Les attaques DDoS expliquées à tous

Temps de lecture estimé : 27 minute(s)

Lors de réunions de famille, une fois les banalités d’usage épuisées (météo, trafic routier, santé…), il m’arrive souvent de devoir répondre à la fameuse question : que fais-tu dans la vie ? Vient alors le moment délicat où je dois expliquer à des personnes ignorant tout ou presque des grands préceptes de l’informatique ce qu’est une attaque DDoS. Et ce n’est pas une sinécure. Pour les aider à comprendre, j’ai fini par mettre au point une analogie avec le service du courrier postal ; analogie qui s’est avérée plutôt efficace pour les éveiller aux concepts derrière le premier D — pour distribué — de DDoS, du spoofing d’adresses IP, aux faiblesses et détournements possibles des protocoles de télécommunication…

Certains n’hésitent pas à parler de 3e guerre mondiale pour évoquer ce type d’attaques informatiques, que des États sont tentés d’utiliser comme un nouveau type d’arme de dissuasion massive, dans un contexte où la géopolitique devient aussi cyber. Il est donc temps d’en démocratiser la compréhension.

J’aime beaucoup l’une des planches des dessinateurs du blog CommitStrip, intitulée « The invisible war« . Cette planche, qui fait référence à l’attaque DDoS reçue par OVH en septembre 2016, résume parfaitement le fossé entre mes interlocuteurs et moi.

I. Pour comprendre, imaginons une attaque DDoS… par voie postale
Le déni de service « distribué »
Les moyens de défense
L’exploitation des défauts des protocoles de communication

II. La question de la dépendance à l’Internet
Le Minitel, cette fierté française qui nous a protégé (un temps) de la modernité
Quand les attaques DDoS sont un outil de censure

III. L’internet des objets : une armée d’assaillants ?

Pour comprendre, imaginons une attaque DDoS… par voie postale

Partons d’un système que chacun connaît : la distribution du courrier postal, dont l’opérateur historique en France est La Poste.
Imaginons que demain je passe au journal télévisé de 20h, un soir de forte audience. Disons sept millions de téléspectateurs. Et imaginons que pour les besoins d’une expérience que vous allez comprendre dans quelques minutes, je fasse la proposition suivante en direct : « J’invite chaque téléspectateur à poster demain matin une lettre à destination de Mme Hasard, domiciliée dans un appartement de la rue Kellermann à Roubaix (une rue bien connue, puisqu’elle abrite le siège social d’OVH). » Admettons que j’ai été convaincant. Le lendemain, ces millions de téléspectateurs auront passé le mot à leurs voisins, à leurs amis, à leurs familles. Environ dix millions de personnes participent à l’expérience.

J’habite une rue oubliée à l’extrémité d’une zone industrielle de la banlieue Mancelle. Bien que nous ne soyons pas beaucoup à y vivre, avec une seule levée journalière du courrier à 17 h, la boîte aux lettres la plus proche de ma rue est rapidement remplie. Il n’est bientôt plus possible d’y glisser la moindre enveloppe. Heureusement, il fait exceptionnellement beau et il n’y a pas de vent : les lettres s’entassent donc sur le dessus et à côté de la boîte. Même situation en centre-ville. Quant aux bureaux de poste, les employés y remplacent plus régulièrement qu’à l’accoutumée les bacs de réception du courrier, placés en contrebas des boîtes aux lettres qui ornent la façade du bâtiment.

Arrive l’heure de la collecte. D’ordinaire, un ramassage suffit à collecter l’ensemble des courriers affranchis du quartier jusqu’au centre de ramassage. Aujourd’hui, au moins trois allers-retours sont nécessaires à l’aide des petits utilitaires de La Poste, dont le volume est adapté au volume de courrier habituel.

Le centre de tri, à son tour, va faire face à une volumétrie de courrier importante. Vous ai-je dit que la qualité du service dépend en grande partie de la capacité de l’opérateur à livrer tout le courrier à temps ? Imaginez un instant les centaines de milliers de lettres qui arrivent sur ces nœuds centraux du système de distribution postale. Je regarderai à nouveau l’épisode « Comme une lettre à la Poste » de l’émission C’est pas sorcier pour en être sûr, mais je pense qu’aucun centre de tri de province n’est dimensionné pour trier tout ce courrier. Il va y avoir de la congestion à son niveau, un embouteillage, un ralentissement dans le traitement. Et, par conséquent, du retard dans la livraison.

Passons rapidement sur le transport du courrier depuis tous les centres de tri en amont (ceux depuis lesquels les lettres sont envoyées) vers le seul et unique centre de tri destinataire de tous ces plis, provenant de la France entière. Avions cargo, trains postaux et semi-remorques convergent vers le centre de tri roubaisien, inondant les équipes sous un flot de courriers peu habituel. Le bureau de poste du quartier se retrouve soudainement avec quelques millions de lettres à distribuer, auxquelles s’ajoutent les lettres égarées ou mal aiguillées dans les différents centres de tri, qui arriveront dans les jours suivants à destination.

Je vous laisse imaginer le facteur, effectuant sa tournée à bicyclette. Espérons qu’il a un permis poids lourd, car ce matin, c’est d’un camion de déménagement dont il va avoir besoin pour faire son travail. Sans quoi, il faudra qu’une équipe entière de facteurs se relaie  jour et nuit, à bicyclette et ce durant plusieurs jours probablement, pour venir à bout de cette montagne de lettres à livrer chez Mme Hasard.

Cela aura été une semaine bien difficile pour La Poste. Une semaine de congestion de son réseau de distribution, en raison d’une simple expérience, relativement facile à mettre en œuvre vous en conviendrez (d’ailleurs, de nos jours, on invite n’importe qui à la télévision).

Le flux de courrier à l’origine de la forte charge n’aura pas pu être distribué à temps, selon les délais contractuels ou habituellement constatés par les usagers. Mais le problème est plus sérieux qu’il n’en a l’air : en raison du flot de courriers à destination de Mme Hasard, la distribution de tous les courriers à destination de l’ensemble de la zone géographique, la métropole lilloise, a été perturbée et retardée. Car il a été impossible de dissocier du flux habituel les seules missives envoyées dans le cadre de l’expérience.

Allons un peu plus loin. Parce que La Poste se sait à la merci de ce genre d’événements (ici c’était une expérience, demain peut-être qu’il s’agira d’une farce lancée par un animateur télé, ou d’un acte malveillant), le réseau de distribution a été aménagé en conséquence :
– les boîtes aux lettres ont été remplacées par des bennes de chantiers de 3m3 ;
– les transports de courrier se font systématiquement à l’aide de semi-remorques ;
– les centres de tri ont reçu de nouveaux équipements plus performants ; etc.

Une véritable débauche de moyens, en regard du trafic habituel de courriers.  Mais une nécessité absolue pour assurer une qualité de service constante.

Le déni de service « distribué »

DDoS est l’abréviation de l’anglais Distributed Denial of Service, un déni de service distribué. Dans l’expérience que j’ai imaginée, c’est exactement ce qui s’est passé. Des millions de personnes, dispersées géographiquement, ont au même moment effectué la même action, occasionnant une « attaque par voie postale ».

Et cela n’a quasiment rien coûté ! Une simple lettre, postée le matin sur le chemin du travail ou de l’école. Et j’aurais pu faire mieux : en France, les lettres adressées au Président de la République n’ont pas besoin d’être timbrées. J’avais donc la possibilité de proposer une expérience encore moins coûteuse pour chacun, et j’aurais probablement augmenté le nombre de participants.

Il s’agit là d’un point intéressant : une telle attaque n’est pas nécessairement coûteuse pour les participants, qui constituent les vecteurs de l’attaque. C’est l’accumulation, la somme des actions individuelles qui crée l’attaque.

L’exemple du DDoS postal prête à sourire, car le volume des lettres papier est en recul, et la paralysie du système postal n’aurait probablement plus le même impact qu’il y a quelques années. Imaginez si cette expérience avait été menée en temps de guerre, il y a quelques dizaines d’années ? À l’époque de mes grands-parents, il y avait encore plusieurs distributions de courrier par jour ! Le courrier avant-hier et le téléphone hier étaient aussi indispensables au bon fonctionnement de la société et de l’économie qu’Internet ne l’est aujourd’hui.

Transposons aux centres d’appels d’urgence

L’analogie de l’attaque par voie postale ne vous a pas convaincu ? Un phénomène assez similaire est en vogue sur l’Internet : demander à son assistant numérique d’appeler le numéro des urgences de son pays. Ou plutôt, faire cette demande sur l’appareil d’un autre, pour lui faire une farce.

Or, les services d’appels d’urgences, ce sont :
– une capacité de traitement limitée ;
– un traitement systématique et humain de chaque appel ;
– un processus de traçabilité pour chaque appel entrant.

L’ordre de grandeur de la capacité de traitement de ces centres d’appels d’urgence peut être estimé entre la centaine et le millier d’appels simultanés. C’est peu. Imaginez l’horreur d’une diffusion à la télévision d’un « Dis Siri, appelle le 112 ».

Ça aussi, c’est un DDoS.

Les moyens de défense

Pour se protéger d’une attaque DDoS, deux points sont cruciaux. D’abord, la capacité à absorber les attaques. Car l’attaque est d’abord une attaque contre l’infrastructure, contre le réseau physique (même si ce n’est pas son objectif, sa cible étant dans notre expérience la pauvre Mme Hasard). Si le réseau est congestionné, l’ensemble des utilisateurs qui en dépendent seront affectés et/ou seront coupés du réseau par son incapacité à faire transiter l’intégralité du trafic.

Une infrastructure robuste et surdimensionnée

La première des défenses est donc logiquement d’être capable d’absorber l’attaque, de la transporter de bout en bout sur le réseau sans affecter les utilisateurs en leur infligeant des dommages collatéraux, bref sans affecter l’infrastructure. Pas de magie : il faut de l’équipement physique en suffisance. Se défendre en prévision d’un DDoS, c’est sur-dimensionner l’infrastructure réseau par rapport au besoin réel, pour qu’elle puisse supporter un pic de charge exceptionnel, sur lequel il n’est possible que de spéculer. C’est une course à l’équipement, poussée par la constatation d’attaques toujours plus puissantes.

Dans le cas de La Poste, le surdimensionnement passe par le recours à des poids lourds, des trains et des avions. Ce faisant, et avec l’aide de moyens humains supplémentaires, La Poste s’assure de pouvoir écouler le trafic de façon fluide vers l’ensemble des destinataires, dont Madame Hasard. Laquelle, si elle était à nouveau visée, recevrait ses quelques millions d’enveloppes à J+1.

Facile alors de lutter contre les attaques ? Pas tout à fait. Nous avons oublié un détail important : la boîte aux lettres de Mme Hasard, et sa capacité à ouvrir chaque enveloppe une à une pour distinguer les enveloppes provenant de l’expérience de celles contenant des messages importants.

Que va-t-elle faire de tout ce courrier ? Les options qui s’offrent à elles ne sont pas nombreuses.
– Lire les messages, en décachetant chaque lettre, une par une ? C’est humainement impossible, et même si elle le pouvait, vous ne la verriez plus sortir de chez elle pendant un bon bout de temps.
– Jeter arbitrairement une partie plus ou moins importante du courrier ? Au risque de perdre à tout jamais le faire-part de décès d’un cousin ou le dernier rappel de paiement pour une amende ?
– Se fier aux enveloppes pour faire un tri le moins arbitraire possible ?

Du filtrage en amont de la livraison au destinataire

Vous comprenez maintenant mieux la nécessité d’un second mécanisme de défense : un filtrage du courrier en amont de la remise au destinataire, pour trier le bon grain de l’ivraie.
L’objectif est d’imaginer des méthodes de filtrage qui permettront d’identifier le courrier illégitime, pour l’éliminer du flux et l’aspirer pour ne pas le délivrer.

Identifier une grande quantité de courriers en provenance d’un seul expéditeur est relativement simple. Mais comme l’énonce bien le fameux proverbe, si l’on ne peut pas être trompé mille fois par la même personne, on peut en revanche être trompé mille fois par mille personnes différentes. Autrement dit, quand les attaques proviennent d’une multitude d’expéditeurs, géographiquement disséminés, le filtrage n’est pas évident à mettre en œuvre. D’autant plus que, considérée individuellement, l’action de chaque participant de l’expérience (envoyer un courrier) n’a rien de caractéristique ; c’est l’action concertée de la masse qui crée l’attaque.

C’est précisément là que réside tout l’enjeu. En informatique, le filtrage se traduit concrètement par l’élaboration d’algorithmes, d’heuristiques qui permettent d’identifier le plus de mauvais courriers possibles, avec le moins de faux positifs possibles (ce serait bête de jeter une lettre des impôts, en la confondant avec un courrier illégitime). Dans le jargon, on appelle cela la mitigation de l’attaque. Et à la place des courriers, nous avons à faire à des paquets. Pas vraiment des colissimo, mais plutôt des paquets d’octets.

L’exploitation des défauts des protocoles de communication

Pour mitiger une attaque correctement, il faut d’abord comprendre comment en réaliser une. Le point de départ du raisonnement va être le postulat suivant : une attaque efficace va exploiter les failles d’un protocole défini et immuable. Prenons le fonctionnement de l’envoi d’une lettre par la Poste, le protocole postal.

Pour envoyer une lettre, vous prenez un papier, qui sera le support de votre message, l’information à transmettre. Ce papier, vous le mettez dans une enveloppe, qui sera le moyen de transport de votre information. Sur l’enveloppe, vous indiquez l’adresse de votre destinataire, votre adresse au recto en tant qu’expéditeur au cas où le courrier devrait revenir vers vous (mais c’est optionnel), et vous y collez un timbre. Il ne vous reste plus qu’à déposer votre lettre dans une boîte aux lettres, et le tour est joué.

C’est simple. Mais plus c’est simple, moins il y a de contraintes. Et plus il est facile d’abuser. Admettons que je décide de ne pas mettre mon adresse d’expéditeur. Ou pire : je la falsifie.

L’attaque par réflexion

Premier cas de figure : je me fais passer pour vous. J’envoie mes lettres en indiquant un expéditeur qui n’est pas moi. J’usurpe votre identité. Qui pourra vérifier ? Et ces lettres falsifiées me servent à envoyer en votre nom des bulletins d’inscription à tous les catalogues et revues gratuites possibles et imaginables. Du spam, en quelque sorte.

Je vais alors vous obliger à signifier à chacune des entreprises, une à une, que vous ne désirez pas recevoir leur courrier. Du boulot en perspective ! Ça, c’est une simple usurpation d’identité. Pour le réseau, la technique similaire s’appelle en anglais le spoofing d’adresse IP. Car certains protocoles de télécommunication ne spécifient délibérément pas de vérification de l’expéditeur.

Et dans ce cas précis, mon attaque est une attaque par réflexion avec une amplification :
– Réflexion : la réponse est envoyée à l’expéditeur affiché mais non vérifié ;
– Amplification : la réponse est plus volumineuse que le message initial dont l’expéditeur a été falsifié. Je n’ai eu qu’à expédier un bulletin format A5 en votre nom pour que vous receviez en retour un catalogue épais d’une centaine de pages.

Quelques contre-mesures

A priori, vous n’avez jamais signé de votre main aucune des lettres qui vous a conduit dans ce pétrin. Et ceci pourrait constituer une très bonne base pour votre défense. Mais avez-vous songé que certains parmi les destinataires n’ont pas d’intérêt à vérifier l’authenticité de l’expéditeur (c’est-à-dire qu’il est bien celui qu’il prétend être) ? Quels sont donc les moyens de lutter contre les usurpations d’identité ?

La signature ?

Pourquoi ne pas demander à votre opérateur postal de vérifier l’authenticité de l’expéditeur pour vous ? Ainsi il ne vous transmettrait que des informations signées et valides. Ce serait pratique. Oui, mais cela implique que cet opérateur ouvre l’enveloppe qu’il se contentait jusque-là de transporter. Souhaitez-vous que l’opérateur du service postal ouvre vos courriers ? Le secret de la correspondance vous protège aujourd’hui de cela. En tant qu’expéditeur souhaitant être authentifié, vous pourriez glisser dans votre enveloppe une simple signature, et joindre une deuxième enveloppe à l’intérieur de la première pour garantir la confidentialité de votre message. Mais le traitement de votre courrier risque d’en être ralenti.

Pour le réseau, la problématique est assez similaire. Il est nécessaire de trouver le juste équilibre entre le respect de la confidentialité des données et la nécessité d’appliquer un filtrage pour prémunir les utilisateurs des attaques. Les paquets d’informations transitant sur Internet sont encapsulés plusieurs fois. Si l’on se réfère au modèle OSI, on peut expliquer les choses ainsi : l’information est contenue dans une enveloppe, elle-même contenue dans une autre enveloppe, etc. De ce fait, il n’est pas nécessaire de décacheter jusqu’à la dernière enveloppe pour authentifier un expéditeur, ou encore s’assurer de la légitimité d’un message. Pour reprendre l’analogie, on peut tout à fait définir la forme du message attendu (une carte postale, une lettre manuscrite, un bulletin d’inscription), et en faire un critère de filtrage, ceci sans avoir à s’intéresser au contenu même du courrier.

La vérification d’adresse ?

Une idée m’est venue à l’esprit : demander à l’opérateur postal de vérifier que l’expéditeur envoie bien ses missives depuis une boîte aux lettres proche de son lieu de résidence. En réalité, cela n’a pas de sens, l’humain est mobile et peut très bien envoyer une lettre légitime depuis son lieu de villégiature, tout bêtement, ou près de son travail.

En revanche, avec des serveurs, la vérification d’adresse fonctionne très bien. Rangées dans leurs étagères (des racks), les machines n’ont qu’une mobilité très restreinte. Et le routeur placé en amont connaît les adresses IP configurées sur chacun de ses ports. Si bien qu’il est possible pour OVH de s’assurer, grâce aux règles du pare-feu, que le trafic sortant provient bien des expéditeurs qu’ils prétendent être. Un gage de confiance et de qualité vis-à-vis des autres acteurs d’Internet. Malheureusement, cette vérification d’adresse n’est pas généralisée, sans quoi une bonne partie des attaques n’existerait pas.

Un nouveau protocole ?

En fait, il existe d’ores et déjà un protocole postal plus sûr : la lettre avec accusé de réception, qui assure une traçabilité de l’envoi et dont l’accusé vous informe de la bonne réception de votre courrier. C’est bien plus cher pour l’expéditeur qu’un courrier standard, et pour cause : ce sont deux trajets d’informations au lieu d’un : l’acheminement du courrier jusqu’au destinataire, puis le retour de l’accusé à l’expéditeur. Et il y a un autre coût caché : le temps. L’opération est plus longue en raison du double trajet.

En réseau, l’analogie fonctionne une nouvelle fois : deux protocoles dominent les télécommunications : le TCP et l’UDP. Le TCP, c’est le protocole d’échange qui garantit la transmission correcte et ordonnée de l’information, mais au prix de nombreux allers-retours entre le client et le serveur. Le TCP, de par sa définition formelle, garantit que deux machines ne communiquent qu’après avoir chacune envoyé un message et reçu une réponse correspondante de l’autre partie. En pratique, cela génère l’échange de plusieurs accusés de réception, et même d’accusés des accusés…  L’UDP, c’est un protocole sans retour, qui permet d’envoyer à moindre coût l’information, mais sans la moindre garantie, et sans le moindre contrôle. Comme un courrier standard.

Tout comme le modèle du courrier postal, les protocoles de télécommunication dominants ont été mis au point à une époque où les abus et les détournements à des fins malveillantes n’avaient pas été imaginés. L’Internet en était à ses balbutiements, la puissance de calcul était faible, tout comme les débits des télécommunications. Impossible de prédire alors la place centrale que l’informatique en réseau allait occuper dans nos vies. Malheureusement, à force de bâtir par-dessus les protocoles historiques, il est aujourd’hui impossible de les remplacer sans faire s’effondrer tout l’édifice.

La question de la dépendance à l’Internet

Quand j’en suis là de mon explication au cours d’un dîner, vient en général la réflexion un rien moqueuse d’un des convives, consistant à rappeler que « tout ça n’est que virtuel, donc pas très grave ». Je renvoie alors la question à mon interlocuteur, en lui demandant s’il n’est pas plus dépendant à Internet qu’il ne l’imagine. Et je prends quelques exemples pour l’en convaincre.

Le Minitel, cette fierté française qui nous a protégé (un temps) de la modernité

L’exploitation du Minitel n’a été définitivement arrêtée qu’en 2012, avec le débranchement définitif du réseau encore utilisé par une poignée de nostalgiques (à moins qu’il ne s’agisse d’un phénomène d’addiction, préfigurant celui qui allait nous frapper quelques années plus tard avec les smartphones). Il a fallu un certain temps pour que l’on fasse le deuil collectif de cette invention française, pionnière certes, mais très vite dépassée par Internet et le protocole IP… réseau décentralisé que beaucoup ont mis du temps à considérer comme l’avenir de l’informatique au pays de Colbert.

La révolution numérique n’a donc pas touché la France de plein fouet. Elle a pris le temps de s’installer, et les anciens systèmes ont été longtemps préservés, qu’il s’agisse de la télématique ou des démarches administratives au format papier. En témoigne la prise péritel, dont la présence à l’arrière des télévisions n’est plus une obligation légale depuis seulement… 2014.

En conséquence, on peut de prime abord imaginer qu’une congestion d’Internet, engendrée par des attaques de grande ampleur, occasionnerait une paralysie limitée de notre pays. On ressortirait les stations de radioamateur du placard où elles avaient été remisées, on utiliserait à nouveau les cartes routières pour nous déplacer, et on se rendrait en mairie ou en préfecture pour les démarches que nous ne pourrions temporairement pas réaliser en ligne. Et si le site Internet de mon artisan boulanger n’est pas disponible, après tout, cela ne m’empêchera pas de casser la croûte (en revanche, pour la commande du gâteau d’anniversaire de mon fils, il faudra me déplacer pour feuilleter le catalogue et verser un acompte. C’est tout de même bien plus pratique de faire ça depuis chez soi ou sur son téléphone, comme l’ont compris plus tôt que nous nos voisins, allemands par exemple, chez qui le numérique est une évidence dans tous les corps de métier).

Certains pensent que le passé a encore de l’avenir. La plupart d’entre nous savons que ce n’est qu’une question de temps : notre dépendance, collective et individuelle, à Internet, augmente de jour en jour. Pour s’en convaincre, et se convaincre par la même occasion que se protéger des attaques DDoS constitue un enjeu majeur, jetons un œil au-delà de nos frontières, vers des pays qui ont surfé sur le numérique dès l’apparition des premières vaguelettes.

Le cas de l’Estonie

Il y a des pays précurseurs où le numérique et l’Internet sont fortement intégrés dans l’économie, dans l’administration, bref dans tous les services de la vie quotidienne. Plusieurs raisons expliquent cela : l’absence d’infrastructures existantes, freinant ailleurs le bond technologique ; la volonté politique ; la taille du pays qui joue sur sa capacité à se transformer rapidement, etc.

L’Estonie est l’un de ces pays précurseurs. Un pays qui est désormais totalement dépendant d’Internet. Un article de la BBC résume assez bien cette bascule au tout-Internet. Un changement qui a commencé dès le début des années 1990, pendant que le Minitel était encore en pleine expansion chez nous. Aujourd’hui, le numérique est une dimension majeure de la culture estonienne. L’informatique y est enseignée dès l’âge de sept ans !

Les Estoniens disposent d’une e-carte d’identité globale, qui sert aussi bien de carte de bibliothèque que de passeport, ou de support pour les informations médicales. Toutes ces données étant stockées dans une blockchain, la technologie sous-jacente à la cryptomonnaie Bitcoin. Une technologie mise au point dès 2007 dans ce pays.

En avril 2007, le pays est victime d’une attaque informatique, qui paralyse logiquement un grand nombre d’activité. C’est le déni de service de l’État ! Cette fois, ce n’est plus une expérience qui prive les voisins lillois de Mme Hasard de la livraison des cartes postales envoyées par leur famille durant les vacances. L’argent liquide ayant été remplacé quasi intégralement par le paiement électronique, la presse en ligne ayant rendu les tirages papier marginaux, le pays fut réellement à l’arrêt pendant quelques temps.

Le cas du Liberia

L’Estonie n’est pas un cas isolé. Et, en 2015, certains pays ne sont pas beaucoup mieux lotis face à ce risque. Prenons l’exemple d’un pays d’Afrique, le Liberia. Le type d’économie des pays africain est particulier : n’ayant pas de passé industriel, l’économie tertiaire y est prépondérante.

Au Liberia, il faut savoir que la connexion à l’Internet de l’ensemble du pays tient à un unique câble optique sous-marin, qui part de France et qui dessert tous les pays de la côte ouest de l’Afrique. Ce câble a une capacité de transmission de 5,5Tb par seconde, partagée entre une vingtaine de pays connectés. C’est bien peu.

En 2016 le Liberia est victime d’une attaque par le botnet Mirai, c’est-à-dire un réseau de machines compromises. Mirai est responsable des plus grosses attaques recensées jusqu’à aujourd’hui (attaque dont la volumétrie avait atteint le téraoctet par seconde). Pour cette fois, le pays n’a pas été coupé de l’Internet. Mais, cette attaque pose une nouvelle fois la question de la fragilité d’un État qui a basculé dans le tout numérique sans avoir tous les moyens de défendre son infrastructure face aux plus grosses attaques.

Quand les attaques DDoS sont un outil de censure

Une des utilisations possibles, peu évoquée, des attaques DDoS est la censure. Mettre à mal les infrastructures d’un pays entier peut nécessiter des moyens plus ou moins importants. Mais la pratique des attaques DDoS, qui s’est démocratisée, peut porter atteinte à la liberté d’expression et aussi constituer un outil de censure. Torpiller un site d’information dont les articles ou les opinions déplaisent à un État ou à un groupe de personne, avec pour conséquence de congestionner tout le réseau de son hébergeur est un moyen d’intimidation qui peut s’avérer efficace… lorsque l’hébergeur n’a pas la capacité de faire face aux attaques. Ce risque très bien expliqué par le journaliste américain en sécurité Brian Krebs, lui-même victime d’une des plus importantes attaques perpétrées par un botnet, justifie à lui seul la nécessité d’investir dans des protections et de prendre cette menace au sérieux.

L’internet des objets : une armée d’assaillants ?

Reprenons l’expérience que j’évoque au début de cet article. On a appris récemment qu’un perroquet était parvenu à passer une commande via une enceinte connectée. Imaginez que demain, les objets connectés tels que vos réfrigérateurs, thermostats, caméras de surveillance etc. entendent mon appel et envoient eux aussi des courriers à Mme Hasard. Ce n’est plus 10 millions de courriers qui engorgeront alors le réseau, mais des centaines de millions, au rythme où se développe l’IoT. Et c’est malheureusement ce qui se profile.

Votre réfrigérateur sera demain capable d’apprendre vos habitudes alimentaires, de vous commander les produits manquants dans une enseigne spécialisée, et enverra une notification à votre GPS quand vous passerez à proximité pour vous signaler que vos courses sont prêtes à être retirées. Pour atteindre ce niveau de raffinement (ou d’intrusion dans votre vie privée, je vous laisse juge), votre réfrigérateur ne sera pas équipé d’un bête programmateur de machine à laver. Il lui faudra être doté d’un petit ordinateur, un vrai, capable de calculer, connecté en permanence à l’Internet…  et donc susceptible d’être compromis et détourné pour commettre des attaques. Car il faut avouer que jusqu’ici, la sécurité informatique n’est pas vraiment la première préoccupation des concepteurs de réfrigérateurs connectés.

Un attaque de réfrigérateurs connecté… Du délire ? Pas vraiment : le phénomène est déjà à l’œuvre avec les caméras de surveillance reliées à l’Internet. Le fameux botnet Mirai utilisait un réseau comprenant entre 100 et 200 000 caméras corrompues ! Une caméra IP, c’est une carte-mère comprenant suffisamment de ressources pour capturer, compresser à la volée et envoyer un flux vidéo. C’est puissant, et désormais piloté par des systèmes d’exploitation dont les failles et vulnérabilités sont exposées publiquement. À commencer par le fait que de nombreuses caméras sont configurées avec les identifiants et mots de passe d’usine, autant dire ouvertes à tous les vents. Quelle ne fut pas ma surprise, lorsque j’ai découvert, sur un site diffusant les flux de milliers de caméras mal sécurisées à travers le monde, les images issue de la caméra d’un particulier, braquée sur la voie publique, sur laquelle on aperçoit l’arrêt de bus devant lequel je passe tous les matins.

Ces problèmes nous concernent tous. Nous sommes tous l’un des maillons de la chaîne. L’exemple du DDoS par voie postale montre une chose : la capacité de nuisance d’une personne seule est anecdotique. C’est désormais la somme de petites actions, commis par des systèmes embarqués dont on ignore le plus souvent qu’ils peuvent être compromis et détournés de leurs fins, qui fait peser la menace la plus lourde sur Internet.

Aujourd’hui, je n’ai plus besoin de passer à la télévision pour vous demander de participer à une expérience. J’ai à ma disposition des volontaires qui envoient tous les jours du courrier, automatiquement, sans discernement. Ce sont vos objets connectés. Il me suffit de glisser une ou deux lettres malveillantes dans la pile de courrier à envoyer. Et le tour est joué. Voilà le problème.

 

System and low-level developer. A CPU architecture is like a brain teaser to me; and I do love playing games...