Hébergeur : OVH attaqué par des… caméras connectées
OVH, le plus gros hébergeur européen, s’est fait connaître ces derniers jours pour un record dont il se serait sans doute bien passé. L’entreprise française a été victime de la plus grosse attaque DDoS connue à ce jour, avec des pointes à plus de 1 Tb par seconde de trafic, du jamais vu. Rappelons que les attaques DDoS, ou attaques par déni de service en français, consistent à inonder de données inutiles le réseau d’un hébergeur pour le bloquer totalement.
Les protections mises en place par OVH pour résister à de telles attaques ont plutôt bien tenu et même si quelques sites en ont souffert, le réseau dans l’ensemble est resté stable. Une belle performance, mais cette attaque record est surtout intéressante pour son mode d’opération. Jusque-là, les attaques DDoS étaient organisées soit à partir de serveurs, soit grâce à des ordinateurs reliés à internet et accessibles à distance, souvent par le biais de malwares.
Cette fois, les attaquants ont utilisé des… caméras connectées. Ces appareils sont devenus très populaires, il faut dire qu’on peut en acheter pour un prix dérisoire (une vingtaine d’euros pour les moins chères), mais si les caméras accessibles à distance sont pratiques, elles sont aussi dangereuses. Par défaut, elles ne sont souvent pas sécurisées et accessibles très simplement par n’importe qui et même si elles peuvent être protégées, les protections sont en général si légères qu’elles peuvent être détournées rapidement.
Résultat, les auteurs de l’attaque ont réussi à exploiter plus de 140 000 caméras en même temps pour gonfler l’attaque. Chaque appareil est ridicule, mais en les combinant tous, on peut obtenir la plus grosse attaque DDoS connue à ce jour. Et cela ne fait probablement que commencer : le monde de l’internet des objets n’en est qu’à ses débuts et chaque objet peu sécurisé sur le réseau est potentiellement le vecteur d’une nouvelle attaque.
Utiliser plein d'ordi pour commettre une attaque informatique, intelligence artificielle… James Cameron avait raison
James Cameron a juste bien fait son travail en consultant l'histoire de l'informatique... le principe du DDoS est aussi vieux que l'invention des reseaux informatiques et l'ere de l'Internet n'a fait que changer l'echelle...
Faut quand meme prendre une information vraiment importante dans cette info que l'article met en evidence qu'a sa fin: le danger que represente l'objet connecté.
On parle d'IA et d'IoT dans tous les sens, mais derriere ce marketing il y le masquage du vrai danger: aucun objet connecté n'est securisé et peut servir de vecteur d'attaque pour n'importe quel pirate ou cybercriminel.
La on parle de betes camera connectées, donc un appareil tres limité, simple et tres bon marché. Accessoirement cela veut dire que les images captées par une camera sont accessibles a n'importe qui, n'importe quand et sans qu'on puisse le savoir. Pas mal pour les cambrioleurs qui peuvent ainsi tout savoir des habitudes de leurs cibles...
Et apres on se plaint des exigences d'Apple pour la certification HomeKit
Le probleme c'est que les certifications d'Apple sont surtout faites pour maintenir un controle economique et tres peu pour une question de securisation...
De toute facon il n'y a pas de secret: Internet a ete conçu pour diffuser librement de l'information et en aucun cas pour la restreindre ou la securiser. Par definition, tout ce qu'un appareil peut diffuser, peut etre intercepter par n'importe qui. Internet n'est qu'un tuyau qui ne s'occupe pas du contenu qui passe. L'internet et de fait tres efficace, mais c'est pas securisable. Le seul niveau ou se traite la securité c'est au niveau de l'emission de données, donc il faut que l'appareil chiffre totalement la donnée avant qu'elle sorte et le dechiffrement doit s'effectuer uniquement dans la machine receptrice!
Rien remarqué en effet côté débit !
On sait si une marque de caméra a été plus particulièrement exploitée dans cette attaque ?
@charonne :
Une Samsung? :)
J'ai un peu de mal à comprendre à quoi on servit les caméras dans l'attaque, quelqu'un voudrait bien expliquer un peu plus svp ?
il suffit de programmer chaque caméra pour qu'elle cherche à accéder aux serveurs d'OVH
@r e m y :
D'acc merci
tu prends la camera par le cable, tu la fait tourner au dessus de tete puis tu l'envoie le plus fort possible comme le serveur visé
a la 140000eme, tu devrais arriver a tes fins
attaque par "déni de service".
Vous piratez des centaines de milliers ou millions d'appareils (pas si difficile avec la tonne d'appareils vendu par des constructeurs non informatiques dont les logiciels embarqués sont anciens ou buggués).
Une fois ces appareils piratés, vous les commandez pour qu'ils fassent simultanément une requête vers le serveur/réseau de votre choix.
Toutes sortes de requêtes, certaines seront + efficaces que d'autres (par exemple parce qu'elles exploitent une fonctionnalité des serveurs sur internet qui vont multiplier leur impact).
Le but est de noyer votre cible sous un nombre effarant de requêtes de telles sortes que vous rendez la machine incapable de répondre aux demandes légitimes.
Cela peut aussi noyer le réseau entier auquel le serveur est connecté, forçant l'opérateur du réseau à couper tout ou à supprimer le serveur de son réseau (pour que les requêtes n'aboutissent pas et que les criminels cessent, ayant obtenu leur victoire).
-
Le déni de service met en valeur combien internet et ses protocoles (routage, DNS, web, etc) sont inadaptés au sabotage.
La réponse de l'industrie et du monde politique au développement des Déni de service de MASSE à cause du développement anarchique et médiocre du IoT (internet of bidule... things) risque d'être violente et de forcer l'accouchement d'un internet radicalement différent (ou en gros, faudra montrer patte blanche pour avoir le droit de participer au réseau). C'est ma plus grande crainte.
-
Oui, je considère encore une fois qu'Apple en étant hyper-pénible-chiante-emmerdeuse-radicale-lourdingue-administrative-cher-de-la-mort avec HomeKit a RAISON.
Qu'importe si je considère tous ces appareils comme inutile ou trop problématique pour leur faible apport, Apple a raison d'imposer des règles drastiques à quiconque veut participer à HomeKit.
Tout appareil IP grand public devrait avoir autant de contraintes.
+1
avec les objets connectés, on n'aura jamais autant donné le baton pour se faire battre.
prenons pour exemple SHODAN. Je peux par exemple voir la chambre d'un gamin en Russie..
c'est tellement flipant.
@lome_bbrr
Même sans les objets connectés l'état des lieux est pitoyable.
Faut pas dire n'importe quoi, SHODAN ne te permet pas de faire ça.
SHODAN ne permet que de faire, de maniere controlé, un "ping" enrichi. Il permet juste de savoir si il y a un appareil qui diffuse sur internet sur une adresse et un port. Apres, une fois qu'on a cette information faut savoir comment pirater l'appareil en question et savoir maitriser les outils necessaires...
C'est plus simple de pirater un compte Snapchat...
@m_lbnc :
Reprogrammer les caméras pour qu'elles envoient toutes leurs images au serveur en même temps.
Meme pas besoin de faire si compliquer, juste besoin d'envoyer une commande de connexion, voire un simple ping. Si c'est bien synchronisé il suffit de quelque milliers de connexions pour faire tomber n'importe quel gros serveur. Pour les serveurs plus petits, quelques centaines suffises...
Il faut d'ailleurs remarquer que ces 2 dernieres annees les DDoS ont enormement pris en puissance, et l'ampleur des attaques semble se faire pour tester la resistance de parties entieres de l'Internet. Certains evoquent des experimentations d'origines etatiques pour trouver un moyen de provoquer un blackout complet de l'Internet.
C'est extrêmement crédible, car aujourd'hui tout passe par l'Internet et en bloquant l'acces a l'Internet a un pays pendant juste quelques minutes ou heures, cela revient a l'effacer de la cartes. Faut comprendre que l'économie dépend de l'Internet, que l'information depend de l'Internet.
Une attaque par DDoS majeure, équivaut a pouvoir rayer de la carte des centaines d'entreprises ou de lancer une opération militaire sans que l'information atteigne la population...
La plupart de ces caméras bon marché viennent de Chine et contiennent donc potentiellement des back-doors exploitables. De très nombreuses attaques ont lieu en ce moment qui consisteraient à "tester" la résistance d'internet au niveau mondial. La plupart de ces attaques viennent d'un bâtiment bien précis en Chine.
@powergeek :
Reste plus qu'à bombarder ce bâtiment chinois
"bâtiment bien précis en Chine"
ha ben c'est cool;, suffit juste de le viser par satellite laser de SF.
ma réponse me parait autant probable que votre explication d'un bâtiment _précis_.
-
Si on sait que de récentes attaques sophistiquées n'ont pu être commises que par des "acteur étatique" (comprendre la Chine principalement, selon les USA), on est passé maintenant à des dénis de service impressionnant déclenchés par des réseaux de criminels.
tout simplement parce qu'on est en train de multiplier rapidement le nombre d'appareils aux logiciels médiocres connectés au réseau.
Nous somme dans une nouvelle phase d'accélération.
Cherchez sur Google PLA Unit 61398...
Le problème c'est qu'on nous vend c'est caméra pour sécuriser nos maisons ... :(
Autant mettre un mot sur la porte pour dire qu'on est pas là...
Vive la domotique...
où pas.
@Perealice :
Non c'est juste que l'informatique n'est à la portée de tous, il faut arrêter de croire que tout le monde peut tout faire ! Et avec toute la domotique qui va entrer dans nos maisons ça va être de pire en pire ! Il y a des solutions pour que tout cela soit le plus sécurisé possible mais il faut confier ça à des personnes compétentes.
Il y a 2/3 ans un site répertoriait les caméras des particuliers/professionnelles dans le monde entier, on voyait les gens dans leur salon !!!! Tout ça parce que ces gens ont cru qu'il suffisait de brancher pour que cela fonctionne, sans se poser de questions !!??!!
@GVII
"Non c'est juste que l'informatique n'est à la portée de tous"
Et il faut inclure dans ton propos bien des professionnelles de la profession.
La croissance fulgurante de l'informatique fait que le niveau moyen de connaissance théoriques, de maitrises réelles, de culture profonde ... est de plus en plus bas.
Et sur les questions de sécurité c'est plus que vertigineux.
En caricaturant, l'ouvrage de référence de toute une génération montante est :
Copying & Pasting from Stack Overflow
Le web est une énorme accumulation de sites codés avec les pieds, de CMS utilisé sans connaissances réel, de framework mis en oeuvre sans réelle compréhension des enjeux, de langages mal maîtrisés, de truc plus ou moins maintenues ...
Les questions de sécurités n'ont pas été aux fondements de quasiment tous les OS majeurs qui dans leur conception même n'ont pas été pensé pour cela.
Et quand on voit que même les très bons tirent la langue sur les enjeux de sécurités.
Il y a un décalage vertigineux entres l'état des lieux des menaces et celui des outils et des ressources humaines.
La sécurité informatique est une illusion aujourd'hui dans la très grande majorité des cas
Et se croire plus malin que la moyenne le premier faux pas :-)
@GVII :
https://www.shodan.io/
J'avoue que ce site fait peur. Outre les caméras, on peut avoir accès à des sites sensibles ... ( nucléaire , électricité etc )
Une caméra connectée est un ordinateur peu puissant et peu (ou pas) sécurisé. Remercions Akamai qui a limité les dégâts de cette attaque qui DE part son ampleur ne peux avoir une origine privée mais plutôt étatique...
Un petit billet de Schneier
https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html
@awk :
Site toujours aussi intéressant !
L'article fait un peu peur.
@BebMac
Yep, sur le sujet Schneier n'est pas un lapin de six semaines.
Quand on analyse le champs des possibles et l'état des lieux en terme de sécurité informatique on réalise que nous sommes assis sur un tas de dynamite instable :-)
"Yep, sur le sujet Schneider n'est pas un lapin de six semaines."
il s’agit de Schneier, pas de Schneider :D
@jmquidet
Les joies du correcteur automatique sur les noms propres, un copier/coler du nom à partir de mon premier post l'a transformé en Schneider :-)
Merci je corrige
@awk :
...excellent, merci!
A mettre en lien avec son article concernant le chiffrement d'ailleurs...
C'est sans doute l'œuvre de pourritures communistes
de pourritures fromagères, fromagères on dit.
-
ou tout simplement d'Etats au sens large qui visent la capacité de détruire les réseaux de communications pour une guerre traditionnelle ou économique. Nombreux sont aussi les états qui aimeraient se débarrasser de la parole publique des gens.
Mais à mon sens, ce n'est pas le plus inquiétant encore (!). Le fait est que des attaques de plus en plus imposantes sont possible par de simples criminels organisés. C'est suffisant actuellement pour faire tomber un service privé de leur choix (jeux vidéo, site gouvernementaux, commandes de site industriels, etc) et perturber durablement et financièrement l'activité.
Je considère qu'internet dans sa forme actuelle (qui a mon sens a permis un essor sans précédent des échanges et commerces) va disparaitre.
@oomu
"Je considère qu'internet dans sa forme actuelle (qui a mon sens a permis un essor sans précédent des échanges et commerces) va disparaitre."
Un new-deal informatique me semble inévitable, mais tant qu'il n'y aura pas une réelle catastrophe nous resterons sur la tactique du cautère sur la jambe de bois.
Je ne vois pas comment on pourra, éviter entre autre, une remise à plat des OS avec cette fois une emphase mise sur la sécurité comme l'alpha et l'omega de l'architecture, la revanche d'Andrew Tanenbaum en fait :-)
J'attends avec impatience la première attaque DDoS faite avec des cafetières.
Une attaque DDoSettes avec une cafetière connectée ?
What else ?
@DouceProp' :
Une attaque menee par un gang d'Apple Watch?
Je n'arrive plus à accéder à mon serveur PLEX sur OVH ^^
@minileul :
En fait aucun rapport...
Le serveur n'était pas à jour, un apt-get update
En lisant la dernière phrase de l'article, ça promet d'être Rock n'Roll !
C'est pour ça que je mets mes caméras dans un sous-réseau séparé et qui n'ont pas accès à Internet. Juste un serveur qui est dans les 2 sous-réseau et j'accède à mes caméras à partir de là. Facile !
@Zegorax
"Facile !"
Le premier pas vers l'enfer :-)
Ce que je retiens c'est que OVH a su résister grâce à la sécurisation de leur réseau.
Et ÇA c'est la bonne nouvelle dans la mauvaise.
@pacou
"Ce que je retiens c'est que OVH a su résister grâce à la sécurisation de leur réseau."
Ce n'est pas pour rien que le patron d'OVH a communiqué sur l'attaque ;-)
De nombreuses entreprises subissent des attaques massives mais n'ont pas le même intérêt qu'un hébergeur à rendre public leur capacité à y résister :-)
Quelqu'un sait comment les caméras ont été infiltrées ? Parce qu'elles sont à l'abri derrière le pare-feu d'une box en général, donc le seul moyen de les infiltrer semble être via la connexion qu'elles établissent avec les serveurs de leur fabricant, autrement dit on peut soupçonner qu'il y a d'abord eu prise de contrôle d'un tel site, ce qui permet ensuite de leur envoyer une mise à jour logicielle truquée pour en prendre le contrôle. Mais je n'ai pas vu confirmation de ça.
@TontonBen
"Parce qu'elles sont à l'abri derrière le pare-feu d'une box"
Croire qu'un Firewall de box est un obstacle sérieux c'est se bercer d'illusions ;-)
Administrer un Firewall est presque devenue un métier en soit même avec des solutions matérielles sérieuses.
Le grand public "un rien initié" surestime toujours la réalité de sa protection et est souvent dans la pensée magique, pas mal de professionnelles aussi d'ailleurs.
La prise de conscience que la plus grande part du code s’exécutant aujourd’hui sur la planète n’a pas été produit en ayant en considération première des enjeux de qualité et de sécurité ou reposent sur des fondements qui ne le furent pas.
Ce sont les fondations mêmes qui sont fragile et la plus grande part des efforts ne visent qu’à gérer les conséquences de cette non prise en considération de la sécurité à ce niveau non a adresser réellement les causes.
Mais bien évidemment il est quasiment impossible de faire tabula rasa et de rebâtir un édifice en mettant l’emphase dès le départ sur les enjeux de qualité et de sécurité.
Une trés grande part de ce qui nous sert repose sur des approches plus que datées très éloignée de l'état de l'art en terme d'approche des questions de qualité et de sécurité.