Des chercheurs israéliens ont trouver un nouveau moyen de surcharger les serveurs responsables du fonctionnement du web. Leur attaque, si elle est mise en œuvre, permettrait de faire tomber des pans entiers d’Internet, avec des ressources modérés. Mais heureusement, les entreprises responsables de l’infrastructure du web se sont déjà adaptées.

Cette attaque pourrait faire tomber tout un pan du web en même temps. Des chercheurs israéliens ont publié une nouvelle méthode d’attaque, qu’ils ont nommée NXNSAttack. Repérée par Wired et ZDNet, elle consiste — comme toutes les attaques par déni de services (DDoS) — à saturer les serveurs des sites ciblés de requêtes frauduleuses. Si le flux est assez important, les serveurs tombent en panne et le site passe hors ligne.

Les attaques DDoS consistent  à créer le plus gros trafic possible avec le moins d’appareils possible. C’est ici que NXNSAttack se distingue : elle amplifie jusqu’à 1 600 fois la bande passante occupée par un unique appareil, alors que les attaques courantes n’amplifient la bande passante qu’entre deux et dix fois. L’attaque découverte par les chercheurs israéliens est donc plus puissante, et surtout plus accessible que les attaques classiques puisqu’elle nécessite moins d’appareils pour causer les mêmes dommages.

Image d'erreur

Des acteurs malveillants pourraient utiliser l’attaque pour causé des dégâts à grande échelle. // Source : Louise Audry pour Numerama

Après avoir découvert la vulnérabilité, les chercheurs ont prévenu un grand éventail d’entreprises gestionnaires d’infrastructures web : Google, Microsoft, Amazon, Cloudflare, ou encore Dyn (qui avait subi une fameuse attaque en 2016) et Quad 9. Chaque groupe a mis à jour ses logiciels en conséquence. Mais malgré ces multiples réparations, certaines parties d’Internet sont encore vulnérables à l’attaque.

L’attaque s’en prend à plusieurs couches du fonctionnement d’Internet

Les serveurs DNS (ou Domain Name System) jouent un rôle clé sur le web. Ils trouvent l’adresse IP du serveur — en IPv4, une suite de 11 chiffres sous la forme 11.111.111.111 — correspondant à un nom de domaine, par exemple cyberguerre.numerama.com. Lorsque vous demandez à votre navigateur (Chrome, Safari, Firefox) de vous connecter à Cyberguerre, il va demander à un serveur DNS de lui donner l’adresse IP de nos serveurs, afin de pouvoir vous afficher le contenu que vous recherchez.

Parfois, les pages web mettent du temps à s’afficher, car les serveurs DNS doivent répondre à un grand flux de demande à la fois. Et quand ce flux est trop important, les serveurs ne supportent pas la charge et arrêtent de fonctionner. Ce surplus de flux peut être causé naturellement — par exemple lorsque Cyberguerre sort une enquête — ou par des acteurs malveillants, qui veulent causer du tort au site ou service.

La NXNSAttack s’en prend à un étage encore supérieur dans le fonctionnement d’Internet. Les serveurs DNS que nous avons décrits plus haut sont qualifiés de récursifs. Ils répartissent les demandes qu’ils reçoivent de deux façons. Soit ils peuvent associer l’adresse IP demandée grâce aux informations qu’ils ont en mémoire. Soit les informations dont ils disposent sont dépassées, et ils demanderont alors à un autre serveur DNS, qualifié d’autoritaire, de trouver l’adresse IP correspondante. Chaque DNS autoritaire est spécialisé sur un certain nombre de noms de domaines afin de ne pas être surchargé en informations.

Un système complexe à mettre en place, mais peu onéreux

L’attaque décrite par les chercheurs israéliens combine la multiplication de demandes de connexion à des appareils, et le déploiement de serveurs DNS reliés à un nom de domaine contrôlés par les hackers — par exemple hacker.com.

Les attaquants vont envoyer — depuis des appareils qu’ils contrôlent — des demandes de connexion à une multitude de sous-domaines en leur contrôle  (1.hacker.com et 2.hacker.com par exemple), générés aléatoirement. Les serveurs DNS récursifs demanderont aux serveurs autoritaires (contrôlés par les hackers) de leur donner la destination de la requête. Seulement, ces derniers répondront qu’ils ne la connaissent pas et redirigeront les requêtes des serveurs récursifs vers d’autres serveurs autoritaires, appartenant à leur cible, qui seront surchargés sous les demandes.

En résumé, les hackers créent un flux de requête dans un circuit fermé qu’ils contrôlent, avant de le rediriger sur leur cible. Ils attaquent donc à la fois les serveurs DNS récursifs par des requêtes directes, et les serveurs autoritaires par cet ingénieux système. Les chercheurs précisent qu’il ne faut que quelques dizaines de dollars pour mettre un tel système en place.

Des protections rapidement déployées

Heureusement, les gestionnaires d’infrastructures web sont habitués à gérer ce genre d’attaque par amplification. Ils ont donc déjà mis en place des protections qui limitent un usage massif de la NXNSAttack. À Wired, le directeur du fournisseur de serveurs DNS Quad9 répond qu’il s’agit d’une « menace bien réelle », qui a tout de même pour défaut de « laisser des traces », puisque les hackers doivent faire fonctionner leurs propres DNS.

Malgré tout, ce genre d’attaque est récurrent : en 2016, des hackers avaient instrumentalisé plus de 100 000 appareils — majoritairement des caméras de sécurité et des routeurs Internet — pour surcharger le trafic des serveurs de Dyn, une entreprise qui optimise et sécurise les serveurs. Ils avaient frappé juste : Amazon, Reddit, Spotify ou encore Slack ne fonctionnaient plus. D’après les chercheurs, il ne faudrait qu’une centaine d’appareils pour causer des dommages équivalents avec la NXNSAttack.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !