Quatre ans après l’attaque de Mirai-Dyn… Internet est-il plus sûr?

Le 21 octobre 2016, des millions d’appareils IoT domestiques ont été infectés par le logiciel malveillant Mirai et ont reçu l’ordre d’envoyer des demandes de données à Dyn, un serveur de noms de domaine (DNS) largement utilisé qui agit comme un standard pour Internet. Ce raz-de-marée de demandes a détruit plus de 175 000 domaines – dont Twitter, PayPal et d’autres géants du Web – pendant plusieurs heures, affectant des dizaines de millions d’utilisateurs.

Quatre ans plus tard, Internet est-il plus résilient? Une équipe de chercheurs du CyLab de l’Université Carnegie Mellon présente une nouvelle étude visant à répondre à cette question lors de la conférence Internet Measurement de cette semaine.

«Il semble que les leçons tirées de l’attaque Dyn de 2016 n’ont été suivies que par une poignée de sites Web directement touchés», déclare Aqsa Kashaf, Ph.D. étudiant en génie électrique et informatique (ECE) et auteur principal de la nouvelle étude.

L’attaque Mirai-Dyn en 2016 a été un succès en raison de ce que Kashaf et son équipe appellent des dépendances critiques. Les domaines affectés par l’attaque Mirai-Dyn étaient fortement dépendants de Dyn, un DNS tiers. En d’autres termes, ils comptaient uniquement sur Dyn, alors quand Dyn est tombé, ils l’ont fait aussi.

Pour évaluer comment les sites Web ont (ou n’ont pas) changé depuis l’attaque de 2016, Kashaf et ses co-auteurs ont analysé 100000 des sites Web les plus populaires classés par Alexa Internet, une société d’analyse du trafic Web. Ils ont examiné les dépendances de ces sites Web en 2016, puis les ont comparées aux dépendances en 2020.

«Étant donné que l’attaque Dyn a eu un impact énorme, on pourrait penser que les sites Web s’adapteraient en conséquence», déclare Kashaf.

Il s’avère que, dans l’ensemble, la dépendance critique vis-à-vis des fournisseurs DNS a en fait augmenté d’environ 5% en 2020 par rapport à 2016. Cependant, notent les chercheurs, les sites Web les plus populaires se sont adaptés pour réduire leur dépendance critique.

«Nous interprétons cela comme signifiant que les sites Web les plus populaires se soucient davantage de la disponibilité que les moins populaires», déclare Kashaf.

Les chercheurs se sont également concentrés sur les dépendances de deux autres services associés à la fourniture de contenu aux utilisateurs en ligne, qui sont tous deux exécutés en un clin d’œil lorsqu’un utilisateur accède à un site Web: les réseaux de diffusion de contenu, qui hébergent et fournissent le contenu qu’un utilisateur voit. (par exemple, contenu vidéo pour la diffusion en continu) et la validation du certificat par une autorité de certification, qui confirme une connexion sécurisée.

Les chercheurs ont trouvé des résultats similaires: ils ont observé des changements faibles à insignifiants dans les dépendances critiques par rapport à 2016, mais les sites Web les plus populaires avaient diminué leurs dépendances.

Ce problème de dépendances critiques n’est pas propre aux sites Web, disent les chercheurs. Ils ont mené deux études de cas préliminaires de deux autres secteurs – les hôpitaux et les entreprises de maison intelligente – et ont constaté que les dépendances de tiers laissent également ces secteurs vulnérables aux attaques de type Mirai-Dyn.

«Une recommandation évidente pour les sites Web est qu’ils devraient intégrer plus de résilience et de redondance lorsqu’ils utilisent des services tiers», déclare Kashaf. « … Et les fournisseurs de services doivent soutenir et encourager cette redondance. Vous ne pouvez pas avoir un seul point de défaillance. »

À l’avenir, les chercheurs envisagent de créer un outil qui permettrait aux administrateurs Web d’analyser et d’inspecter facilement la structure de dépendance de leur propre site Web, leur permettant de prendre des décisions éclairées lors du choix de nouveaux fournisseurs de services.