Cette attaque pourrait faire tomber tout un pan du web en même temps. Des chercheurs israéliens ont publié une nouvelle méthode d’attaque, qu’ils ont nommée NXNSAttack. Repérée par Wired et ZDNet, elle consiste — comme toutes les attaques par déni de services (DDoS) — à saturer les serveurs des sites ciblés de requêtes frauduleuses. Si le flux est assez important, les serveurs tombent en panne et le site passe hors ligne.
Les attaques DDoS consistent à créer le plus gros trafic possible avec le moins d’appareils possible. C’est ici que NXNSAttack se distingue : elle amplifie jusqu’à 1 600 fois la bande passante occupée par un unique appareil, alors que les attaques courantes n’amplifient la bande passante qu’entre deux et dix fois. L’attaque découverte par les chercheurs israéliens est donc plus puissante, et surtout plus accessible que les attaques classiques puisqu’elle nécessite moins d’appareils pour causer les mêmes dommages.
Des acteurs malveillants pourraient utiliser l’attaque pour causé des dégâts à grande échelle. // Source : Louise Audry pour Numerama
Après avoir découvert la vulnérabilité, les chercheurs ont prévenu un grand éventail d’entreprises gestionnaires d’infrastructures web : Google, Microsoft, Amazon, Cloudflare, ou encore Dyn (qui avait subi une fameuse attaque en 2016) et Quad 9. Chaque groupe a mis à jour ses logiciels en conséquence. Mais malgré ces multiples réparations, certaines parties d’Internet sont encore vulnérables à l’attaque.
L’attaque s’en prend à plusieurs couches du fonctionnement d’Internet
Les serveurs DNS (ou Domain Name System) jouent un rôle clé sur le web. Ils trouvent l’adresse IP du serveur — en IPv4, une suite de 11 chiffres sous la forme 11.111.111.111 — correspondant à un nom de domaine, par exemple cyberguerre.numerama.com. Lorsque vous demandez à votre navigateur (Chrome, Safari, Firefox) de vous connecter à Cyberguerre, il va demander à un serveur DNS de lui donner l’adresse IP de nos serveurs, afin de pouvoir vous afficher le contenu que vous recherchez.
Parfois, les pages web mettent du temps à s’afficher, car les serveurs DNS doivent répondre à un grand flux de demande à la fois. Et quand ce flux est trop important, les serveurs ne supportent pas la charge et arrêtent de fonctionner. Ce surplus de flux peut être causé naturellement — par exemple lorsque Cyberguerre sort une enquête — ou par des acteurs malveillants, qui veulent causer du tort au site ou service.
La NXNSAttack s’en prend à un étage encore supérieur dans le fonctionnement d’Internet. Les serveurs DNS que nous avons décrits plus haut sont qualifiés de récursifs. Ils répartissent les demandes qu’ils reçoivent de deux façons. Soit ils peuvent associer l’adresse IP demandée grâce aux informations qu’ils ont en mémoire. Soit les informations dont ils disposent sont dépassées, et ils demanderont alors à un autre serveur DNS, qualifié d’autoritaire, de trouver l’adresse IP correspondante. Chaque DNS autoritaire est spécialisé sur un certain nombre de noms de domaines afin de ne pas être surchargé en informations.
Un système complexe à mettre en place, mais peu onéreux
L’attaque décrite par les chercheurs israéliens combine la multiplication de demandes de connexion à des appareils, et le déploiement de serveurs DNS reliés à un nom de domaine contrôlés par les hackers — par exemple hacker.com.
Les attaquants vont envoyer — depuis des appareils qu’ils contrôlent — des demandes de connexion à une multitude de sous-domaines en leur contrôle (1.hacker.com et 2.hacker.com par exemple), générés aléatoirement. Les serveurs DNS récursifs demanderont aux serveurs autoritaires (contrôlés par les hackers) de leur donner la destination de la requête. Seulement, ces derniers répondront qu’ils ne la connaissent pas et redirigeront les requêtes des serveurs récursifs vers d’autres serveurs autoritaires, appartenant à leur cible, qui seront surchargés sous les demandes.
En résumé, les hackers créent un flux de requête dans un circuit fermé qu’ils contrôlent, avant de le rediriger sur leur cible. Ils attaquent donc à la fois les serveurs DNS récursifs par des requêtes directes, et les serveurs autoritaires par cet ingénieux système. Les chercheurs précisent qu’il ne faut que quelques dizaines de dollars pour mettre un tel système en place.
Des protections rapidement déployées
Heureusement, les gestionnaires d’infrastructures web sont habitués à gérer ce genre d’attaque par amplification. Ils ont donc déjà mis en place des protections qui limitent un usage massif de la NXNSAttack. À Wired, le directeur du fournisseur de serveurs DNS Quad9 répond qu’il s’agit d’une « menace bien réelle », qui a tout de même pour défaut de « laisser des traces », puisque les hackers doivent faire fonctionner leurs propres DNS.
Malgré tout, ce genre d’attaque est récurrent : en 2016, des hackers avaient instrumentalisé plus de 100 000 appareils — majoritairement des caméras de sécurité et des routeurs Internet — pour surcharger le trafic des serveurs de Dyn, une entreprise qui optimise et sécurise les serveurs. Ils avaient frappé juste : Amazon, Reddit, Spotify ou encore Slack ne fonctionnaient plus. D’après les chercheurs, il ne faudrait qu’une centaine d’appareils pour causer des dommages équivalents avec la NXNSAttack.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
