Mirai, Leet, Bashlight… Les objets connectés constituent aujourd’hui une réelle menace pour la disponibilité des services Internet. Les attaques perpétrées à l’automne 2016 (KrebsOnSecurity, OVH, DynDNS) ont mis en lumière les « nouveaux botnets » s’appuyant sur une armada d’objets connectés (webcams, routeurs WiFi, imprimantes, capteurs…), mis à profit par les attaquants pour noyer leurs cibles de trafic indésirable, rendant ces dernières indisponibles.
L’exemple de Mirai apporte également un éclairage complémentaire. En matière de DDoS également, ce sont dans les vieux pots que l’on fait la meilleure soupe. En effet, les bots Mirai, au sein de leur arsenal de méthodes d’attaques, peuvent lancer des attaques DNS « Water Torture ». Le principe de ces attaques bien connues repose sur la génération de multiples requêtes DNS dont le contenu est pour partie aléatoire : ‘<alea>.<domain>.<tld>’, par exemple : ‘dqihuezfg.6cure.com’. Le serveur DNS recevant une telle requête va entraîner des propagations (récursions) de cette dernière, afin de rechercher l’adresse IP correspondante, qui n’existe évidemment pas, auprès du serveur autoritaire pour le domaine.
Les conséquences d’une telle attaque sont multiples, notamment : (i) si le nombre de requêtes, et donc de récursions devient trop important, le serveur autoritaire pour le domaine concerné va saturer et ne plus répondre, rendant le domaine ciblé indisponible, (ii) le serveur DNS sollicité directement par les bots va accumuler les requêtes de récursion non satisfaites et risque à son tour la saturation, rendant impossible toute navigation Internet sur la zone qu’il dessert.
Les fournisseurs de services DNS connaissent ce type d’attaques et ont cherché à s’en prémunir, en particulier en limitant le nombre de requêtes en récursion pour un domaine donné. Prenant acte de ce type de parade, il devient alors possible de chercher à les contourner, ou à les faire dysfonctionner.
Dans le premier cas, une nouvelle technique consiste, non pas à générer un aléa sur le « sous-domaine », mais à faire varier le TLD (« Top Level Domains »). Pendant des décennies, n’existaient que peu de domaines de premier niveau : domaines génériques (gTLD : .com, .net, .org…) et domaines géographiques (ccTLD : .fr, .uk, .de …). Depuis 2012, avec l’autorisation des domaines sponsorisés (sTLD : .google, .paris, .ibm…), plus de 1500 TLDs ont été créés et ce nombre est appelé à croître. Une manne pour générer en grand nombre des requêtes apparemment valides…
Dans le second cas, une technique complémentaire vise à cibler un domaine « populaire » (ex. : amazon.com), de manière à induire une « réaction » en protection, i.e. à entraîner une limitation du nombre de requêtes DNS autorisées sur ce domaine, et donc à rejeter abusivement des requêtes légitimes.
On pouvait parier que de telles méthodes soient rapidement embarquées dans les codes des bots placés sur les équipements connectés afin qu’ils les mettent en œuvre. Sans surprise, dès début 2017, les équipes 6cure ont dû accompagner plusieurs de leurs clients pour faire face à ces variantes, qui – semble-t-il – pourraient être sans fin…
___________
Emmanuel Besson est directeur technique de 6cure