Hébergeur : OVH attaqué par des… caméras connectées

Nicolas Furno |

OVH, le plus gros hébergeur européen, s’est fait connaître ces derniers jours pour un record dont il se serait sans doute bien passé. L’entreprise française a été victime de la plus grosse attaque DDoS connue à ce jour, avec des pointes à plus de 1 Tb par seconde de trafic, du jamais vu. Rappelons que les attaques DDoS, ou attaques par déni de service en français, consistent à inonder de données inutiles le réseau d’un hébergeur pour le bloquer totalement.

L’un des appareils dédiés à la protection contre les DDoS en place chez OVH.
L’un des appareils dédiés à la protection contre les DDoS en place chez OVH.

Les protections mises en place par OVH pour résister à de telles attaques ont plutôt bien tenu et même si quelques sites en ont souffert, le réseau dans l’ensemble est resté stable. Une belle performance, mais cette attaque record est surtout intéressante pour son mode d’opération. Jusque-là, les attaques DDoS étaient organisées soit à partir de serveurs, soit grâce à des ordinateurs reliés à internet et accessibles à distance, souvent par le biais de malwares.

Cette fois, les attaquants ont utilisé des… caméras connectées. Ces appareils sont devenus très populaires, il faut dire qu’on peut en acheter pour un prix dérisoire (une vingtaine d’euros pour les moins chères), mais si les caméras accessibles à distance sont pratiques, elles sont aussi dangereuses. Par défaut, elles ne sont souvent pas sécurisées et accessibles très simplement par n’importe qui et même si elles peuvent être protégées, les protections sont en général si légères qu’elles peuvent être détournées rapidement.

Résultat, les auteurs de l’attaque ont réussi à exploiter plus de 140 000 caméras en même temps pour gonfler l’attaque. Chaque appareil est ridicule, mais en les combinant tous, on peut obtenir la plus grosse attaque DDoS connue à ce jour. Et cela ne fait probablement que commencer : le monde de l’internet des objets n’en est qu’à ses débuts et chaque objet peu sécurisé sur le réseau est potentiellement le vecteur d’une nouvelle attaque.

avatar sshawn | 

Utiliser plein d'ordi pour commettre une attaque informatique, intelligence artificielle… James Cameron avait raison

avatar C1rc3@0rc | 

James Cameron a juste bien fait son travail en consultant l'histoire de l'informatique... le principe du DDoS est aussi vieux que l'invention des reseaux informatiques et l'ere de l'Internet n'a fait que changer l'echelle...

Faut quand meme prendre une information vraiment importante dans cette info que l'article met en evidence qu'a sa fin: le danger que represente l'objet connecté.

On parle d'IA et d'IoT dans tous les sens, mais derriere ce marketing il y le masquage du vrai danger: aucun objet connecté n'est securisé et peut servir de vecteur d'attaque pour n'importe quel pirate ou cybercriminel.
La on parle de betes camera connectées, donc un appareil tres limité, simple et tres bon marché. Accessoirement cela veut dire que les images captées par une camera sont accessibles a n'importe qui, n'importe quand et sans qu'on puisse le savoir. Pas mal pour les cambrioleurs qui peuvent ainsi tout savoir des habitudes de leurs cibles...

avatar Lymf | 

Et apres on se plaint des exigences d'Apple pour la certification HomeKit

avatar C1rc3@0rc | 

Le probleme c'est que les certifications d'Apple sont surtout faites pour maintenir un controle economique et tres peu pour une question de securisation...

De toute facon il n'y a pas de secret: Internet a ete conçu pour diffuser librement de l'information et en aucun cas pour la restreindre ou la securiser. Par definition, tout ce qu'un appareil peut diffuser, peut etre intercepter par n'importe qui. Internet n'est qu'un tuyau qui ne s'occupe pas du contenu qui passe. L'internet et de fait tres efficace, mais c'est pas securisable. Le seul niveau ou se traite la securité c'est au niveau de l'emission de données, donc il faut que l'appareil chiffre totalement la donnée avant qu'elle sorte et le dechiffrement doit s'effectuer uniquement dans la machine receptrice!

avatar frankm | 

Rien remarqué en effet côté débit !

avatar charonne | 

On sait si une marque de caméra a été plus particulièrement exploitée dans cette attaque ?

avatar noooty | 

@charonne :
Une Samsung? :)

avatar m_lbnc | 

J'ai un peu de mal à comprendre à quoi on servit les caméras dans l'attaque, quelqu'un voudrait bien expliquer un peu plus svp ?

avatar r e m y | 

il suffit de programmer chaque caméra pour qu'elle cherche à accéder aux serveurs d'OVH

avatar m_lbnc | 

@r e m y :
D'acc merci

avatar MacGyver | 

tu prends la camera par le cable, tu la fait tourner au dessus de tete puis tu l'envoie le plus fort possible comme le serveur visé

a la 140000eme, tu devrais arriver a tes fins

avatar oomu | 

attaque par "déni de service".

Vous piratez des centaines de milliers ou millions d'appareils (pas si difficile avec la tonne d'appareils vendu par des constructeurs non informatiques dont les logiciels embarqués sont anciens ou buggués).

Une fois ces appareils piratés, vous les commandez pour qu'ils fassent simultanément une requête vers le serveur/réseau de votre choix.

Toutes sortes de requêtes, certaines seront + efficaces que d'autres (par exemple parce qu'elles exploitent une fonctionnalité des serveurs sur internet qui vont multiplier leur impact).

Le but est de noyer votre cible sous un nombre effarant de requêtes de telles sortes que vous rendez la machine incapable de répondre aux demandes légitimes.

Cela peut aussi noyer le réseau entier auquel le serveur est connecté, forçant l'opérateur du réseau à couper tout ou à supprimer le serveur de son réseau (pour que les requêtes n'aboutissent pas et que les criminels cessent, ayant obtenu leur victoire).

-
Le déni de service met en valeur combien internet et ses protocoles (routage, DNS, web, etc) sont inadaptés au sabotage.

La réponse de l'industrie et du monde politique au développement des Déni de service de MASSE à cause du développement anarchique et médiocre du IoT (internet of bidule... things) risque d'être violente et de forcer l'accouchement d'un internet radicalement différent (ou en gros, faudra montrer patte blanche pour avoir le droit de participer au réseau). C'est ma plus grande crainte.

-
Oui, je considère encore une fois qu'Apple en étant hyper-pénible-chiante-emmerdeuse-radicale-lourdingue-administrative-cher-de-la-mort avec HomeKit a RAISON.

Qu'importe si je considère tous ces appareils comme inutile ou trop problématique pour leur faible apport, Apple a raison d'imposer des règles drastiques à quiconque veut participer à HomeKit.

Tout appareil IP grand public devrait avoir autant de contraintes.

avatar lome_bbrr | 

+1
avec les objets connectés, on n'aura jamais autant donné le baton pour se faire battre.
prenons pour exemple SHODAN. Je peux par exemple voir la chambre d'un gamin en Russie..
c'est tellement flipant.

avatar awk | 

@lome_bbrr

Même sans les objets connectés l'état des lieux est pitoyable.

avatar C1rc3@0rc | 

Faut pas dire n'importe quoi, SHODAN ne te permet pas de faire ça.

SHODAN ne permet que de faire, de maniere controlé, un "ping" enrichi. Il permet juste de savoir si il y a un appareil qui diffuse sur internet sur une adresse et un port. Apres, une fois qu'on a cette information faut savoir comment pirater l'appareil en question et savoir maitriser les outils necessaires...
C'est plus simple de pirater un compte Snapchat...

avatar JLG01 | 

@m_lbnc :
Reprogrammer les caméras pour qu'elles envoient toutes leurs images au serveur en même temps.

avatar C1rc3@0rc | 

Meme pas besoin de faire si compliquer, juste besoin d'envoyer une commande de connexion, voire un simple ping. Si c'est bien synchronisé il suffit de quelque milliers de connexions pour faire tomber n'importe quel gros serveur. Pour les serveurs plus petits, quelques centaines suffises...

Il faut d'ailleurs remarquer que ces 2 dernieres annees les DDoS ont enormement pris en puissance, et l'ampleur des attaques semble se faire pour tester la resistance de parties entieres de l'Internet. Certains evoquent des experimentations d'origines etatiques pour trouver un moyen de provoquer un blackout complet de l'Internet.

C'est extrêmement crédible, car aujourd'hui tout passe par l'Internet et en bloquant l'acces a l'Internet a un pays pendant juste quelques minutes ou heures, cela revient a l'effacer de la cartes. Faut comprendre que l'économie dépend de l'Internet, que l'information depend de l'Internet.
Une attaque par DDoS majeure, équivaut a pouvoir rayer de la carte des centaines d'entreprises ou de lancer une opération militaire sans que l'information atteigne la population...

avatar powergeek | 

La plupart de ces caméras bon marché viennent de Chine et contiennent donc potentiellement des back-doors exploitables. De très nombreuses attaques ont lieu en ce moment qui consisteraient à "tester" la résistance d'internet au niveau mondial. La plupart de ces attaques viennent d'un bâtiment bien précis en Chine.

avatar iVador | 

@powergeek :
Reste plus qu'à bombarder ce bâtiment chinois

avatar oomu | 

"bâtiment bien précis en Chine"

ha ben c'est cool;, suffit juste de le viser par satellite laser de SF.

ma réponse me parait autant probable que votre explication d'un bâtiment _précis_.

-
Si on sait que de récentes attaques sophistiquées n'ont pu être commises que par des "acteur étatique" (comprendre la Chine principalement, selon les USA), on est passé maintenant à des dénis de service impressionnant déclenchés par des réseaux de criminels.

tout simplement parce qu'on est en train de multiplier rapidement le nombre d'appareils aux logiciels médiocres connectés au réseau.

Nous somme dans une nouvelle phase d'accélération.

avatar powergeek | 

Cherchez sur Google PLA Unit 61398...

avatar Perealice | 

Le problème c'est qu'on nous vend c'est caméra pour sécuriser nos maisons ... :(
Autant mettre un mot sur la porte pour dire qu'on est pas là...
Vive la domotique...
où pas.

avatar GVII | 

@Perealice :
Non c'est juste que l'informatique n'est à la portée de tous, il faut arrêter de croire que tout le monde peut tout faire ! Et avec toute la domotique qui va entrer dans nos maisons ça va être de pire en pire ! Il y a des solutions pour que tout cela soit le plus sécurisé possible mais il faut confier ça à des personnes compétentes.

Il y a 2/3 ans un site répertoriait les caméras des particuliers/professionnelles dans le monde entier, on voyait les gens dans leur salon !!!! Tout ça parce que ces gens ont cru qu'il suffisait de brancher pour que cela fonctionne, sans se poser de questions !!??!!

avatar awk | 

@GVII

"Non c'est juste que l'informatique n'est à la portée de tous"

Et il faut inclure dans ton propos bien des professionnelles de la profession.

La croissance fulgurante de l'informatique fait que le niveau moyen de connaissance théoriques, de maitrises réelles, de culture profonde ... est de plus en plus bas.

Et sur les questions de sécurité c'est plus que vertigineux.

En caricaturant, l'ouvrage de référence de toute une génération montante est :

Copying & Pasting from Stack Overflow

Le web est une énorme accumulation de sites codés avec les pieds, de CMS utilisé sans connaissances réel, de framework mis en oeuvre sans réelle compréhension des enjeux, de langages mal maîtrisés, de truc plus ou moins maintenues ...

Les questions de sécurités n'ont pas été aux fondements de quasiment tous les OS majeurs qui dans leur conception même n'ont pas été pensé pour cela.

Et quand on voit que même les très bons tirent la langue sur les enjeux de sécurités.

Il y a un décalage vertigineux entres l'état des lieux des menaces et celui des outils et des ressources humaines.

La sécurité informatique est une illusion aujourd'hui dans la très grande majorité des cas

Et se croire plus malin que la moyenne le premier faux pas :-)

avatar Strophoide | 

@GVII :
https://www.shodan.io/

J'avoue que ce site fait peur. Outre les caméras, on peut avoir accès à des sites sensibles ... ( nucléaire , électricité etc )

Pages

CONNEXION UTILISATEUR