Le dernier blog

L’attaque des objets connectés

OVH vient apparemment d’être victime de la plus violente attaque DDoS jamais enregistrée dans l’histoire d’Internet¹. Ce genre de phrase avec deux sigles geeks va faire fuir plus d’un lecteur, mais je vais essayer d’expliquer de quoi il s’agit et pourquoi c’est intéressant.

Octave Klaba, le fondateur d’OVH, a annoncé l’attaque sur Twitter…

OVH, société fondée à Roubaix en 1999, est le troisième hébergeur internet au monde. Un hébergeur internet, c’est une société qui possède des centres de données dans lesquels des milliers de serveurs font exister des millions de sites web. La page que vous êtes en train de lire en ce moment a été envoyée à votre navigateur web, qui en a fait la requête, par un serveur hébergé par un concurrent d’OVH. Le data center dans lequel se trouve mon serveur est un bâtiment situé à Vitry-sur-Seine auquel seules de rares personnes peuvent accéder, après scan biométrique et en présentant un badge RFID. Dans ce centre de données, il y a des gardes armés nuit et jour, une surveillance vidéo constante, une protection contre les incendies, et douze générateurs diesel prêts à démarrer en cas de panne électrique et à fournir de l’énergie pendant trois jours. Bref ça ne plaisante pas — si je me fie à la plaquette promotionnelle en tout cas.
Mais toute cette sécurité physique n’empêche pas le data center, comme les serveurs qu’il héberge, de pouvoir être menacés par des attaques logiques, des attaques purement informatiques, venues du réseau. Parmi les attaques de ce genre, les attaques DDoS sont d’une efficacité redoutable.
Avec une attaque DDoS (attaque par déni de service), une machine présente sur le réseau (serveur ou routeur, typiquement) est submergée de requêtes, jusqu’à être incapable de fonctionner normalement. L’attaque contre OVH a connu un pic à 1Tbs, c’est à dire qu’à chaque seconde, il a eu un terabit (125 Go, à ne pas confondre à un terabyte, c’est à dire un To) de requêtes à traiter. Les requêtes typiques qui circulent sur le réseau ne pèsent que quelques centaines d’octets, il en faut donc énormément pour atteindre un Terabit par seconde. On peut comparer le DDoS aux sessions parlementaires où l’opposition dépose des milliers d’amendements dans le seul but de ralentir les travaux. Ou à un restaurant dans lequel une cuisine qui ne serait capable d’envoyer que cent plats par heure recevrait cinquante commandes par minute : ce ne sera pas possible de traiter toutes les commandes, il faudra donc inévitablement laisser certains clients rentrer chez eux affamés et mécontents, et si la cuisine tente de satisfaire toutes les requêtes qui lui sont faites, elle se retrouvera rapidement bloquée. L’attaque par déni de service ne repose pas sur une intrusion, un piratage, elle provoque une interruption du service en demandant aux serveurs de faire ce pourquoi ils sont prévus, mais à une cadence excessive.

Comment est né Internet, comment fonctionne Internet ? Que sont les mèmes ? les trolls ? Quel est le poids du « cloud » ? Comment fonctionne la criminalité en ligne ? Tous ces thèmes et bien d’autres sont traités par une hackeuse géorgienne de soixante-quinze ans et son ami le câble dans l’album Internet, à paraître à la Petite Bédéthèque des Savoirs (éd. du Lombard), formidablement illustré par Mathieu Burniat (Le Mystère du monde quantique, éd. Dargaud 2016), sur un scénario de votre serviteur. La date de parution cet album n’est pas connue pour l’instant. Oui, on ne peut pas lire le texte sur cette image, c’est fait exprès, je veux juste donner envie.

Les attaques DDoS peuvent avoir plusieurs buts : chantage, cyberguerre, mais aussi hactivisme, comme lorsque des « Anonymous » se sont regroupés pour attaquer des société bancaires telles que Mastercard et Paypal, pour les punir d’avoir décidé de priver Wikileaks de moyen pour recevoir des dons.

Pour qu’une attaque de ce genre soit efficace et que ses initiateurs échappent aux poursuites judiciaires, il faut qu’elle émane d’une multitude de machines dont, tant qu’à faire, les propriétaires ignorent tout de l’opération à laquelle ils participent. Il existe des virus qui infectent des ordinateurs sans que leurs propriétaires en souffrent mais qui en font des armées de réserve prêtes à participer à des attaques DDoS. Il existe aussi des logiciels que l’on peut installer sciemment sur son ordinateur afin de participer à une campagne comme celles des « Anonymous » que j’évoquais plus haut.
Ce qui est intéressant ici, c’est que le réseau de machines utilisé était constitué de 150 000 caméras IP, c’est à dire des caméras de surveillance tout ce qu’il y a de banales, dont les images transitent par le réseau (et ne fonctionnent plus en réseau fermé, comme les anciens systèmes de surveillance dits CCTV, qui coûtaient bien plus cher) et qui embarquent un petit serveur web, généralement peu sécurisé. De nombreux modèles de caméras sont des passoires du point de vue de la sécurité des images produites².

En cherchant un peu, je tombe sur les images créés par une caméra IP d’un modèle populaire il y a une quinzaine d’années..

L’attaque récente subie par OVH profite du faible niveau de sécurité de ces caméras (et, suposè-je, de la facilité avec laquelle on peut changer leur micrologiciel si l’identifiant et le mot de passe d’usine n’ont pas été modifiés) pour installer sur leur petit serveur un programme capable d’envoyer en continu des requêtes.
Les objets connectés, dont le nombre ne cesse de croître, ne sont pas toujours conçus avec le plus grand soin du point de vue de la sécurité, et sont rarement mis à jour par leurs constructeurs autant que par leurs utilisateurs (tant que ça marche, pourquoi en changer le logiciel ?). Un jour, votre grille-pain connecté (ou autre objet dit « intelligent ») tentera de faire tomber un centrale nucléaire iranienne dans le cadre d’un chantage de cybermafieux russes qui se feront passer pour des hackers chinois. Vous vous direz juste : mais qu’est-ce qu’il a à clignoter, ce truc ?³.

La boite à œufs intelligente, qui est capable en permanence de compter ses œufs et de nous dire leur nombre par téléphone alors que nous nous trouvons devant le rayon frais du supermarché. Qui sait si, depuis le fond du réfrigérateur, elle n’utilisera pas un jour votre bande passante pour se livrer à des activités répréhensibles ?

J’ai été victime d’une tentative d’attaque par déni de service il y a une vingtaine d’années, une attaque plus artisanale et bien moins impressionnante, mais intéressante à raconter ici. J’avais à l’époque monté mon premier serveur, « arpla »⁴, un serveur destiné à accueillir les expériences en ligne des étudiants du département arts plastiques de l’Université Paris 8. Je ne connaissais rien au fonctionnement des serveurs, et j’avais installé le système qui me semblait le plus simple à gérer : Windows NT (version 4, je m’en rappelle encore), le système d’exploitation professionnel de Microsoft. Cela fonctionnait plutôt bien, d’autant que les pages hébergées par le serveur arpla, à la fin des années 1990, ne recevaient que quelques dizaines ou au mieux centaines de requêtes par jour, malgré le succès médiatique du Site des produits remboursés, par l’artiste Mathieu Laurette, et de la Page de l’image numérique et des scanners, que j’animais avec Nathalie. À l’époque les internautes francophones n’étaient pas bien nombreux.

Toute une époque

Un beau jour, cependant, j’ai constaté que le serveur recevait un nombre de requêtes assez extravagant, plusieurs dizaines par seconde. Grâce à son adresse IP, j’ai vite compris que l’émetteur des requêtes se situait sur le réseau de l’université elle-même, et sans doute dans le même bâtiment que moi. Un peu inquiet de cette activité anormale, j’ai contacté le responsable du réseau, qui, après enquête, m’a mis en relation avec un professeur du département informatique. Le coupable était un de ses propres étudiants ! Je lui ai demandé ce qu’il avait cherché à faire, et il m’a répondu qu’il avait tenté de bloquer mon serveur, par conviction technopolitique : j’utilisais un serveur Microsoft, il était contre, notamment parce qu’il considérait que de tels serveurs n’étaient pas assez solides pour encaisser de nombreuses requêtes, il avait donc décidé d’écrire un petit programme (qu’un enfant pourrait coder) destiné à prouver la faiblesse du système que j’utilisais, et pourquoi pas à me convaincre d’adopter la technologie Linux. Le jeune homme en question n’a pas eu de gros problèmes, je pense, mais il m’en a voulu d’avoir eu à promettre de ne plus jamais faire ce genre de bêtise. J’espère qu’il a au moins appris une leçon : le serveur Windows NT n’était pas si instable qu’il le croyait.
Dans les mois qui ont suivi, pressentant que je croiserais sans doute à nouveau la route de ce genre de loustic, j’ai préventivement cédé au chantage, en installant sur mon serveur une distribution Linux⁵, mais en conservant une petite méfiance envers la gent libriste pour qui, parfois (Je me garderais de généraliser mais j’ai rencontré plus d’un cas), le contenant est politiquement plus important que le contenu et la technologie plus importante que ce que l’on en fait.

1. Lire : L’hébergeur OVH visé par la plus violente attaque DDoS jamais enregistrée (1Tbps), sur le site Undernews. [↩]
2. J’en parlais dans l’article J’ai mille yeux, où l’on voyait que, en connaissant les bons mots-clés, on peut accéder aux images produites par d’innombrables caméras disposées sur le réseau.
   Lire aussi Hacking DNS, ça peut vous arriver aussi, où je racontais récemment qu’un routeur-modem pouvait être détourné de son usage de départ…  [↩]
3. Tout ça est à rapprocher du récent billet de Xavier de la Porte, Quelqu’un se prépare à détruire Internet, qui explique que pour l’expert en cybersécurité Bruce Schneier, certaines attaques récentes sans motif connu ressemblent furieusement à des tests en préparation d’une guerre. [↩]
4. Son adresse précisé était www.arpla.univ-paris8.fr. Ce serveur existe toujours à l’adresse www.arpla.fr et n’a pas beaucoup changé depuis quinze ans. [↩]
5. Il s’agissait d’une Slackware, pour l’anecdote, rapidement remplacée par une RedHat puis quelques années plus tard par une Mandrake. Malgré près de vingt ans d’expérience, je suis toujours un des plus médiocres administrateurs systèmes qui soient. [↩]