Trafic internet basé sur l'appel d'adresses IP V4

Trafic internet basé sur l’appel d’adresses IP V4

Hier, vendredi 21 octobre 2016, près de la moitié de l’Internet des USA s’est arrêtée lorsque des hackers ont lancé une des plus grandes cyber-attaques informatiques par « déni de services distribués » (DDoS-Distributed Deni of Services) à ce jour. La cible: les serveurs de Dyn. Un des acteurs majeurs (mais peu connu) de l’Internet qui gère une des pièces centrale du puzzle: les DNS (Domains Name Server, j’expliquerai le DNS plus tard).

Les auteurs de l’attaque et leur motivations sont inconnues, mais dans tous les cas, l’événement a servi de démonstration efficace de la façon dont un pan entier du Web peut s’écrouler sous les assauts de malfaiteurs déterminés. En plus, les attaquants ont tiré avantages de services de routage de trafic comme ceux offerts par Google et Cisco (OpenDNS). Cela a rendu l’attaque encore plus difficile à contrer car, comme dans une transaction payée en cash, la trace de l’origine se perd et il est difficile pour Dyn de séparer les attaques des requêtes légitimes

La victime, Dyn a publié ce rapport après la panne :

Dès 11:10 UTC le vendredi 21 octobre 2016 nous avons commencé à surveiller et atténuant une attaque de DDoS contre l’infrastructure de DNS de Dyn. Quelques clients peuvent éprouver une latence accrue liée à la résolution d’adresses DNS et la propagation retardée de zone pendant ce temps. Des mises à jour seront postées dès que ne nouvelles informations seront disponible.

Il est terrifiant de constater que des sites Web majeurs comme Twitter, Spotify, CNN, BBC, New-York Times, PayPal, etc. peuvent être tous perturbés en un instant. Le processus exact utilisé par les hackers est déjà en partie connu. Je vais tenter ci après d’expliquer comment les sites Web les plus populaires peuvent être mis en difficulté en un instant.

Liste non exhaustive des sites perturbés (87) par l'attaque du 21 octobre 2016

  • ActBlue
  • Ancersty.com
  • Atom.io
  • Basecamp
  • BBC
  • Big cartel
  • Blue Host
  • BostonGlobe
  • Box
  • Braintree
  • Business Insider
  • Cleveland.com
  • CNBC.com
  • CNN
  • ConstantContact
  • Credit Karma
  • dailynews.com
  • Disqus
  • donorschoose.org
  • Elder Scrolls Online
  • Etsy
  • Eve Online
  • Eventbrite
  • Fortune
  • Fox News
  • Freshbooks
  • FT.com
  • Genonebiology.com
  • Github
  • Grubhub
  • Guardian.co.uk
  • HBO Now
  • Iheart.com (iHeartRadio)
  • Imgur
  • Indeed.com
  • IndieGoGo
  • Insteon
  • Intercom
  • Intercom.com
  • Kayak
  • Livestream.com
  • Netflix
  • New York Times
  • NHL.com
  • nimbleschedule.com
  • Okta
  • PagerDuty
  • Paragon Game
  • PayPal
  • People.com
  • Pinterest
  • Playstation Network
  • Qualtrics
  • Recode
  • Reddit
  • Runescape
  • Salsify.com
  • SBNation
  • Seamless
  • Shopify
  • Soundcloud
  • Speed Test
  • Spotify
  • Squarespace Customer Sites
  • Starbucks rewards/gift cards
  • Storify.com
  • Survey Monkey
  • The Verge
  • time.com
  • Twillo
  • Twitter
  • Urbandictionary.com (lol)
  • Vox.com
  • Weather.com
  • Weebly
  • Wikia
  • Wired.com
  • Wix Customer Sites
  • WSJ.com
  • Wufoo.com
  • xbox.com
  • Yammer
  • Yelp
  • youneedabudget.com
  • Zendesk.com
  • Zillow.com
  • Zoho CRM

Quelle est la technologie mise en oeuvre ?

macgpic-1477130448-129195501528275-sc-jpt

Points chauds des attaques du vendredi 21.10.2016

Les serveurs de nom de domaine (DNS) jouent le rôle sur Internet de l’annuaire téléphonique. Ils facilitent les accès aux pages Web demandées. Ils s’assurent que chacun d’entre nous, à une extrémité du Net, aboutisse au bon endroit chaque fois que nous entrons l’adresse d’un site (URL). Les hackers ont attaqué un des principaux fournisseurs de DNS (l’annuaire du Web) afin de réduire les services des sites qu’ils gèrent. Vendredi, l’attaque de Dyn a réduit (presque) au silence les services de Twitter, PayPal, CNN etc. Plusieurs millions de personnes ont été touchées.

Par exemple, un utilisateur typique d’Internet est UN parmi BEAUCOUP d’ordinateurs dans un immense réseau relié par les câbles souterrains et sous-marins (par exemple votre ordinateur portable ou votre iPhone). Les différents noeuds sur ces réseaux communiquent entre eux grâce aux adresses IP. Le DNS est employé pour traduire une demande comme une URL (www.factory16.ch) mémorisable par l’être humain en adresse IP (152.198.12.34) compréhensive par les serveurs, routeurs et ordinateurs… Mais aussi par tous les nouveaux « objets connectés » comme des caméras, des sensors, des thermostats ou des frigos.

Quand vous entrez dans un URL- comme www.gt-conseils.com – votre navigateur commence par essayer de savoir où ce site Web est hébergé en interrogeant une série de serveurs. Tout cela est complexe et je ne vous ennuierai pas avec toute la cascade d’événements et services impliqués.

Comment une attaque par déni de services (DDoS) fonctionne ?

En résumé: les attaques par déni de service consistent à inonder de données inutiles le réseau d’un hébergeur pour le bloquer totalement. Plus précisément, voici la définition de Wikipedia de l’attaque par déni de service:

Une attaque par déni de service (denial of service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de :

  • l’inondation d’un réseau afin d’empêcher son fonctionnement ;
  • la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier ;
  • l’obstruction d’accès à un service à une personne en particulier ;
  • également le fait d’envoyer des milliards d’octets à une box internet.

L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise.

L’attaquant hacker n’a pas forcément besoin de matériel sophistiqué. Ainsi, certaines attaques DoS peuvent être exécutées avec des ressources limitées contre un réseau beaucoup plus grand et moderne.

Les premières attaques n’étaient perpétrées que par un seul « attaquant » ; rapidement, des attaques plus évoluées sont apparues, impliquant une multitude de « soldats », aussi appelés « zombies ». On parle alors de DDoS (distributed denial of service attack). Ensuite, les attaques DoS et DDoS étaient perpétrées par des hackers seulement attirés par l’exploit et la renommée. Ainsi, certains hackers se sont spécialisés dans la « levée » d’armées de « zombies », qu’ils peuvent ensuite louer à d’autres hackers pour attaquer une cible particulière. Avec la forte augmentation du nombre d’échanges commerciaux sur Internet, le nombre de chantages au déni de service a très fortement progressé.

Qu s’est-il passé vendredi ?

Vendredi, les assaillants ont utilisé des centaines de milliers d’appareils connectés à Internet qui avaient déjà été infectés par un code malveillant (le malware Mirai) qui leur a permis de provoquer des pannes qui ont commencé dans l’Est des États-Unis, puis se sont propagées à d’autres parties du pays et de l’Europe. Ce malware a pour spécialité de chercher sur le web de petits appareils connectés sur lesquels s’installer. Une caméra IP en soit n’a guère de puissance mais c’est l’accumulation de ces petits soldats qui finit par constituer une armée à l’impressionnante force de frappe.

cvyy816w8aahjw6

Le 6 octobre, Flashpoint disait avoir recensé des centaines de milliers de ces appareils capables d’être infectés

« A ce stade, nous savons que ce fut une attaque sophistiquée hautement distribuée impliquant des dizaines de millions d’adresses IP», a déclaré le chef de la stratégie de Dyn, Kyle York. Le Département américain de la Sécurité intérieure et le Federal Bureau of Investigation a déclaré qu’ils enquêtaient.