SÉBASTIEN DUMOULIN
C’est un record dont il se serait passé. La semaine dernière, le fondateur d’OVH, Octave Klaba,
expliquait sur son compte Twitter que l’hébergeur roubaisien était victime d’une série d’attaques en déni de service (DDoS) d’une ampleur
inédite. Ces attaques, qui consistent à submerger un service Web de demandes pour le mettre hors service,
sont monnaie courante sur la Toile.
Dans une étude portant sur la période avril 2015­mai 2016, la société Imperva notait une multiplication par deux du nombre d’attaques DDoS par rapport à l’année
précédente (à 445 attaques par semaine chez ses clients). Mais c’est surtout la puissance de feu déployée
récemment qui surprend. Mesurée en gigabits par seconde (Gb/s) quand elle se concentre sur la couche
réseau, l’attaque la plus forte enregistrée par Imperva atteignait 470 Gb/s mi­2016. Depuis, ce record ne cesse
de tomber. Cet été, les organisateurs des Jeux Olympiques de Rio remportaient la médaille d’or de l’attaque DDoS
avec des pics à 540 Gb/s. La semaine dernière, c’était au tour du blog du spécialiste de la sécurité informatique Brian Krebs de subir « la plus grande attaque DDoS
qu’Internet ait jamais vue », à 665 Gb/s. Presque simultanément, OVH lui ravissait la couronne, encaissant des pics à plus de 1.000 Gb/s.
Pour mener des raids aussi violents, les cybercriminels s’appuient désormais non plus seulement sur des ordinateurs corrompus pour relayer leurs attaques (un « botnet », dans le jargon), mais sur des millions d’objets connectés ­ caméras IP, enregistreurs vidéo, routeurs… Selon Octave Klaba,
le botnet, qui s’est attaqué à OVH, comprenait ainsi pas moins de 145.607 caméras et enregistreurs numériques
Si les premiers botnets d’objets connectés (téléviseurs, réfrigérateurs…) ont été détectés dès 2014 ,« L’une des caractéristiques des caméras connectées est de pouvoir streamer des flux vidéo et donc de bénéficier naturellement d’une large bande passante. » ils sont devenus extrêmement efficaces. Comme le relève Amichai Shulman, directeur de la technologie chez Imperva.
« Ce sont aussi des appareils très mal sécurisés ­ rarement mis à jour, avec des mots de passe par défaut très faibles »ajoute Andy Ellis, directeur
de la sécurité chez Akamai, l’entreprise qui protégeait bénévolement le blog de Brian Krebs contre de telles attaques avant de décider de se retirer il y a quelques jours ­ d’un commun accord avec l’intéressé et pour des raisons économiques. Un tel niveau de protection coûterait «plusieurs millions de dollars », selon un autre
responsable d’Akamai cité par le Boston Glob.
Le site de Brian Krebs est depuis revenu en ligne, sous le parapluie du « Project Shield » de Google, un programme de défense des sites d’information menacés. « Il y a actuellement des millions ­ si ce n’est des dizaines de millions ­ d’objets connectés mal sécurisés qui sont mûrs pour être enrôlés dans ces
attaques à n’importe quel moment, écrit Brian Krebs Je ne sais pas ce qu’il faudra à la grande communauté Internet pour sortir de sa torpeur et af ronter cette
menace croissante pour la liberté d’expression et l’e­commerce. A mon avis, il faudra une attaque qui mette
en péril des vies humaines, fasse tomber des infrastructures nationales critiques ou perturbe des élections
nationales. »

Fonte: