jeudi , 26 avril 2018

Comment Minecraft a-t-il engendré le botnet Mirai ?

Les 3 auteurs du Botnet Mirai ont été condamnés par la justice. Ce botnet a été l’une des pires menaces sur la sécurité informatique en 2016, mais la grande surprise est que les auteurs l’ont créé principalement à cause de Minecraft.


Comment Minecraft a-t-il engendré le botnet Mirai ?
En 2016, on a vu une nouvelle attaque qui a paralysé de nombreuses infrastructures d’internet. Le botnet Mirai, qui utilise les appareils de l’internet des objets, pouvait lancer des attaques DDoS de grande ampleur. Cette peur des attaques avait infecté le déroulement des élections américaines de 2016 et les autorités américaines craignaient également des attaques sur leurs infrastructures critiques. Mais après les condamnations de Paras Jha, Josiah White et Dalton Norman, le procès révèle que les 3 jeunes auteurs du Botnet ne voulaient pas mettre une partie du web à genou, mais simplement d’avoir un avantage concurrentiel sur un jeu qui coutait à peine 27 dollars, qui compte 150 millions d’utilisateurs, le célèbre Minecraft.

Le botnet Mirai, une attaque d’un nouveau genre

Le FBI et certains experts de sécurité savaient qu’il y a avait quelque chose de nouveau qui était apparu au début de 2016. On entendait parler de vDOS, un service DDoS à louer où n’importe quel utilisateur pouvait déclencher des attaques DDoS sur les sites de son choix en échange de quelques centaines de dollars. Wired publie un long dossier sur cette affaire.1 Ces services, appelés Booters, étaient populaires dans les jeux en ligne, car ils permettaient d’avoir un avantage concurrentiel sur les autres joueurs.2 vDOS était dangereux, mais quand Mirai est apparu, alors on a su que c’est une nouvelle bête bien plus dangereuse. vDOS était simplement une attaque DDoS et la nouveauté est sa démocratisation par les Michus.

Contrairement à d’autres Malwares qui sont des versions de menaces existantes, Mirai a été codé à partir en zéro en exploitant des failles spécifiques aux appareils de l’internet des objets.3 L’internet des objets est une vraie passoire, car les fabricants et les utilisateurs se contentent des configurations par défaut et comme ce sont des systèmes embarqués (impossible de les mettre à jour à distance), alors la correction d’une faille peut prendre des mois et parfois, c’est impossible, car il faut changer d’appareil.

Les dégâts colossaux provoqués par Mirai en 2016

Mirai a commencé à montrer les dents à partir de septembre 2016. Il a infecté 65 000 appareils dans les 20 premières heures en doublant de taille toutes les 76 minutes et on estime qu’il a infecté entre 200 000 à 300 000 appareils dans les premiers jours. Le FBI estime que les auteurs de Mirai sont certes brillants, mais Mirai n’est pas un truc ultra-perfectionné. Ils ont eu simplement la bonne idée au bon moment. Personne ne songerait à infecter des appareils de l’internet des objets. Mirai s’est surtout propagé en Asie et en Amérique latine qui sont 2 pays qui abritent les principaux constructeurs dans l’internet des objets. Dans sa vitesse de pointe, Mirai a pu infecter jusqu’à 600 000 appareils et quand on le combine avec les connexions internet à haut débit, alors il est évident que les failles et les appareils nous présageaient un séisme informatique sans précédent.

Le 19 septembre 2016, l’un des plus grands hébergeurs de la planète, OVH, s’est pris une attaque sans précédent sur son infrastructure. OVH se prend des attaques quotidiennes, mais Mirai lui a balancé un trafic d’environ 11 térabits par seconde en utilisant plus de 145 000 appareils de l’internet des objets. En comparaison, une attaque DDoS normale peut atteindre 50 Gb/s, mais Mirai a déclenché un trafic équivalent à 901 Gb/s. Mirai a été également conçu pour viser une rangée d’adresses IP ce qui fait qu’il peut s’attaquer à tout le réseau plutôt qu’un site particulier.

À travers tout le mois de septembre 2016, les auteurs de Mirai ont modifié le Botnet pour qu’il soit plus virulent. Par la suite, quelqu’un sous le pseudo d’Anna-senpai, a publié le code source de Mirai sur des forums afin que tout le monde puisse l’utiliser. C’était également une tactique pour brouiller les pistes des vrais auteurs. Les 3 condamnations actuelles montrent que cela n’a pas marché.

Après l’attaque d’OVH, c’était au tour du site Krebs on Security qui s’est pris une attaque de Mirai avec un pic à 600 Gpbs. Krebs a été ciblé parce qu’il avait révélé un service de DDoS à louer qui était contrôlé par l’équipe de vDOS.4 C’était à la fois étrange et très inquiétant. Dans ce nouveau monde, un journaliste ou un blogueur pouvait être réduit au silence par une attaque informatique parce que quelqu’un avait simplement la puissance de le faire.

En octobre 2016, Dyn, un service de DNS, a été attaqué par une variante de Mirai dont le code source était désormais disponible. Le fait d’attaquer un service comme Dyn n’a rien d’une attaque normale, car quand Dyn est tombé, des services comme Twitter, Netflix ou Paypal ont eu d’énormes difficultés. Notons que les auteurs originaux de Mirai n’étaient pas à l’origine de cette attaque. À cette époque, Bruce Schneier avait écrit que quelqu’un est en train de tester systématiquement les principales infrastructures critiques d’internet.5

Tout ça pour Minecraft

Mais pourquoi les auteurs de Mirai avaient-ils crée ce Botnet à la base ? Pour attaquer l’élection américaine, attaquer OVH, montrer qu’ils sont les plus puissants d’internet ? Non. C’était simplement pour avoir un avantage pécuniaire sur un jeu qu’on peut acheter pour 27 dollars et qui compte près de 150 millions de joueurs au monde. Minecraft était la cause principale de la création du botnet Mirai.

Minecraft, un jeu de bac à sable, est l’un des jeux les plus populaires au monde et ce n’est pas pour rien que Microsoft a déboursé 2 milliards de dollars pour le racheter. Mais la force de Minecraft n’est pas dans le jeu lui-même, mais par sa communauté et tout un nouveau Business qui s’est crée. À une époque, les serveurs Minecraft étaient la principale tendance et les administrateurs faisaient payer au joueur une parcelle de terrain dans le jeu où il pouvait construire. Vous aviez également les achats des outils Premium comme des armes et d’autres avantages dans les serveurs PVP. Selon les agents du FBI, Peterson et Klein, qui ont mené l’enquête sur Mirai, ces serveurs Minecraft rapportaient beaucoup d’argent. Les plus gros serveurs pouvaient gagner 100 000 dollars par mois.

Et quand on a autant d’argent en jeu et en sachant la toxicité extrême de la communauté de Minecraft, alors il est évident que les attaques n’allaient pas tarder. Dans la jungle ultra-concurrentielle des serveurs Minecraft, les attaques DDoS étaient monnaie courante pour faire tomber les concurrents. Et l’attaque contre OVH n’était pas un hasard ou un test, car il offre des services de protection de DDoS quand on loue ses serveurs. Paras Jha, Josiah White et Dalton Norman ont spécifiquement conçu le botnet Mirai pour attaquer ses services de protection ou plutôt, ils ont créé une attaque DDoS contre laquelle les protections étaient inefficaces. OVH n’est pas tombé même contre Mirai, mais une partie de son infrastructure fut quand même impactée.6 Et c’est là que les 3 chenapans ont compris la puissance de leurs outils.

Quand les enquêteurs ont compris le lien entre Minecraft et Mirai, alors ils ont analysé le code du Botnet et il était rempli de liens associés à Minecraft. L’attaque d’OVH a été médiatisée, mais Mirai a également ciblé ProxyPipe qui est un service de protection DDoS spécialisé dans les serveurs Minecraft. Après la publication du code source de Mirai, des variantes ont continué à infecter les appareils. Mais 2 réactions de force égales s’annulent. Mirai avait réussi, car il était le seul maitre dans la ville, mais quand vous avez des botnets concurrents qui se battent pour infecter les mêmes appareils, alors l’efficacité baisse drastiquement. Pendant le procès, le procureur a admis que ces nouvelles menaces le dépassaient complètement. On a des jeunes qui bidouillent dans leur coin, qui évoluent dans des communautés, largement ignoré du public Michuesque et on a un exemple frappant du retard abyssal entre la technologie et le grand public.

Les inventeurs de l’internet du futur ?

Paras Jha, Josiah White et Dalton Norman ont été arrêtés et ils vont passer pas mal de temps derrière les barreaux. Mais on peut se poser la question sur la pertinence d’une condamnation. N’est-ce pas les bidouilleurs qui sont à l’origine de la Silicon Valley ? On sait que les Gates, les Wozniak et les Jobs étaient comme ces jeunes en bidouillant et en testant de nouvelles choses. Et surtout, le botnet Mirai nous montre de façon fracassante l’absence totale de sécurité et la négligence des fabricants dans l’internet des objets.

Mais on ne peut pas comparer les 2 générations. Les premiers étaient de vrais bidouilleurs tandis que les nouveaux pensent principalement à l’appât du gain. Après la popularité du botnet Mirai, les auteurs l’ont modifié pour créer des clics frauduleux sur la publicité en ligne et ils ont amassé pas mal d’argent. Quand ils ont compris que Mirai était simplement l’une des plus puissantes attaques DDoS connues à ce jour, ils n’ont rien fait pour l’arrêter et ils l’ont même modifié pour le rendre plus virulent. On est loin de l’esprit de la bidouille et de l’altruisme.

Le risque systémique de l’internet actuel

Quand vous avez des mecs qui créent un truc pour faire tomber des serveurs Minecraft et que ce truc devient l’une des pires attaques sur les infrastructures d’internet, alors on doit se poser la question sur la pertinence de cet internet. La faute ne revient pas à Mirai, mais à l’internet des objets et à d’autres technologies qui sont devenu une vraie passoire. Internet est totalement cassé et on continue de mettre des briques de plus en plus lourdes sur ce château de cartes.

De plus, on sait que l’internet des objets nous ramène au droit de propriété de l’époque féodale, mais les médias de masse continue de l’encenser, d’en vanter les mérites, d’en parler comme d’une révolution alors que le seul objectif est de vendre des merdes dont personne n’aurait même l’idée d’utiliser à la base.

On pourrait penser que Mirai a donné un coup de pied au cul des constructeurs. Ils auraient pu sécuriser mieux leurs appareils, rappeler les dispositifs défectueux et proposer des Firmwares Open Source qui facilitent la mise à jour. Il semble que ce sera pour 2018 ou 2019 ou 2029, car un nouveau Botnet appelé Satori, est apparu en décembre 2016 et il a déjà infecté près de 280 000 appareils en l’espace de 12 heures.7 On prend les mêmes et on recommence.

Sources

1.
M. Graff G, Watercutter A, Finley K, et al. How a Dorm Room Minecraft Scam Brought Down the Internet. WIRED. https://www.wired.com/story/mirai-botnet-minecraft-scam-brought-down-the-internet/. Accessed December 16, 2017.
2.
What Are Booter Services? Webopedia Definition. Webopedia. https://www.webopedia.com/TERM/B/booter_services.html. Accessed December 16, 2017.
3.
Bursztein E. Understanding the Mirai Botnet. Elie Bursztein’s site. https://www.elie.net/publication/understanding-the-mirai-botnet. Accessed December 16, 2017.
4.
DDoS Mitigation Firm Has History of Hijacks — Krebs on Security. krebsonsecurity. https://krebsonsecurity.com/2016/09/ddos-mitigation-firm-has-history-of-hijacks/. Accessed December 16, 2017.
5.
Someone Is Learning How to Take Down the Internet – Schneier on Security. schneier.com. https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html. Accessed December 16, 2017.
6.
La goutte DDoS n’a pas fait déborder le VAC : comment OVH protège ses clients des attaques DDoS. OVH Blog. https://www.ovh.com/fr/blog/ovh-resiste-attaque-ddos-vac/. Published October 5, 2016. Accessed December 16, 2017.
7.
Cimpanu C. Satori Botnet Has Sudden Awakening With Over 280,000 Active Bots. BleepingComputer. https://www.bleepingcomputer.com/news/security/satori-botnet-has-sudden-awakening-with-over-280-000-active-bots/. Accessed December 16, 2017.
N'oubliez pas de voter :
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (5 votes, moyenne : 4,40 sur 5)
Loading...

Rejoignez :


Soutenez-nous financièrement.

Même 1 dollar peut nous aider !

A propos de Houssen Moshinaly

Rédacteur en chef d'Actualité Houssenia Writing. Blogueur frénétique et précaire comme tout blogueur qui se respecte.

Répondre

Votre adresse email ne sera pas publiée. Les champs obligatoires sont marqués d'une étoile *

*

Timber by EMSIEN 3 Ltd BG