Les auteurs du botnet Mirai étaient trois universitaires américains. Paras Jha, Josiah White et Dalton Norman ont tous trois plaidé coupable vendredi dernier dans un tribunal d’Anchorage, en Alaska. On sait ainsi désormais qu’au départ, le botnet le plus dangereux à ce jour n’était qu’un projet pour s’attaquer… à des serveurs Minecraft.
On se souvient de Mirai : un malware visant spécifiquement les objets connectés pour les contaminer et les contrôler à distance, créant l’un des plus formidables botnets jamais observés. Après une attaque contre OVH remarquée par son extrême brutalité, Mirai est devenu un phénomène mondial après celle contre Dyn, engendrant des problèmes d’accès pour de nombreux sites.
Mais en à peine un peu plus d’un an depuis les premières attaques, les trois principaux auteurs du malware et du botnet ont été arrêtés. Ils ont plaidé coupable des charges de cybercrime qui pesaient contre eux, en vertu de la loi américaine Computer Fraud and Abuse Act. Fait peu commun, particulièrement dans ce type d’affaire, le procès avait lieu dans un tribunal d’Alaska.
Les premiers échos d’un titan
Quand le monde a découvert Mirai, il sévissait déjà depuis un moment. Le FBI finissait de boucler alors, avec l’aide d’autres pays, une enquête sur vDOS, un service payant d’attaques DDoS, donc criminel. Un vrai petit business : conçu pour attaquer les serveurs de jeu, il permettait aux intéressés de payer de petites sommes en vue de s’en prendre à un concurrent pendant un duel par exemple. vDOS était cependant une variante d’un autre botnet, Qbot, apparu en 2014.
Les premiers signes de Mirai ont donc marqué la différence. Le malware était manifestement nouveau. Particulièrement efficace pour repérer les nombreuses catégories d’objets connectés qui pouvaient être infectés, en exploitant des listes d’identifiants fournis par les fabricants et non modifiés par les utilisateurs, ou directement des failles de sécurité, dont certaines 0-day.
Le FBI, en lien avec des entreprises comme Cloudflare, Akamai, Flashpoint, Google et Palo Alto Networks, se rend alors compte que le malware fait bien mieux son « travail » que ses prédécesseurs. Non seulement les différences d’architectures matérielles ne le dérangeaient pas, mais il gérait très bien le cap des 100 000 appareils contaminés. 20 heures après son apparition, selon Wired, 65 000 infections avaient déjà eu lieu, et le nombre doublait toutes les 76 minutes. À son apogée, Mirai contrôlait simultanément 600 000 objets connectés.
Le premier vrai choc a alors lieu : OVH est frappé par une attaque DDoS d’un flux de 1,1 Tb/s, du jamais vu. Devant un tel assaut, l’hébergeur vacille, mais tient bon. Octave Klaba, son fondateur et PDG, publie alors une série de tweets pour avertir du danger.
L’évolution par la compétition
L’attaque contre l’hébergeur français a été le premier signe tangible de l’existence de Mirai pour beaucoup, mais c’est celle contre Dyn qui lui a donné son caractère international. Entre temps, le botnet avait frappé le célèbre blog de Brian Krebs, avec un pic à 623 Gb/s. De quoi pousser Akamai, qui gérait les défenses contre de telles attaques, à abandonner son client, rien ne pouvant stopper une telle déferlante.
Dans le même temps, les auteurs de Mirai perfectionnaient le code, notamment via une concurrence intense avec vDOS, puisque les botnets se partageaient les mêmes cibles. Ils décident alors, pour brouiller les pistes, de rendre le code de Mirai open source. Une action lourde de conséquences.
C’est en effet une variante du Mirai original qui va provoquer la panne de Dyn. Le fournisseur de services DNS, maillon essentiel de l’infrastructure même d’Internet, s’écroule devant une attaque d’une force inégalée. Dyn évoque alors 1,2 Tb/s, mais le chiffre n’a jamais vraiment été confirmé. Amazon, Netflix, Paypal, Airbnb, Twitter, GitHub ou encore Reddit deviennent alors inaccessibles, attirant tout à coup le feu des projecteurs sur un phénomène nouveau. Non par son fonctionnement, puisque l’infection d’un objet connecté n’était pas neuve, mais par son ampleur et son organisation.
Comme le précise à Wired Justin Paine, responsable chez Cloudflare, cette attaque a provoqué une réaction coordonnée de la plupart des gros acteurs d’Internet. Des ingénieurs d’entreprises différentes ont alors commencé à échanger de nombreuses informations, notamment via Slack, dans des canaux dédiés. Le tout pendant que Mirai continuait son œuvre, privant notamment le Libéria tout entier d’Internet et contaminant 900 000 modems Deutsche Telekom en Allemagne.
Si la situation n’a pas plus dérapé – en dépit des ravages déjà causés – c’est parce deux mouvements étaient à l’œuvre. D’abord les efforts concertés des entreprises avec des conseils et modifications qui portaient doucement leurs fruits. Mais aussi parce que la publication du code de Mirai s’est en quelque sorte retournée contre le malware : les différentes variantes sont devenues ennemies. Elles concourraient ainsi pour les mêmes objets, disposant pour cela de fonctions spécifiques pour déloger les adversaires et prendre leur place.
Aux origines de Mirai, Minecraft
Avant que tout ne s’éparpille à cause de la multiplication des variantes, des points communs ont pu être trouvés par les enquêteurs. Grâce notamment à des pots de miel créés par Akamai, l’analyse des attaques a montré que Mirai semblait s’en prendre en priorité aux serveurs de jeu, notamment ceux de Minecraft.
Le FBI découvre alors cet univers, où les serveurs les plus populaires étaient capables d’engranger 100 000 dollars par mois au plus fort de l’été. Ils ont rapidement pris conscience aussi que ces serveurs se faisaient parfois la guerre, notamment grâce… à des attaques DDoS. De quoi donc provoquer des interruptions de service et s’en prendre directement au portefeuille.
Un élément qui permet de réinterpréter certaines des attaques. Et si OVH avait été attaqué pour son produit VAC, que des serveurs Minecraft utilisent justement pour se prémunir contre les attaques DDoS ? Même chose pour Dyn, comme on le sait depuis août dernier : les attaques semblaient viser des serveurs de jeu, et non pas l’entreprise elle-même. C’est l’ampleur de l’attaque qui a provoqué un élargissement du problème au reste de l’infrastructure.
Un trio infernal
La piste des auteurs de Mirai aura pris quelques mois à remonter. Les agents du FBI ont récupéré un certain nombre d’objets contaminés par le malware. On se souvient cependant que ce dernier ne résidait qu’en mémoire, s’effaçant donc en cas d’extinction de l’appareil. Les agents devaient donc attendre qu’ils soient à nouveau infectés, ce qui n’était pas forcément long, tant le botnet était virulent.
De là, à force d’analyser le code et les connexions établies, le FBI a pu remonter jusqu’à un lot d’adresses email et numéros de téléphones portables. Le reste est un pistage des informations via des mandats de recherche, ouvrant petit à petit la voie vers les trois auteurs originels de Mirai : Paras Jha, Josiah White et Dalton Norman.
On sait désormais quels sont leurs rôles respectifs. Paras Jha est l’architecte principal du malware, jouant aussi l’agent de liaison sur les forums de hacking, sous le pseudonyme d’Anna-senpai. Josiah White a conçu de son côté l’architecture du botnet proprement dit, ainsi que le scanner qui permettait de repérer les futures victimes de Mirai, l’un des points forts du malware par son efficacité. Enfin, Dalton Norman était chargé de mettre la main sur des failles à exploiter, augmenter encore la dangerosité du malware. Dans la manœuvre, il a même trouvé quatre failles 0-day.
Les trois auteurs de Mirai ont tous plaidé coupable vendredi dernier, même si l’information n’est devenue publique qu’hier soir. La condamnation n’a pas encore été prononcée, mais ils risquent une peine de prison allant de 5 à 10 ans.
Par ailleurs, même si ce chapitre particulier est clos, l’histoire de Mirai se poursuit puisque des variantes continuent d’apparaître. L’héritage du botnet sera certainement multiple, car il aura eu le mérite de braquer des centaines de milliers de doigts sur un manque cruel de sécurité dans les objets connectés, si bien que la situation a dû paraître parfois risible aux trois auteurs.
Dans ce domaine, les bonnes pratiques évoluent lentement. Mais on peut espérer que les fabricants arrêteront bientôt de considérer la sécurité comme une citoyenne de seconde zone. En contact avec Internet, les objets connectés doivent pouvoir se défendre… ou tout du moins éviter de faciliter la vie des pirates avec des choix déplorables, comme on avait pu le voir avec le cas emblématique des caméras connectés Foscam en juin dernier.
