Et voilà que surgit le botnet Mirai, venu provoquer un arrêt des serveurs de jeux Minecraft et attaquer le fournisseur de DNS Cloud Dyn en octobre 2016. Selon un rapport du journaliste spécialiste de la sécurité Brian Krebs, des versions de Mirai étaient lancées sur des serveurs Minecraft par des organisations de sécurité concurrentes de Minecraft, afin de se courtiser mutuellement les clients l’un de l’autre. Mirai tire profit de systèmes mal protégés de l’Internet des Objets tels que les caméras de vidéosurveillance, les routeurs, voire les interphones de surveillance de bébé. Le botnet peut rapidement submerger les serveurs DNS de requêtes, empêchant ainsi les utilisateurs de se connecter aux services dont ils ont besoin - et provoquant donc ce qui correspond à la définition même d’attaque par Déni de Service Distribué (Distributed Denial of Service ou DDoS).

L’attaque contre Dyn menée en un jour a utilisé plus de 1700 appareils et déconnecté de nombreux services très demandés - Twitter, Reddit et BBC pour n’en citer que quelques-uns - pendant des heures. La différence entre cette attaque et les botnets antérieurs fut son échelle et une autre particularité : elle a détourné des périphériques IoT non sécurisés (au lieu de PC, plus « habituellement » compromis). Dyn ne sera pas un cas isolé mais seulement l’exemple le plus récent et la plus célèbre d’attaque. Mais alors, que peut-on faire pour défendre les réseaux et les utilisateurs contre de futures attaques qui utiliseraient le matériel grand public ?

Premières étapes vers une protection - une approche hybride

La protection des services DNS commence par l’adhésion au vieil adage qui dicte de « Ne pas mettre tous ses œufs dans le même panier ». Il est préférable de ne pas compter sur un seul hôte DNS et utiliser des serverus DNS sophistiqués pour gérer le trafic et identifier puis bloquer les attaques. Cela se prête à une approche hybride, où l’architecture DNS s’étend sur plusieurs serveurs DNS en local et dans le Cloud. Bien qu’une telle approche nécessite des efforts de synchronisation, elle assure un service ininterrompu aux utilisateurs lorsque l’un de vos serveurs DNS devient inaccessible.

Dans une architecture DNS hybride, les serveurs DNS sont constamment actifs. Si un serveur est affecté ou tombe en panne, la main passe automatiquement à un autre serveur. Dans le cas d’une attaque DDoS contre un DNS, les utilisateurs utilisent le serveur non affecté - ce qui leur donne un accès ininterrompu, tout en empêchant les réessais automatiques qui multiplient les effets de l’attaque initiale.

Utilisation du protocole DNS comme moyen de défense

Le problème qui se pose pour toute organisation tentant de se défendre contre les botnets IoT comme Mirai : les services Internet grand public sont difficiles à protéger. Ils sont ouverts par conception, et la plupart des utilisateurs actifs ne tiennent pas compte du matériel qu’ils utilisent, et ne s’appuient pas sur un modèle de sécurité plus performant qu’un pare-feu de base, intégré à un routeur. On ne peut pas attendre des individus qu’ils préservent la sécurité de leurs réseaux ni qu’ils tiennent à jour leur matériel IoT. Les fournisseurs peuvent également ne pas proposer de correctifs ou ne pas en proposer suffisamment rapidement, ce qui ne fait qu’aggraver la situation. Tout cela nous confronte à un environnement qui devient de plus en plus difficile à gérer.

Mais alors, comment protéger Internet contre ce risque croissant ? Les FAI peuvent adopter une position plus stricte en matière de sécurité des réseaux, avec des contrôles plus drastiques sur les réseaux utilisateurs et les équipements locaux. Leur matériel réseau peut également être mis à profit pour détecter des modèles d’attaque courants.

Les outils de sécurité de DNS peuvent fonctionner une fois que les réseaux compromis sont identifiés. À l’aide de technologies telles que l’IPAM, ils transfèrent le trafic d’un client depuis un réseau ouvert vers un réseau plus restreint, avec la possibilité de filtrer les paquets des botnets vers kles serveurs de contrôle et de commande. Ils peuvent également armer les utilisateurs en leur donnant accès à des outils pour aider à rectifier leur réseau tout en aidant à identifier et à mettre à jour le matériel compromis, perturbant ainsi la structure du botnet lui-même.

Cette approche n’est pas sans risque, car elle modifie de manière intrinsèque la relation entre le FAI et son client, ce qui peut être considéré comme une ingérence abusive. Pour que cette situation particulière fonctionne, elle devrait être traitée au niveau régional en coopération avec d’autres FAI et deviendrait une partie intégrante du contrat entre l’utilisateur et le fournisseur de services.

Efforts de défense collaboratifs par les Services et les FAI

En regroupant des services et des solutions FAI de ce type, avec un engagement à l’échelle de l’industrie à assurer la mise à jour et la maintenance des objets IoT, nous pourrions disposer d’une solution valable, dont les principaux éléments seraient :

• Services DNS évolués pour absorber le trafic DDoS
• Utilisation de plusieurs services DNS pour assurer la continuité des principaux services
• Utilisation d’une couche de sécurité DNS pour analyser le trafic, qui serait liée pour détecter les modèles d’attaque
• Services de mise en quarantaine de consommateurs par le FAI, qui seraient liés à des services simples de mise à jour de matériel IoT.

Les attaques massives DDoS de DNS comme celles de Dyn ne peuvent pas être évitées par une action isolée. Elles représentent une menace d’ampleur trop importante et exigeront que les fournisseurs de services, les consommateurs, les fournisseurs de matériel et les FAI veillent à unir leurs forces afin de fournir une solution fonctionnelle.