Sécurité : L’hébergeur roubaisien a fait face à une attaque Ddos d’ampleur ayant dépassé la barre du térabit par seconde. À l’origine de cette offensive, un botnet de caméras IP infectées par des cybercriminels.

Les équipes chargées de la protection Ddos d’OVH ont apparemment eu fort à faire la semaine dernière. Sur Twitter, le fondateur et CTO de l’hébergeur roubaisien Octave Klaba expliquait en effet que son groupe faisait face à une attaque Ddos record visant ses infrastructures. Les attaques se sont étendues du 18 au 23 septembre, avec une pointe à 1 térabit par seconde de trafic malveillant atteint le 20 septembre.

This botnet with 145607 cameras/dvr (1-30Mbps per IP) is able to send >1.5Tbps DDoS. Type: tcp/ack, tcp/ack+psh, tcp/syn. — Octave Klaba / Oles (@olesovhcom) September 23, 2016

1 Tbps, c’est beaucoup, même pour un acteur de la taille d’OVH, qui s’est pourtant soigneusement équipé pour contrer ce type d’attaques qui visent à intervalle régulier son infrastructure. Mais plus que le record en terme de puissance de feu, c’est bien l’origine de l’attaque qui interpelle.

Comme l’explique Octave Klaba, la source du trafic malveillant proviendrait en effet d’un botnet de caméras de sécurité. Celui-ci compte près de 150.000 caméras infectées par les cybercriminels, chacune d’entre elles peut ainsi envoyer entre 1 et 30 Mbps de trafic malveillant vers la cible. Lorsque l’ensemble de la puissance de feu du botnet est dirigé contre une cible, le trafic malveillant généré par les caméras peut ainsi s’élever à 1,5 Tbps selon Octave Klaba.

Interrogé plusieurs fois par nos soins afin d'obtenir plus de détails, OVH n'a pas retourné nos demandes de commentaire.

publicité

Ddos en cascade



La menace provenant de ces équipements connectés et non sécurisés n’est donc pas à prendre à la légère. On connaissait cette possibilité depuis quelques années déjà, mais ces botnets semblent particulièrement en vogue en cette fin d’année 2016. Ainsi le blogueur et expert en sécurité Brian Krebs expliquait avoir fait face à une attaque similaire aux alentours du 20 septembre. Comme l’explique le chercheur sur son blog, son site a été visé par une attaque Ddos dont le pic de trafic montait à 620 Gbps. Quand même...

Et comme pour OVH, Brian Krebs et Akamai estiment que cette attaque provenait également d’un botnet constitué de caméras et de systèmes d’enregistrements vidéo. Comme l’explique Brian Krebs, ces attaques n’ont pas besoin d’exploiter un mécanisme de réflexion des attaques telles que ceux qu’on avait pu voir par le passé grâce au DNS.

Pour Brian Krebs, le motif de cette attaque semble être la vengeance. Le chercheur avait en effet contribué à la fermeture d’un acteur majeur du Ddos, le service israélien vdos, et les requêtes envoyées par certaines machines du botnet comportent un message faisant référence à l’un des administrateurs du défunt service.

Quelles qu’en soient les raisons, les objets connectés sont devenus le nouveau terrain de jeu des cybercriminels et ces nouveaux botnets donnent du fil à retordre aux sociétés visées. Brian Krebs a trouvé une solution en faisant placer son blog sous l'égide de Google et de son Project Shield, un programme destiné à la protection du journalisme en ligne.

