En octobre dernier, Dyn, serveur de Twitter, LinkedIn ou encore Netflix, était attaqué par distribution de déni de services (DDoS). Pour Samuel Nowakowski, enseignant-chercheur en Humanités Numériques à l’Université de Lorraine, ces attaques sont de plus en plus faciles à réaliser.
Pour poser les bases, qu’est-ce qu’une attaque DoS ?
C’est une attaque par déni de service, Denial of Service en anglais (ou Distributed Denial of Service [DDoS]). C’est très simple à réaliser. Il suffit de submerger un service avec des demandes pour le faire planter, et cela a pour but d’empêcher la réalisation d’un service. C’est aussi basique que ça. Comme si cinquante personnes posaient la même question à une seule personne, à un moment elle ne peut plus répondre.
Comment peut se faire ce genre d’attaques ?
Il y a deux façons de réaliser ce genre d’attaques. Soit en passant par une machine unique (DoS), soit de manière distribuée, avec des machines reliées entre elles (DDoS). Et là, on démultiplie la capacité de nuisance, ou celle d’envoyer des requêtes.
Les attaques par DoS sont de plus en plus puissantes, notamment celle contre OVH, qui se chiffrait à 1,5To (1500 Go) d’envoi de données par secondes. Comment arrive-t-on à de tels chiffres ?
La puissance des attaques est étroitement liée à la puissance des machines qui envoient les demandes, mais aussi à celle des machines qui gèrent les serveurs. Plus les serveurs seront importants, plus il y aura un besoin de mettre de la puissance et donc, d’avoir des machines puissantes pour faire planter le serveur.
De plus en plus d’attaques par déni de services sont perpétrées avec des objets du quotidien, comme des montres connectées…
Oui. C’est évident. Et c’est d’autant plus simple que ces appareils ne sont pas protégés des actions extérieures. Ce sont des objets dans lesquels on peut facilement entrer. Ils ne sont pas bien protégés face à des menaces extérieures. Il faut nuancer, cependant. Ça ne peut pas être la poupée de mon gosse qui est connectée à internet, il faut quand même un peu de puissance de calcul à l’intérieur de l’objet, puisqu’il sert de relais.
C’est le principe des backdoors, des portes dérobées ?
Oui, c’est ça. Sauf que parfois, souvent même, la porte dérobée est en fait grande ouverte.
Quelle est la cible des pirates ?
Ils s’attaquent aux DNS, les Domain Name System. Ce sont, grosso modo, des annuaires pour les noms de domaine. Ils servent à attribuer un nom à une adresse internet.
Dyn, le DNS de Twitter et Netflix, entre autres, a été mis hors-service pendant quelques heures le 22 octobre dernier. Pourquoi chercher à faire tomber un serveur comme celui-ci ?
Je pense qu’il y a un côté « trophée » pour les pirates qui cherchent à se faire une réputation. Ils peuvent aussi détourner l’attention, pour chercher à récupérer des données, des numéros de cartes bancaires, bref, des informations. Je ne veux pas trop m’avancer, parce que les entreprises communiquent rarement sur ce genre de choses… Trop de mauvaise pub.
L’utilisateur doit pouvoir répondre à une question simple : « Pourquoi est-ce que je fais ce que je fais ? » C’est du bon sens, rien de plus.
Comment peut-on protéger les objets, les frigos, les montres, qui sont connectés à Internet ?
Déjà, est-ce utile d’avoir un frigo connecté ? [Rires]. Dès qu’une machine a été connectée au réseau, elle peut être fragilisée. Cependant, je pense qu’il ne faut pas non plus tomber dans la paranoïa. Il y a un risque, c’est sûr, mais il est réduit, parce que dès qu’il y a un problème, ça se sait. Des mises à jour sont faites régulièrement, les usagers en parlent.
Je pense qu’il est important d’appliquer des règles de base, une certaine hygiène dans la pratique. L’utilisateur doit pouvoir répondre à une question simple : « Pourquoi est-ce que je fais ce que je fais ? » C’est du bon sens, rien de plus.
Internet est-il vulnérable ?
Non, je ne pense pas ! C’est planétaire, ça marche plutôt bien où qu’on soit. Certes, il y a des failles, mais il y a 3,5 milliards de personnes qui sont dessus. Du coup, je pense qu’on s’en sort pas si mal. Je suis peut-être naïf, mais la vulnérabilité est à minimiser par rapport à la qualité du service fourni.
Samuel Nowakowski est aussi l’auteur d’un blog sur les identités numériques.
Elie GUCKERT
Lucas HUEBER
