Apres l'attaque sur SNS DYN, la sécurité des IoT en question par Cheapset, IBM, SentinelOne, F5, Kaspersky, 6Cure, Hiscox, ESET, Zscale...

 

Communication Corporate: 

 

 

C-1

 

 

 

 

 

 

Suite à la série d'attaques DDoS vendredi 21 octobre 2016 avec entres autres pour cibles le fournisseur de DNS DYN et OVH nous publions quelques commentaires  d'experts IT. Rappel: la première cyberattaque aurait atteint les 620 Go/s, un volume qui s'est avéré impossible à gérer pour l'hébergeur Akamai. C'est ainsi que le site s'est retrouvé hors ligne pendant plusieurs jours. De nombreux services sur Internet ont connu des interruptions voire une mise hors service comme pour aux Etats-Unis Twitter, Airbnb, Paypal ou Spotify. Si la plupart des sites ont été remis en service au bout de quelques heures, les autorités américaines viennent tout juste d'annoncer l'attaque comme « totalement neutralisée » le mardi 25 octobre soit cinq jours apres le début des attaques. 

 

A l'origine: des webcams piratées agissant telles des zombies du DDoS. Le deuxième incident notoire a affecté l'hébergeur français OVH. Ce dernier a survécu à une attaque avec des pointes à 1,5 To/s menée, selon ses informations, par des pirates exploitant 145 000 caméras et enregistreurs vidéo numériques (soit un cas similaire à celui d'Akamai). Dans les deux cas, les IoT sont considérés comme vecteurs principaux. La bande passante est une ressource comme une autre. À lui seul, un périphérique générant un trafic situé entre 1 et 30 Mo/s semble ne pas présenter de risques importants ; en revanche, la charge générée par des centaines de milliers d'entre eux pouvant atteindre 2 To/s supplémentaires, il deviendra alors nécessaire d'agir pour protéger les ressources réseau.

 

 

 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 

 

Arnaud Cassagne, Directeur des Opérations, Cheapset, groupe Newlode :

 

Il s'agirait du même type d'attaque que pour OVH, Le malware Mirai serait derrière tout ça, avec un botnet composé de caméras et de DVR. Cette fois-ci ils ont ciblé un seul type de serveurs (les DNS), et concentré la force de frappe sur un service crucial. Sans réponse aux requêtes DNS c'est toute la chaîne applicative qui est impactée.

Se pose encore la sécurité des objets connectés, et de ce qui pourrait se passer si les « Réseaux de Bot » s'étendaient encore un peu plus. Les foyers recèlent de dizaines d'objets connectés, dont certains disposant d'une puissance de calcul importante (CPU, débit réseau, etc.). Hier, une partie d'Internet a été paralysée quelques heures, quid de demain ?

 

 

Norman Girard, Vice-Président et directeur général Europe de Varonis :

 

Comme beaucoup de nos technologies vieillissantes, DNS n'a pas été conçu avec un impératif de sécurité à l'origine. DNS est une technologie de base de l'internet qui permet aux gens de se connecter à d’innombrables ressources sur le web en utilisant des noms plutôt que des adresses IP (voyez ces dernières comme des numéros de téléphone). C’est pourquoi, quand les vulnérabilités de DNS sont exploitées les hackers peuvent faire beaucoup de dégâts : les ordinateurs ne savent plus quel "numéro de téléphone" appeler lorsque l’utilisateur souhaite se connecter à un site, comme Twitter ou eBay par exemple. DNS est l'une des technologies vieillissantes que l'industrie a du mal à mettre à jour, tout comme l'authentification à simple facteur (une sécurité par mot de passe uniquement), les connexions web non chiffrées, etc. La liste est très longue et les enjeux n’ont jamais été aussi élevés. De nombreuses personnes et organisations sont affectées par cette dernière attaque, de même que par les fuites d’emails et de fichiers survenues ces deux derniers mois.

 

 

 ioT-AtT-report-2016-CyberisquesNews

 

 

Commentaire de Jeremiah Grossman, Directeur de la stratégie de sécurité de SentinelOne :

 

Les services DNS sont devenus indispensables à n’importe quelle entreprise ou site web pour la stabilité et les performances d'Internet. C’est pourquoi, les entreprises externalisent généralement la gestion des DNS à des fournisseurs tiers qui disposent d'infrastructures de qualité et fiables. C'est tout naturellement que ces infrastructures sont devenues des cibles attrayantes pour des attaques DDoS à grande échelle - parce que si vous faites chuter un de ces fournisseurs de services DNS, vous pouvez perturber un grand nombre de services en ligne, ce qui est exactement ce que nous avons observé vendredi. Les fournisseurs de DNS se bousculent pour augmenter la capacité de leur bande passante afin de pouvoir supporter les éventuelles attaques DDoS qu’ils pourraient subir.

 

 

Vincent Lavergne, Directeur avant-vente de F5 Networks EMEA Europe :

 

Le ciblage de DNS (Domain Name Systems) pour lancer des attaques DDOS est de plus en plus commun. DNS est en effet la technologie qui contrôle le trafic Internet et des emails et qui aide à gérer les messages entrants et sortants. DNS est la clef de voute de l’Internet permettant à tout un chacun de ne pas avoir à retenir les adresses IP des sites pour les applications mais leurs noms. Les pirates ont récemment utilisé cette approche dans plusieurs attaques de haut niveau, comme par exemple dans le cas du botnet IoT Mirai utilisé plus tôt ce mois-ci contre OVH mais aussi auparavant lors de l’attaque qui a touché Spamhaus. Toutes deux ont en commun d’avoir été parmi les plus grandes attaques enregistrées à leur époque. Comme le prouve encore cette attaque, DNS est un protocole particulièrement ciblé de par la relative simplicité à forger des attaques puissantes (paquets UDP, technique d’amplification, etc.) ainsi que les dégâts causés. En effet si le DNS d’une société est indisponible, c’est l’ensemble des applications de cette entreprise qui ne sont plus accessibles.

Ce qui rend cette attaque différente c’est qu'un fournisseur de DNS spécifique, une société appelée Dyn ait été la cible, plutôt que des organisations spécifiques. En faisant cela, les pirates ont réussi à perturber un plus large éventail de cibles parmi les organisations qui utilisent les services du fournisseur dont des sites de renoms tels que Box, CNN, Imgur, PayPal Twitter, Spotify, Github, Airbnb, Reddit, etc. L’impact généré par cette attaque deviendra plus clair avec le temps, mais les piratages de cette nature mettent clairement en évidence la nécessité pour les entreprises de bénéficier de capacités de sécurité DNS plus robuste. »

 

 

 

David Emm, chercheur en sécurité chez Kaspersky Lab :

 

« Le vendredi 21 octobre, les médias du monde entier se sont fait l’écho d’une cyber attaque de grande envergure exploitant des objets connectés domestiques, comme des caméras de vidéosurveillance et des imprimantes. Cette attaque visait un fournisseur de services DNS et, indirectement, des sites web très populaires comme Twitter, Spotify, AirBnB et Reddit. Certains suggèrent que l’attaque a été menée, au moins en partie, par un réseau botnet d’objets connectés (IoT). Les attaquants ont infecté des appareils vulnérables avec le malware Mirai. Ce malware avait déjà été utilisé dans une attaque DDoS (Distributed Denial of Service) contre le chercheur en sécurité Brian Krebs. Cependant, le code source de Mirai ayant été récemment publié en ligne, il est impossible de confirmer avec certitude que nous avons affaire aux mêmes criminels.

Il semblerait que la méthode d’infection ait été particulièrement simple et repose en partie sur la complaisance humaine – celle des fabricants qui livrent leurs produits avec des configurations par défaut, et celles des utilisateurs qui ne changent pas ces configurations. Les attaquants utilisent les informations par défaut pour accéder aux services en ligne – y compris les routeurs, caméras IP, enregistreurs DVR, etc. Une fois que le code malicieux a été écrit sur l’appareil, il fait partie du réseau botnet. Comme dans toutes les attaques DDoS, les cybercriminels utilisent les appareils infectés pour submerger de trafic le site de leur victime, l’empêchant de fonctionner normalement. Pour arriver à écrire le code sur un objet connecté, il faut que l’objet dispose de suffisamment d’espace de stockage, ce qui écarte un certain nombre d’appareils (comme les grille-pain ou les machines à café).

Ce n’est pas la première fois que des objets connectés sont utilisés pour mener ce type d’attaque. Au cours des dernières années, des vulnérabilités dans des moniteurs pour bébé et des webcams avaient été mises au jour, permettant d’utiliser ces appareils pour d’autres buts que ceux pour lesquels ils ont été conçus. Les objets connectés sont des cibles faciles car beaucoup fonctionnent avec des configurations par défaut que les attaquants peuvent exploiter, il y a rarement des mises à jour du firmware et ils disposent souvent d’une connectivité 24/7.

Le meilleur conseil à donner aux gens qui utilisent des appareils connectés chez eux est de changer tous les mots de passe par défaut (en utilisant des mots de passe uniques et complexes). Cela permettra d’éviter qu’ils soient accessibles à distance – ce conseil est valable pour les box internet qui donnent accès au réseau domestique. Déconnecter tous ses appareils pourrait apparaître comme une bonne solution, mais il faut être pragmatiques et une bonne gestion de ses mots de passe suffit déjà à prévenir un grand nombre d’attaques. L’affaire de vendredi doit également rappeler aux fabricants qu’ils ont un rôle à jouer dans la sécurisation de leurs appareils, et ce dès leur conception. »

 

a lire aussi: https://eugene.kaspersky.com/2016/11/15/finally-our-own-os-oh-yes/

 

 

 

 

 Fabrice Clerc, fondateur de 6cure

 

 

L’attaque DDoS qui a eu lieu contre le fournisseur DYN DNS est caractéristique principalement sur deux aspects : les moyens utilisés et la cible choisie.

En ce qui concerne les vecteurs utilisés, ils appartiennent au monde des objets connectés (Internet of Things – IoT), et présentent le triple avantage d’être très nombreux, mal sécurisés et donc facilement mobilisables par un attaquant, et exploitant des protocoles très aisément utilisables dans une attaque, tels que le DNS. Ce choix permet donc d’obtenir un effet de levier très important, ce qui rend l’attaque redoutable. Au-delà de ça, rien n’est bien nouveau, et cela fait des années que les mises en garde se multiplient contre l’utilisation de l’IoT dans des attaques DDoS : nous avions ainsi alerté dès 2014 à l’occasion des Assises de la Sécurité sur l’utilisation de tels moyens.

La cible choisie, quant à elle, garantit un second effet de levier, ou mieux, un effet « domino » dévastateur. En effet, la société Dyn fournit un service DNS, qui permet de gérer l’adressage internet pour ces clients. L’attaque subie a donc bloqué ce prestataire, et par effet de rebond, un grand nombre de ses clients, devenus indisponibles par effet collatéral.

Mais là où l’effet de l’attaque devient ravageur, c’est lorsque la perturbation majeure réalisée sur le service de Dyn impacte d’autres infrastructures DNS (car les différents services DNS collaborent entre eux sur Internet), créant cette fois un effet « tâche d’huile » beaucoup plus important.

C’est donc la combinaison de ce double ou triple effet de levier qui a rendu cette attaque si particulière.

 

Les effets collatéraux

On entend souvent que l’attaque n’a affecté que les USA, ce qui est évidemment faux. Le DDoS qui reste aux USA, c’est comme le nuage de Tchernobyl qui s’arrête à la frontière. Les USA étant la cible initiale, ont subi de manière plus visible cette attaque de grande ampleur,  mais les effets « collatéraux » se sont naturellement manifestés ailleurs, y compris en France.

D’ailleurs, on pouvait voir que la disponibilité de certains grands services Internet était également touchée pour les internautes Français.

 

Le fonctionnement de l’attaque

L’attaque perpétrée contre le fournisseur DynDNS a rendu les services d’infrastructure de ce dernier indisponibles pour ses propres clients, qui, pour certains, sont parmi les grands acteurs d’Internet : Twitter, Netflix, Sony (Playstation Network), PayPal, WhatsApp, Amazon, etc

De fait, tout internaute souhaitant utiliser ces services sollicite les serveurs DNS de son fournisseur d’accès pour obtenir l’adresse IP à contacter. Si les serveurs n’ont pas directement la réponse, ils sollicitent à leur tour (par récursion), les serveurs dits « autoritaires » pour ces domaines. Or, justement, au cours de la récente attaque, ces serveurs autoritaires détenus par DynDNS étaient indisponibles et ne pouvaient répondre, ce qui a mis en « attente » puis en « échec » un grand nombre de récursions. Ceci était particulièrement sensible pour les services Internet touchés par l’attaque qui détiennent un grand nombre de sous-domaines dynamiques (ex. : Amazon AWS) dont les enregistrements DNS ne sont pas systématiquement détenus en cache par les serveurs des fournisseurs d’accès.

Le problème est qu’un trop grand nombre de récursions non résolues peuvent à leur tour déteindre sur la performance des services DNS ainsi placés en attente et donc les mettre en péril pour servir leur propre client.

 

Les moyens de protection

Il existe différents moyens de se protéger et à plusieurs niveaux. Tout d’abord, le monde de l’IoT doit avoir une profonde réflexion sur la sécurisation de ses équipements afin de fournir moins de moyens aux attaquants. Il est inadmissible d’observer encore tant de devices connectés ayant pour mot de passe « admin » ou « 12345 », disposant d’une bande passante Internet de plusieurs (dizaines de) Mbps, y compris pour des flux n’ayant rien à voir avec leur fonction première.

Ensuite, l’attaque qui a ciblé DynDNS n’a rien de nouveau dans son principe et ses méthodes, il était relativement simple de s’en prémunir, et DynDNS devra certainement réfléchir à revoir les solutions de protection pour ses besoins propres.

Enfin, tous les fournisseurs peuvent se doter de solutions anti-DDoS spécialisées, qui apportent les meilleures réponses face aux menaces ciblant les services Internet, et en particulier les DNS. En effet, nous protégeons de telles infrastructures depuis plusieurs années, et disposons d’un arsenal de méthodes de déflection largement éprouvé face à de multiples formes d’attaques qui nous permet d’attester qu’il existe des façons pertinentes de neutraliser ce type d’attaques.

 

 

 

ESET Benoit Grunemwald Directeur des opérations ESET France

Une version détaillée de cette traductions est disponible sur WeLiveSecurity (version anglaise cf BONUS).

1/ Les attaques ont ciblé la société Dyn, un important fournisseur de serveur DNS utilisé par de grands groupes comme Twitter, Pinterest, Reddit, GitHub, Etsy, Tumblr, Spotify, PayPal, Verizon, Comcast, et le réseau Playstation.

2/ Les attaquants ont piraté des milliers d’appareils connectés mal-protégés tels que les routeurs domestiques et les caméras de surveillance, pour former un réseau botnet.

3/ L’attaque a été facilitée par la négligence des utilisateurs qui n’ont pas changé le mot de passe par défaut de leurs appareils.

4/ L’exploitation d’appareils numériques par un code malveillant peut perturber l’activité économique d’un pays : il est probable que plusieurs millions de dollars de vente ligne soient perdus.

5/ De nombreuses personnes malveillantes sont prêtes à nuire à l’activité économique d’un pays au moyen d’un code malveillant, et ce pour de multiples raisons.

6/ L’information et l’éducation des utilisateurs sont primordiales.

7/ La réduction du nombre d’appareils connectés vulnérables est un objectif réalisable et auquel les entreprises peuvent contribuer. Voici d’ailleurs 4 mesures recommandées par l’US CERT :

a/ Remplacer tous les mots de passe par défaut par des mots de passe forts

b/ Mettre à jour les objets connectés

c/ Désactiver l’UPnP (universal plug and play) des routeurs sauf en cas d’absolue nécessité

d/ Acheter des objets connectés auprès d’entreprises certifiant de fournir des dispositifs sécurisés

 8/ Le code malveillant infectant les routeurs n’est pas nouveau et a déjà été repéré en mai 2015 par les équipe ESET.

9/ Les nouvelles générations d’attaques DDos amplifient leur portée dans le fait qu’elles s’appuient sur de nombreux objets connectés.

10/ Cette dernière attaque nous montre à quel point un pays peut être vulnérable en cas d’attaque de son système d’informations.

 

Yogi Chandiramani, Solutions Architect Director EMEA pour Zscale

 

 

« Vendredi dernier, DynDNS a subi une attaque massive du type Déni de Service Distribué (DDoS), qui a eu comme conséquence de rendre inaccessibles pendant plusieurs heures des géants du Web tels que Twitter, Paypal, Netflix ou encore Spotify. Bien que ces attaques soient de plus en plus courantes, il est rare qu'elles s'en prennent à des fournisseurs de serveurs DNS. En effet, cela nécessite une puissance de feu importante, telle que ce cas-ci pour faire tomber le service DynDNS.

 

Comme on pouvait s'y attendre, les répercussions ont été plus qu'importantes étant donné que ces serveurs ont pour rôle de traduire en continu les adresses telles qu'elles sont saisies (par exemple google.com) en adresse IP compréhensibles pour le réseau.

Même si les auteurs de l'attaque restent encore inconnus, leur méthodologie a pour autant été révélée. Il s'agit d'une partie d'un malware appelé Mirai qui met en place desbotnets par l'infection en chaîne de flottes d'objets connectés. Ces derniers, si mal protégés, peuvent représenter une cible de choix pour les hackers, et ce même s'il s'agit de groupuscules peu expérimentés et mal organisés. Et c'est d'autant plus inquiétant que nous ne sommes qu'au début de l'ère de l'Internet des Objets (IoT). En effet, d'après Cisco, il y aura plus de 50 milliards d'objets connectés en 2020 dans le monde, et autant d'adresses IP donc...

 

Afin de se prémunir et de limiter les effets des attaques DDoS, les entreprises doivent mettre en place des systèmes de défense proactifs, s'illustrant notamment par une meilleure sécurisation de leurs objets connectés. Cela doit également les alerter sur le fait que la bande passante ou les fournisseurs de service de télécommunications ne sont plus uniquement les points clés sur lesquels il faut se concentrer dans ces problématiques de sécurité, et que celles-ci doivent englober la totalité des matériels connectés ».

 

 

 

Astrid-Marie Pirson, Responsable de Marché Technologies / Médias / Télécoms / Cyber chez Hiscox

 

« Cette attaque présente deux caractéristiques intéressantes. La première est qu'elle ne vise non pas l'un des géants du net en particulier, mais un prestataire de services. Ce genre de structure est moins exposé en théorie mais beaucoup plus fondamental dans l'organisation d'internet, ce qui rend l'attaque bien plus efficace. La seconde caractéristique est que les vecteurs de cette attaque sont les objets connectés : caméras de surveillance, enregistreurs, webcams etc. Ces objets disposent à l'heure actuelle d'une sécurité trop faible pour faire face à de telles agressions.. Compte-tenu du nombre d'appareils touchés, il devient crucial d'envisager la protection, d'un point de vue technique comme assurantiel, de ces objets ».

 

 

 

 

 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 

 

BONUS:

 

http://www.welivesecurity.com/2016/10/24/10-things-know-october-21-iot-ddos-attacks/

 

https://www.fastcompany.com/3064904/after-years-of-warnings-internet-of-things-devices-to-blame-for-big-internet-attack 

http://www.bbc.com/news/technology-37750798

http://cyberisques.com/fr/141-mots-cles-34-business-risk/374-rapport-q4-x-force-d-ibm-malwares-et-internet-des-objets

http://krebsonsecurity.com/

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires