Et si un simple gamer énervé était responsable de l’attaque DDoS d’octobre ?

L'attaque par déni de service distribué (DDoS) du 21 octobre dernier, qui a foutu en l'air durant quelques heures une partie du Web outre-Atlantique en s'attaquant au fournisseur de services DNS Dyn, était presque inédite en terme de magnitude : « des dizaines de millions » d'adresses IP dont au moins 150 000 objets connectés, principalement des caméras de surveillance chinoises de la marque XIongMai, « enrôlés » contre le gré de leurs propriétaires dans un botnet appelé Mirai, qui ont submergé Dyn de requêtes, établissant un record de trafic à 1,2 téraoctets par seconde. Jusque-là, une seule autre attaque avait connu une telle magnitude : celle qui avait paralysé l'hébergeur français OVH le 20 septembre et avait également dépassé la barre du téraoctet par seconde. Rapidement, certains y ont vu la trace d'une cyberattaque d'Etat, la Chine et la Russie figurant comme souvent en haut de la liste des suspects. D'autres, comme le chercheur en sécurité informatique Bruce Schneier – qui avait annoncé l'imminence d'une attaque de ce type quelques semaines auparavant -, émettaient l'hypothèse qu'une telle initiative puisse provenir d'un seul individu. Le 8 novembre, Schneier écrivait ainsi que« les attaques contre Dyn n'ont probablement pas été perpétrées par un gouvernement.» Et de détailler : « Ces techniques d'attaque sont largement disponibles. Des outils d'attaque DDoS fonctionnels sont disponibles en téléchargement gratuit. Des organisations criminelles proposent des services d'attaque DDoS en location. » Un mois avant, assénait Schneier, le code source du botnet Mirai avait été publié en open source et incorporé dans « une dizaine d'autres botnets ». Cette semaine, un nouveau témoignage accrédite l'hypothèse d'un homme seul à l'origine de l'opération. Mieux : un simple gamer un peu trop énervé contre le Playstation Network.

Le 16 novembre, deux sous-comités du Département de l'Energie et du Commerce au sein du Congrès américain ont organisé une réunion avec un panel d'experts en cybersécurité pour tirer les leçons du 21 octobre. Outre le fait que la rencontre s'est soldée par un dialogue de sourds total entre les députés et les experts, notamment au sujet de la protection des objets connectés, elle a permis à Dale Drew, responsable de la sécurité chez Level 3 (l'un des plus gros acteurs du marché) de donner sa version des faits. Selon lui, pas de doute : "l'assaillant relativement inexpérimenté voulait déconnecter un site de gaming avec lequel il avait un différend personnel et, pour ce faire, a loué du temps sur le botnet [Mirai]." Si Drew ne s'est pas risqué à identifier le site en question, c'est le Wall Street Journal qui a pointé du doigt le Playstation Network, citant « des sources proches de l'attaque ». Même écho du côté de l'entreprise de recherche en sécurité Flashpoint, qui écrivait dès le 25 octobre qu'« une célèbre entreprise de jeux vidéo » était visée par l'attaque.

A louer : botnet Mirai, parfait état de marche, 7500 dollars

Dyn, de son côté, réfute cette version des faits. Selon Chris Baker, responsable de la surveillance et de l'analyse de données de l'entreprise, ce qui a visé Sony n'était qu'une des vagues de données qui ont submergé Dyn toute la journée, en provenance « d'au moins trois botnets distincts », écrit le Wall Street Journal. « C'est une explication très pratique », conclut Baker, « mais basée sur une vision incomplète des données. » Pourtant, plusieurs éléments viennent corroborer cette thèse. D'une part, s'il y a bien eu trois « vagues » d'attaques et trois data centers de Dyn pris pour cible, seul un botnet Mirai a été identifié. D'autre part, un article de Forbes daté du 23 octobre révélait qu'un gros botnet basé sur l'Internet des objets (IoT) était à louer sur un forum du dark net (pour Mikko Hypponen, de l'entreprise F-Secure, il s'agirait de la plateforme Alpha Bay, accessible via TOR). Grille de tarifs : 4600 dollars pour 50 000 bots, 7500 dollars pour 100 000 et une puissance de feu d'un téraoctet par seconde. Selon Forbes, le post original sur Alpha Bay datait du 4 octobre et son créateur, sous le pseudonyme loldongs, précisait qu'il s'agissait bien de Mirai et affirmait qu'il « pouvait faire tomber OVH facilement ». De là à dire que c'est le même « loueur » qui est à l'origine des deux attaques contre OVH et Dyn, il n'y a qu'un pas. En l'absence de preuve irréfutable, impossible de le franchir.

Rappelons néanmoins que le PSN n'en est pas à sa première bataille : à Noël 2014, l'équipe de LizardSquad s'était fait remarquer en attaquant avec succès le PSN et le Xbox Live à grands coups de botnet. Dans les jours qui suivirent l'attaque, alors que celle-ci n'était pas encore revendiquée, la communauté des chercheurs en sécurité informatique se posa la question de savoir si la Corée du Nord était oui ou non responsable du DDoS. Car comme l'explique Bruce Schneier, les botnets sont devenus si faciles à utiliser et à louer qu'aujourd'hui, « tout le monde utilise les mêmes outils, les mêmes techniques et les mêmes tactiques. » Et qu'Internet est devenu le seul endroit, dit-il, où il est parfois impossible de faire la différence entre « un Etat-nation avec 20 milliards de dollars de budget militaire et deux types dans une cave quelque part ». Gamer solitaire ou pas, ces attaques augmenteront en fréquence et en puissance, prévient le chercheur (et de nombreux autres). En l'absence de normes de sécurité draconiennes sur les objets connectés, Internet risque de vous faire un peu plus souvent le coup de la panne.