Les infections à grande échelle : une tendance qui se confirme

L’infection massive des moyens de communication et de traitement semble ne faire que s’accélérer. Hier le ver Wannacry infectait des centaines de milliers d’ordinateurs de par le monde, grâce à une faille technique sur SMB, le système de partage de fichiers de Windows. Aujourd’hui, ce ver a de multiples variantes, mieux conçues et plus efficaces, mais ce n’est encore que le début.

Pour un hacker, la quantité de ressources à sa disposition représente le mètre étalon. Avec plus de ressources, on a plus de capacité de nuisance et de monétisation. Il y a peu de chance que le numérique arrête sa progression demain, pas beaucoup plus que les utilisateurs deviennent des experts en sécurité, et encore moins que les logiciels à venir ne connaissent plus aucune faille.

Il ne faut pas non plus sous-estimer les égos des hackers. Le premier qui fera “tomber Internet” deviendra une légende, et c’est un titre qui peut être très motivant.

La tendance est là, elle s’installe dans le paysage mondial, tout comme le terrorisme, les crises financières, le moustique tigre ou les glaces aux goûts improbables. Aucune action prise actuellement ne peut réellement endiguer cet emballement. Il faudra donc vivre avec et lentement éduquer les utilisateurs et les développeurs à la sécurité numérique, tout comme on est éduqué à la sécurité routière avant de prendre le volant d’un véhicule. A quand le permis Internet ?

Mais en attendant, cette semaine, c’est le cas du malware contenu dans le jeu “Chef Judy” qui semble inquiétant. Même si ce malware implanté dans plusieurs jeux ne semblait destiné qu’à générer des faux clics sur des publicités, qu’en sera-t’il demain ?

Un réel danger pour la stabilité d’Internet

Ce qui me frappe le plus du haut de mes 17 années d’expertise dans ce domaine, c’est que pour la première fois, je vois un réel risque pour la stabilité d’Internet tout entier. Ce n’est pas la question du quand (évidemment bientôt) mais plutôt du comment qui importe, et le problème se pose tout simplement en termes mathématiques.

Si l’on prend pour acquis les présupposés de l’introduction, le nombre de terminaux infectés ne va faire qu’augmenter, qu’ils soient imprimantes, caméras, téléphones, ordinateurs personnels ou serveurs. Preuve en est, près de 35 millions de terminaux Android ont téléchargé et installé le jeu “Chef Judy”, qui contient un malware. Le fonctionnement de ce dernier importe peu, l’important ici est bien le nombre de machines infectées : cela signifie qu’un malware prévu pour créer une DDoS pourrait utiliser autant de machines-zombies, comme le botnet Mirai il y a peu.

Miraï, à son pic de puissance, semble avoir été capable de lancer des attaques DDoS de 1 Tb/s voir plus, en ayant infecté 1/2 million de caméra IP. Il a perturbé notoirement le réseau Internet de la côte Est des Etats-Unis pendant plusieurs heures, affectant des sites comme Twitter ou AirBnB.

1 Tb/s représente un Terabit par seconde de données. La connexion Internet moyenne en France étant d’environ 10 Mb/s (Megabit par seconde), Mirai à lui seul représentait l’équivalent de 100 000 connexions Internet en France.

Le cas de Chef Judy et de ses futurs successeurs est autrement plus préoccupant. 35 millions de téléphones infectés, avec une connexion moyenne de 10 Mb/s, portent une capacité de nuisance potentielle de :
(35 000 000 de téléphones * 10 000 000 bit/s de bande passante) / 1024 / 1024 / 1024 / 1024 (conversion de bit en Terabit) = 323 Tb/s…

Lors d’une attaque DDoS, les hackers n’utilisent pas nécessairement l’intégralité de la connexion des machines infectées. Même si l’on ne fait qu’extrapoler les chiffres de Mirai, qui avait infecté environ 500 000 caméra, ces 35 millions de téléphones pourraient envoyer une attaque a minima de 70 Tb/s, soit 70 fois plus de puissance de feu.

Mais que ce chiffre se situe à 50, 100 ou 400 Tb/s importe peu. En visant des infrastructures critiques d’Internet, une telle puissance pourrait coucher n’importe quelle cible, qu’elle s’appelle Amazon, Akamai ou les root DNS. Avec l’effet boule de neige, elle pourrait entraîner dans sa chute d’autres noeuds critiques et donc Internet avec… Si 1 Tb/s a pu faire flancher la dorsale Interne de la côte est des états unis, que pourrait donner une attaque de plus grande ampleur ?

Le problème, c’est qu’il n’existe pas réellement de solution. Quand l’attaque vient de centaines de milliers de terminaux IP, il faut les nettoyer un par un, ou renforcer considérablement les défenses des sites visés. Mais à ce niveau, rien ne peut réellement résister. Et pour stopper une telle attaque, il faudrait alors nettoyer des millions de terminaux, qui sont dans les mains d’utilisateurs finaux.

Bientôt un ver sur mobile ?

On ne peut qu’imaginer le prochain défi des hackers, mais un jour, un petit frère de Wannacry ou de Judy sera utilisé pour déstabiliser Internet.

De plus, les agences tel que la NSA, le GHCQ, d’autres organismes public, para-publics ou privés ont déjà des failles de sécurité en stock sur Android et sur IOS. Qu’adviendra-t’il si elles tombent entre de mauvaises mains une fois de plus ? Et que ces failles puissent être exploitées massivement, peut-être par un ver, et se propager sur plusieurs dizaines ou centaines de terminaux mobiles ?

On pourrait même imaginer un botnet volontaire, à l’instar de L.O.I.C, qui proposait de fédérer des internautes en les faisant viser tous la même cible pour la rendre indisponible. A l’échelle de terminaux mobile, un LOIC aurait d’autant plus d’impact car chacun pourra voter pour ou contre une cause.

Mais que l’attaque soit le fait d’un hacker, d’un groupe de hackers ou même de personnes se portant volontaires pour couper Internet, un site, une opinion ou une infrastructure, le risque démocratique est réel. Si ce petit nombre, pas forcément majoritaire le décide, il pourrait tout à fait faire taire ou contre-carrer une opinion majoritaire. D’ailleurs Mirai n’était, à l’origine, qu’un dispositif de censure visant à faire taire l’excellent Krebs et mettre hors ligne son non moins excellent blog “Krebs on security”. A ce titre, Mirai était en fait l’un des tout premiers dispositif de censure digital massive.

Dans le cas du digital, la majorité n’est plus nécessaire pour « exécuter une cible », un grand nombre suffirait amplement. Quand, deux mille ans auparavant, un chef de guerre voulait imposer une opinion, il avait besoin de temps et de ressources pour se construire une armée et éventuellement imposer son point de vue. Le numérique réduit ces délais à des minute et a des moyens bien moins importants.

Quant à Wannacry, il a indirectement tué un patient dans un hopital dont le système informatique était indisponible. Combien de dispositifs critiques ne fonctionneraient plus sans Internet, ou sans serveur comme dans le cas de Wannacry ?

Ces attaques digitales ont donc bel et bien un impact dans notre monde réel, physique, sur les personnes, les opinions, les outils de production. La pandémie digitale est donc un risque à envisager, mesurer et préparer !

De la responsabilité des éditeurs d’OS et de market place de logiciels

Mais à court terme, c’est à Google et Apple de réagir, et dans une certaine limite Microsoft également. En effet, ils éditent les OS, les systèmes d’exploitation qui font tourner ces machines, pas les caméras ou les fax certes, mais une part majeure des ordinateurs particuliers, tablettes et téléphones de la planète.

Ils sont aussi possesseurs des plateformes de mise à disposition des logiciels que nous installons sur nos téléphones et ordinateurs. A ce titre, c’est le seul point de passage obligé, le seul réel sas de décontamination, qui peut éviter une pandémie digitale.

Si eux ne font pas cet effort de chasse aux bugs et aux malwares, personne ne pourra le faire à leur place. De surcroît, les bénéfices colossaux de ces géants leurs permettent cet effort, afin au final de ne pas casser leur propre outil de travail, et le nôtre.

Philippe Humeau
Philippe a co-fondé NBS System en 1999. Après s’être concentré sur la sécurité, qu’il n’a jamais abandonnée, il se découvre une passion pour le ecommerce à partir de 2008. Tour à tour pentester, CTO, CCO puis CEO, son profil touche-à-tout l’a conduit à devenir directeur marketing et stratégie d’OT Group après notre intégration dans celui-ci.