La panique s’est emparée d’Internet ce vendredi 21 octobre. La société américaine Dyn, chargée de la gestion de zone DNS, a été mise à mal par des hackers. “Les hackers ont pris le contrôle de machines zombies, c’est-à-dire que des ordinateurs en cours d’utilisation étaient ciblés pour être les sources de la propagation du virus. Tout cela sous le regard de l’utilisateur sans qu’il ne s’en rende compte“, explique Romain Quittelier, informaticien.
Dyn héberge les zones DNS de gros noms de l’Internet : Twitter, Amazon, Reddit, Netflix, Spotify… Dès lors, si le nom de domaine est inaccessible, le site lui-même le devient. Les sociétés comme Facebook ou Google, ne passant pas par les services de Dyn, n’ont connu aucun problème lors de cette attaque.
DDoS = trop de connexions !
Une cyber-attaque par déni de service distribué (DDoS) se produit lorsqu’un service est surchargé par un trop grand nombre de connexions simultanées. Un serveur reçoit plusieurs requêtes et utilise ses ressources pour savoir s’il doit les traiter ou pas. Ces requêtes peuvent être des connexions d’utilisateurs réels ou non. Ayant une capacité limitée, les serveurs, touchés par cette surcharge, saturent et arrêtent leur service. La porte est fermée, le site inaccessible pour certains utilisateurs. Ceux disposant d’une copie du site en “cache” (en mémoire) peuvent toujours y avoir accès.
Selon un membre du collectif de hackers DownSec, l’attaque orchestrée par New World Hackers, composé d’anciens membres d’Anonymous, a été mise en place pour tester la résistance des serveurs et pour “mettre à mal Cloudfare, un second serveur conçu pour avaler les attaques de ce type qui visent plusieurs sites afin d’éviter que ces derniers soient directement touchés”.
Mieux vaut laisser passer
Il existe plusieurs logiciels et pare-feux pour contrer ce type d’attaque mais la théorie est bien différente de la réalité. “C’est difficile de se protéger. Ils arrivent à contrer certaines requêtes envoyées aux serveurs mais quand vous avez un flux de requêtes qui se compte en millions, cela devient très difficile”, confie Romain.
Des objets connectés, différents types de périphériques très répandus (caméras IP, modems ou routeurs) ont été utilisés pour mettre en place l’attaque DDoS de ce week-end. Il est très simple de lancer une attaque DDoS, tout le monde pourrait le faire. Tout a été très bien orchestré.
Les possibilités pour contrer ce genre d’attaques sont multiples. Certains n’ont pas l’infrastructure nécessaire pour absorber les requêtes. Seules les grosses boîtes peuvent investir de l’argent pour contrer ce genre de choses. Lorsque l’attaque DDoS est trop grosse, il est plus simple de laisser passer la chose. Une attaque de ce genre peut durer d’un à deux jours.
La RTBF et Le Soir parmi les victimes
Une attaque DDoS a aussi touché, ce lundi 24 octobre, la RTBF et les serveurs hébergeant les différents sites internet. Une mise hors service résolue après quelques heures et dont les conséquences ne sont toujours pas connues. Peu de temps après l’attaque, une revendication a été publiée par une “cyber armée syrienne”. D’autres médias flamands ont, eux aussi, subi une attaque de cette ampleur.
Le collectif de hackers DownSec a réagi dans la foulée et a, à son tour, attaqué le site de l’ambassade syrienne de Belgique.
! en réaction aux cyberattaques commisent sur les sites de médias belges des sites du gouvernement syrien vont être mis hors service !
— Down-Sec (@DownSecBelgium) 24 octobre 2016
De son côté, le site du journal Le Soir a été la cible de plusieurs attaques informatiques mais aucune perturbation n’a été enregistrée grâce aux différents supports de protection mis en place après la précédente attaque en 2015.
