Actualités

Dyn : et internet s’arrêta (en partie)

Header Dyn DDoS

Si vous êtes connectés en permanence à internet, vous n’êtes pas sans savoir que de nombreux sites internet étaient indisponibles le 21 octobre dernier. À l’origine de cette « panne » ? Une attaque par déni de service distribuée (ou DDoS) contre l’un des plus gros gestionnaires de DNS américains : Dyn. Retour sur cette attaque qui a paralysé le web pendant plusieurs heures.

Twitter, PayPal, Github ou encore Spotify, tous ces sites étaient inaccessibles et renvoyaient une erreur DNS hier soir dans la soirée. Leur point commun ? Leur DNS sont gérés par la société américaine Dyn, qui a été victime d’une attaque DDoS d’envergure.

Dyn DDoS gif

Un peu de théorie

Avant de s’attarder sur l’attaque d’hier, il convient de revoir quelques définitions des termes utilisés dans ce billet (Wikipedia).

DNS

Le Domain Name System (ou DNS, système de noms de domaine) est un service permettant de traduire un nom de domaine en informations de plusieurs types qui y sont associées, notamment en adresses IP de la machine portant ce nom.

Pour résumer simplement, il s’agit de l’annuaire d’internet. Et comme il n’est pas envisageable de confier la gestion de ce service à une seule entité, ce sont des entreprises privées comme Dyn qui en ont la charge.

DDoS

Une attaque par déni de service (denial of service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de :

  • l’inondation d’un réseau afin d’empêcher son fonctionnement ;
  • la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier ;
  • l’obstruction d’accès à un service à une personne en particulier ;
  • également le fait d’envoyer des milliards d’octets à une box internet.

L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise.

Que s’est-il passé ?

Vers 13h10 hier, Dyn a commencé à enregistrer les prémisses d’une attaque par DDoS. Celle-ci a été suffisamment importante pour perturber l’accès à de nombreux sites pour une partie des États-Unis. 4 heures plus tard, une nouvelle salve d’attaques est enregistrée alors que les équipes de Dyn commençaient tout juste à mitiger la précédente. Cela a rendu l’accès très difficile à de nombreux sites jusqu’en Europe jusqu’à 23h30.

Dyn DDoS Down

La plupart des sites utilisant les services de Dyn (et uniquement ceux-ci) étaient donc injoignables. Cela est dû au fonctionnement même des DNS centralisés. Plutôt que d’attaquer chaque site un à un, on s’attaque au DNS. L’impact sera donc plus fort, bien qu’aucun des sites impactés n’ait été réellement indisponible puisque toujours joignable via l’adresse IP.

Dyn DDoS Downmap

Selon Flashpoint, il semblerait que ce soit un fork de Mirai qui ait été utilisé pour cette attaque. Cet outil dont le code source a été libéré récemment permet de créer très facilement un réseau de botnets pour générer des attaques par déni de service. Le dernier exemple en date est l’attaque via des caméras IP contre OVH (la plus grosse attaque jamais enregistrée).

Les causes…

Le problème dans cette situation, c’est la centralisation. Plusieurs sites (et pas des moindres) utilisent le même service et uniquement celui-ci. Vous faites tomber ce service et c’est tous les clients qui tombent. Sauf si ceux-ci utilisent plusieurs services de DNS pour pallier à ce genre de problème. On a pu le voir hier, les gros comme Twitter et PayPal ne le font pas…

L’autre problème c’est l’Internet Of Things (IoT). En effet, Mirai,  le malware utilisé permet de prendre le contrôle sur les objets connectés comme les caméras IP et autres appareils de la maison. Bien souvent, les interfaces d’administration de ces équipements sont pleines de failles et une personne mal intentionnée peut en prendre le contrôle facilement. Tant que des efforts ne seront pas faits par les constructeurs, on continuera à assister à ce genre d’attaque, relativement simple à mettre en place.

Enfin, il faut savoir que ces attaques étaient attendues/prévues. Depuis plusieurs mois déjà, on sait que quelqu’un prépare une ou des attaques d’envergure sur internet. Depuis plusieurs mois, la plupart des géants du web sont « sondés », testés, attaqués, et tout cela méthodiquement. Le but ? Tester les défenses, préparer une grande attaque d’ici quelques mois ou années. Malheureusement, il n’y a pas grand-chose à faire dans ce genre de cas.

…et solutions

Il n’existe à ce jour aucune solution ultime pour se prémunir des attaques DDoS. Tant que les attaquants pourront mobiliser plus de force de frappe que ce que peuvent contrer les équipements de sécurité mis en place, alors ils gagneront. Le problème des attaques DDoS réside bien souvent dans la quantité de données envoyées.

(J’ai mis la carte parce que sinon ça faisait vide, elle ne parlera qu’aux plus chevronnés, c’est normal 😉 )

Petite information croustillante de cette histoire : Pornhub est mieux paré à ce genre de problème que Twitter et PayPal. En effet, le site pornographique le plus important de la planète utilise deux fournisseurs différents pour gérer ses DNS. Ainsi, alors que Dyn était par terre hier, le site était toujours accessible car leurs DNS secondaires avaient pris le relais.


Réfléchissez au fait qu’une seule entreprise ait été attaquée et que ce sont quelques-un un des plus gros sites de la planète qui ont été rendus indisponibles. Nous subirons de nouvelles attaques de ce genre de plus en régulièrement, avec toujours plus d’intensité. C’est le début de la troisième guerre mondiale, on vous le dit. 😉

Related posts

La gamme Wemo de Belkin sera bientôt compatible HomeKit

Julien Doclot

Le LG V40, le premier smartphone avec 5 appareils photo

thibaudd

LineageOS, la relève de Cyanogen est en marche

Alexandre Quilleré

Leave a Comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More