La société d’hébergement Web française OVH est frappée depuis plusieurs jours par une très violente attaque DDoS atteignant un sommet faramineux de 1 Tbps. Il s’agit pour le coup de la plus grande attaque DDoS jamais enregistrée sur Internet à ce jour.

OVH compte parmi les plus importantes société d’hébergement Web du monde. Cependant, le réseau de l’hébergeur Web doit faire face à une gigantesque cyberattaque de type déni de service distribué (DDoS) atteignant un pic de trafic de flood record, encore jamais atteint à ce jour sur Internet : 1 Tbps.

Une attaque DDoS record

Dès jeudi, le fondateur et actuel dirigeant d’OVH, Octave Klaba, a averti de l’attaque massive via Twitter, tout en indiquant l’immense quantité de trafic que les assaillants envoyaient. En effet, les captures d’écran partagées prouvent que les multiples cyberattaques visant OVH ont atteint des pics de trafic respectifs de 1156Gbps puis 901Gbps. Les 1 Tbps ont donc été allègrement dépassé, ce qui constitue un record sans précédent à ce jour dans l’histoire d’Internet.

Mais comment les cybercriminels à l’origine de cette violente attaque s’y sont-ils pris pour envoyer autant de trafic ? Octave Klaba a répondu partiellement à cette question cruciale en expliquant, toujours via son compte Twitter, que les assaillants ont utilisé des objets connectés (Internet des Objets), et plus particulièrement des caméras de surveillance IP pour mener la cyberattaque à l’encontre de l’entreprise (sans toutefois donner la marque des appareils incriminés et non sécurisés) :



This botnet with 145 607 cameras/dvr (1-30Mbps per IP) is able to send >1.5Tbps DDoS. Type: tcp/ack, tcp/ack+psh, tcp/syn.

Bien que OVH ait un système anti-DDoS très avancé, beaucoup de clients ont pu remarquer des crashs inexpliqués sur leur hébergement Web, ce qui n’est pas franchement étonnant au vue de l’envergure de l’attaque très complexe à mitiger…

Rappelons que ce type de cyberattaque est très prisée par les cybercriminels, et vise souvent les entreprises. Par exemple, il y a à peine quelques jours, c’est le blog du journaliste d’investigation en cybercriminalité Brian Krebs (KrebsOnSecurity) qui a été visé par une attaque DDoS de 665 Gbps (l’attaque a fait suite à une dénonciation d’un important opérateur d’attaques DDoS dans un article). Et juste une semaine avant cela, c’était la BBC qui était frappé par une cyberattaque du même type atteignant 600 Gbps. A chaque fois, des objets connectés ont été repérés en masse au sein des botnets ayant mener les attaques massives, preuve que ce type d’objet n’est pas sécurisé et peut être un redoutable danger pour les infrastructures Web !

Notons que l’intensité de l’attaque a été réduite en amont par Akamai, mais que les attaquants n’ont pas abandonné pour autant et que le site officiel d’OVH a été hors ligne durant un moment.

La faute des objets connectés non sécurisés

L’Internet des objets créer une énorme masse croissante d’objets physiques de toute sorte disposant d’une adresse IP et utilisant le réseau Internet. Or, dans le cas mentionné ci-dessus, les attaquants ont massivement piraté des caméras de surveillance IP pour développer un réseau de zombies capable de lancer une large attaque DDoS et cibler les serveurs d’OVH. Les systèmes de vidéosurveillance sont souvent livrés avec des identifiants et des mots de passe de connexion faibles ou par ceux installés par défaut, pouvant être piratés soit par simple dictionnaire, soit par une légère attaque par force brute. Dans le cas présent, il s’agit d’un immense botnet contenant 145 607 caméras IP détournées !

Il y a quelques mois, des chercheurs en sécurité avaient pointé du doigt le fait que le groupe de pirates informatiques Lizard Squad avait largement exploité les systèmes de vidéosurveillance pour mener d’importantes attaques DDoS. Les cabinets de prévention des attaques DDoS Sucuri et Incapsula ont révélé de leur côté que des dizaines de milliers de caméras de vidéosurveillance connectées dans le monde ont non seulement été piratées, mais aussi transformées en botnet DDoS géant. La cause à tout cela est l’authentification très faible à ces dispositifs.

Note : Actuellement, tout est redevenu normal chez OVH.