La société d’hébergement Web française OVH est frappée depuis plusieurs jours par une très violente attaque DDoS  (1) atteignant 1 Tbps : la plus grande attaque DDoS jamais enregistrée sur Internet à ce jour.

OVH se situe parmi les plus importantes sociétés d’hébergement Web du monde.

ð Le réseau de l’hébergeur Web fait face à une gigantesque cyberattaque de type déni de service distribué (DDoS) atteignant un pic de trafic record, encore jamais atteint à ce jour sur Internet : 1 Tbps.

Jeudi, le fondateur et dirigeant d’OVH, Octave Klaba, a informé via Twitter de l’attaque massive en soulignant l’immense quantité de trafic envoyée par r les assaillants.

En effet, les captures d’écran prouvent que les multiples cyberattaques visant OVH ont atteint des pics de trafic respectifs de 1156 Gbps puis 901Gbps.

Les 1 Tbps ont donc été largement dépassés, ce qui constitue un record sans précédent à ce jour dans l’histoire d’Internet.

Comment les cybercriminels à l’origine de cette violente attaque ont-ils procédé pour envoyer autant de trafic ?

Octave Klaba explique, via son compte Twitter, que les assaillants ont utilisé des objets connectés (Internet des Objets), et plus particulièrement des caméras de surveillance IP pour mener la cyberattaque :

Bien qu’OVH ait un système anti-DDoS très avancé, beaucoup de clients ont pu remarquer des crashs inexpliqués sur leur hébergement Web, peu surprenants au vu de l’envergure de l’attaque.

On rappellera  que ce type de cyberattaque est très prisé par les cybercriminels, et qu’il vise souvent les entreprises.

Voici une semaine, c’était la BBC qui était frappé par une cyberattaque du même type atteignant 600 Gbps.

A chaque fois, des objets connectés ont été repérés en masse au sein des botnets ayant mené les attaques massives, ce type d’objet n’étant pas suffisamment sécurisé et pouvant s’avérer un danger redoutable pour les infrastructures Web.

Le danger  des objets connectés non sécurisés

L’Internet des objets créer une masse croissante considérable d’objets physiques de toute sorte disposant d’une adresse IP et utilisant le réseau Internet.

Dans le cas mentionné ci-dessus, les attaquants ont massivement piraté des caméras de surveillance IP pour développer un réseau de zombies capable de lancer une large attaque DDoS et cibler les serveurs d’OVH.

Les systèmes de vidéosurveillance sont souvent livrés avec des identifiants et des mots de passe de connexion faibles pouvant être piraté soit par simple dictionnaire, soit par une légère attaque par force brute.

Dans le cas présent, il s’agit d’un immense botnet contenant 145 607 caméras IP détournées !

Des chercheurs en sécurité ont récemment pointé du doigt le fait que le groupe de pirates informatiques Lizard Squad avait largement exploité les systèmes de vidéosurveillance pour mener d’importantes attaques DDoS.

Les cabinets de prévention des attaques DDoS Sucuri et Incapsula ont annoncé de leur côté que des dizaines de milliers de caméras de vidéosurveillance connectées dans le monde ont non seulement été piratée, mais aussi transformée botnet DDoS géant

(1)           Qu'est-ce qu'une attaque DDoS ?

L'attaque DDoS consiste à envoyer un grand nombre de requêtes à un équipement (hébergeur, serveur, application web, etc...) afin de provoquer à distance un déni de service, c'est à dire un arrêt total du service attaqué.

Pour ce faire, une armée de « robots » (bots) va lancer automatiquement une multitude de requêtes.

Deux types d'attaques existent :

- Les attaques « applicatives » très difficiles à repérer car ne nécessitant que peu de bande passante. Elles visent à épuiser les ressources serveur en les submergeant de demandes.

- Les attaques « volumiques » tentent de saturer les liens permettant la connexion à un service ou à un FAI en envoyant un très grand nombre de requêtes nécessitant beaucoup de bande passante.

Ce sont les attaques applicatives qui sont les plus dangereuses pour les petites entreprises, ce sont aussi les plus difficiles à éviter.

L’occurrence d’autres incidents :

Selon Kaspersky, près de 40 % des attaques en déni de service distribué coïncident avec d’autres incidents, comme une attaque de logiciel malveillant ou une intrusion réseau, notamment.

Avivah Litan, analyste chez Gartner, publiait déjà, en 2013, un billet qui révélait que les cybercriminels utilisaient de plus en plus les attaques en déni de service distribué (DDoS) comme méthode de diversion : «les attaques DDoS constituent une méthode de diversion de plus en plus populaire auprès des cybercriminels pour détourner l’attention des équipes sécurité des banques au cours des tentatives de fraude sur leurs systèmes informatiques ».

Aujourd’hui, selon une étude B2B International pour Kaspersky, « 74 % des attaques DDoS qui conduisent à une perturbation de service perceptible ont coïncidé avec un incident de sécurité d’un autre type, tel qu’une attaque de logiciel malveillant, une intrusion réseau, ou un autre type d’attaque ».

Et 50 % des attaques DDoS conduiraient à une perturbation de service  perceptible.

Ainsi, 37 % des attaques DDoS s’accompagnent d’un autre incident de sécurité.