ven, 28/10/2016 - 16:00
L’attaque DDoS qui a eu lieu contre le fournisseur DYN DNS est caractéristique principalement sur deux aspects : les moyens utilisés et la cible choisie.
En ce qui concerne les vecteurs utilisés, ils appartiennent au monde des objets connectés (Internet of Things – IoT), et présentent le triple avantage d’être très nombreux, mal sécurisés et donc facilement mobilisables par un attaquant, et exploitant des protocoles très aisément utilisables dans une attaque, tels que le DNS. Ce choix permet donc d’obtenir un effet de levier très important, ce qui rend l’attaque redoutable. Au-delà de ça, rien n’est bien nouveau, et cela fait des années que les mises en garde se multiplient contre l’utilisation de l’IoT dans des attaques DDoS : nous avions ainsi alerté dès 2014 à l’occasion des Assises de la Sécurité sur l’utilisation de tels moyens.
La cible choisie, quant à elle, garantit un second effet de levier, ou mieux, un effet « domino » dévastateur. En effet, la société Dyn fournit un service DNS, qui permet de gérer l’adressage internet pour ces clients. L’attaque subie a donc bloqué ce prestataire, et par effet de rebond, un grand nombre de ses clients, devenus indisponibles par effet collatéral.
Mais là où l’effet de l’attaque devient ravageur, c’est lorsque la perturbation majeure réalisée sur le service de Dyn impacte d’autres infrastructures DNS (car les différents services DNS collaborent entre eux sur Internet), créant cette fois un effet « tâche d’huile » beaucoup plus important.
C’est donc la combinaison de ce double ou triple effet de levier qui a rendu cette attaque si particulière.
Les effets collatéraux
On entend souvent que l’attaque n’a affecté que les USA, ce qui est évidemment faux. Le DDoS qui reste aux USA, c’est comme le nuage de Tchernobyl qui s’arrête à la frontière. Les USA étant la cible initiale, ont subi de manière plus visible cette attaque de grande ampleur, mais les effets « collatéraux » se sont naturellement manifestés ailleurs, y compris en France.
D’ailleurs, on pouvait voir que la disponibilité de certains grands services Internet était également touchée pour les internautes Français.
Le fonctionnement de l’attaque
L’attaque perpétrée contre le fournisseur DynDNS a rendu les services d’infrastructure de ce dernier indisponibles pour ses propres clients, qui, pour certains, sont parmi les grands acteurs d’Internet : Twitter, Netflix, Sony (Playstation Network), PayPal, WhatsApp, Amazon, etc
De fait, tout internaute souhaitant utiliser ces services sollicite les serveurs DNS de son fournisseur d’accès pour obtenir l’adresse IP à contacter. Si les serveurs n’ont pas directement la réponse, ils sollicitent à leur tour (par récursion), les serveurs dits « autoritaires » pour ces domaines. Or, justement, au cours de la récente attaque, ces serveurs autoritaires détenus par DynDNS étaient indisponibles et ne pouvaient répondre, ce qui a mis en « attente » puis en « échec » un grand nombre de récursions. Ceci était particulièrement sensible pour les services Internet touchés par l’attaque qui détiennent un grand nombre de sous-domaines dynamiques (ex. : Amazon AWS) dont les enregistrements DNS ne sont pas systématiquement détenus en cache par les serveurs des fournisseurs d’accès.
Le problème est qu’un trop grand nombre de récursions non résolues peuvent à leur tour déteindre sur la performance des services DNS ainsi placés en attente et donc les mettre en péril pour servir leur propre client.
Les moyens de protection
Il existe différents moyens de se protéger et à plusieurs niveaux. Tout d’abord, le monde de l’IoT doit avoir une profonde réflexion sur la sécurisation de ses équipements afin de fournir moins de moyens aux attaquants. Il est inadmissible d’observer encore tant de devices connectés ayant pour mot de passe « admin » ou « 12345 », disposant d’une bande passante Internet de plusieurs (dizaines de) Mbps, y compris pour des flux n’ayant rien à voir avec leur fonction première.
Ensuite, l’attaque qui a ciblé DynDNS n’a rien de nouveau dans son principe et ses méthodes, il était relativement simple de s’en prémunir, et DynDNS devra certainement réfléchir à revoir les solutions de protection pour ses besoins propres.
Enfin, tous les fournisseurs peuvent se doter de solutions anti-DDoS spécialisées, qui apportent les meilleures réponses face aux menaces ciblant les services Internet, et en particulier les DNS. En effet, nous protégeons de telles infrastructures depuis plusieurs années, et disposons d’un arsenal de méthodes de déflection largement éprouvé face à de multiples formes d’attaques qui nous permet d’attester qu’il existe des façons pertinentes de neutraliser ce type d’attaques.
A propos de l'auteur