routeurs, caméras IP, enregistreurs vidéo), tournant sous des implémentations de Linux adaptées, déjà régulièrement ciblées ».
L'une de ses victimes récentes a été OVH. Contacté, l'hébergeur nous confirme que l'attaque massive dont il a fait l'objet comprenait des terminaux infectés par Mirai et Bashlite. L'entreprise a compté 145 000 objets connectés, pour des pics de trafic à 1 Tb/s ; un chiffre record. Depuis, « nous n’observons plus forcément Mirai ou Bashlite, mais des variantes du code source original [qui a fuité pour les deux]. Elles se sont multipliées ces derniers temps » nous affirme l'entreprise.
Les objets connectés sont-ils assez sécurisés ?
Mirai ne réinvente donc pas les botnets, mais se distingue par une approche multiplateforme, pour lesquelles le logiciel malveillant est adapté. Sur le fond, pourtant, Mirai exploite les mêmes travers que ses prédécesseurs. Il s'agit de la négligence des utilisateurs. Dans le cas des produits Sierra Wireless contrôlés par Mirai, c'est un mot de passe par défaut laissé tel quel qui facilite l'infection.
Comme nous l'expliquait Éric Freyssinet l'an dernier, à l'occasion de la Botconf 2015, la sécurité est très rarement la priorité des concepteurs d'objets connectés... Elle est même parfois oubliée. « Oui les objets autres que l'ordinateur personnel, les serveurs ou les téléphones mobiles seront utilisés pour supporter des botnets et des attaques, notamment parce que moins bien sécurisés » confirme-t-il aujourd'hui.
Il faudra encore sûrement du temps pour une prise de conscience complète du problème. Il en a fallu pour les fournisseurs d'accès, qui ont placé des identifiants identiques sur leurs boxes, pendant des années. « Les boxes ADSL des opérateurs français ont depuis longtemps pris le pli avec des mots de passe différents pour chaque client et complexes, et ils recommandent tous de changer ce mot de passe » rassure le spécialiste. Orange, par exemple, utilise un extrait du mot de passe du réseau Wi-Fi sur son dernier modèle.
Pour sécuriser les nouveaux terminaux dès la conception, les conseils sont les mêmes que pour un ordinateur ou un routeur. Il s'agit de « tenir à jour son système et changer le mot de passe par défaut. Maintenant encore faut-il que les fabricants documentent correctement cela et rendent effectivement accessibles ces options aux utilisateurs finaux. Il y a apparemment encore du chemin à faire » conclut Freyssinet.
