DDoS 2.0 : IoT déclenche une nouvelle alerte DDoS

DDoS 2.0 : IoT déclenche une nouvelle alerte DDoS

L’Internet des objets (IoT) transforme l’efficacité dans divers secteurs tels que la santé et la logistique, mais il a également introduit de nouveaux risques en matière de sécurité, en particulier les attaques DDoS alimentées par l’IoT. Cet article explore comment ces attaques fonctionnent, pourquoi elles posent des problèmes uniques, et comment les atténuer.

Qu’est-ce que l’IoT ?

L’IoT (Internet des objets) fait référence à des dispositifs en ligne et interconnectés qui collectent et échangent des données. Cette vaste catégorie de dispositifs comprend des capteurs, des caméras, des routeurs réseau et des machines avancées, et leur intégration dans la vie quotidienne et les processus de travail résulte en un écosystème capable d’automatiser les opérations, d’améliorer la prise de décision et d’améliorer l’expérience utilisateur.

IoT : un terrain propice pour les botnets

L’adoption rapide de l’IoT amplifie sa vulnérabilité, car les dispositifs mal sécurisés deviennent une proie facile pour les attaquants et peuvent devenir une partie d’un botnet. Contrôlés par les attaquants, les botnets peuvent s’étendre et exécuter rapidement diverses attaques, notamment des DDoS, des vols de données, de la fraude publicitaire, du minage de cryptomonnaie, du spam et du phishing, de la collecte de données et de l’espionnage, sans que les propriétaires des dispositifs en aient connaissance.

Pourquoi les botnets IoT sont-ils une préoccupation croissante ?

Les botnets ne sont pas nouveaux, mais les botnets IoT posent une menace spécifique. Le nombre de dispositifs IoT est passé à 16 milliards en 2022 et devrait dépasser les 30 milliards d’ici 2025. Ces dispositifs souffrent souvent de mises à jour peu fréquentes, de paramètres par défaut peu sécurisés, ou sont simplement laissés sans surveillance, ce qui les rend moins sécurisés que les ordinateurs traditionnels et les expose à un risque d’infection relativement facile pour former des botnets puissants. L’ampleur et la complexité des attaques alimentées par l’IoT sont appelées à augmenter en raison de leur utilisation croissante. Parmi ces risques, les attaques par déni de service distribué (DDoS) se distinguent comme particulièrement difficiles à atténuer. La nature distribuée des dispositifs IoT les rend idéaux pour ce type d’attaques, ce qui rend difficile l’identification et le blocage du trafic malveillant et aggrave ainsi les défis liés à la gestion des attaqes de type DDoS.

Anatomie des attaques DDoS par botnet IoT

Explorons comment les attaques DDoS IoT se produisent et comment de nouveaux dispositifs IoT rejoignent les rangs des bots.

Plusieurs entités clés sont impliquées dans une attaque de botnet DDoS :

• L’attaquant est la personne qui contrôle le botnet. On les appelle aussi le bot herder ou le botmaster.
• Un serveur de commandement et de contrôle (C&C) est un ordinateur contrôlé par l’attaquant et utilisé pour communiquer avec les dispositifs infectés. Le C&C orchestre les actions du botnet, envoie des commandes globales pour des tâches telles que le déclenchement d’une attaque ou la recherche d’un nouveau dispositif vulnérable.
• Un botnet est un réseau de dispositifs qui ont été infectés par des logiciels malveillants et sont contrôlés par un seul attaquant.
• La victime ou la cible est l’objet d’une attaque spécifique dirigée par un botnet.

Le processus d’attaque est relativement simple :

• L’attaquant cible le botnet vers une victime. L’opérateur du botnet identifie la cible - généralement un dispositif, un site web ou un service en ligne - qu’il souhaite mettre hors service.
• Le serveur C&C orchestre l’attaque DDoS. Le serveur C&C envoie les instructions de l’attaquant à tous les bots du réseau pour commencer à envoyer des demandes à la cible, et coordonne le comportement du botnet.
• Un flot de trafic se produit. Tous les bots du réseau commencent à envoyer un grand nombre de demandes au site web ou au serveur cible.
• Lorsque le botnet inonde la cible de demandes excessives, des défaillances de service se produisent, ce qui compromet la disponibilité du système ciblé et met même en danger l’intégrité de toute l’infrastructure. Lorsqu’il est dirigé contre des infrastructures essentielles comme la santé ou les transports, les dangers vont au-delà des dommages financiers et de réputation pour mettre en danger la vie des personnes.

Les dispositifs IoT non patchés, sans surveillance, mal configurés, ou déjà sous une attaque DDoS de botnet, sont susceptibles d’être incorporés dans un botnet. Pour étendre le botnet, un attaquant pirate de nouveaux dispositifs IoT. Ce processus implique deux entités : le botnet lui-même et le serveur de charge, un serveur spécial qui infecte d’autres dispositifs. En bref, le processus se déroule comme suit : le botnet pirate le dispositif et obtient l’accès, puis le serveur de chargement installe un logiciel malveillant dessus. L’attaquant obtient ensuite un accès permanent au dispositif et le rattache au botnet. Voici les étapes de l’infection des dispositifs IoT et de leur connexion à un botnet basées sur le cas de Mirai :

• Commande initiale : L’attaquant utilise le serveur C&C pour envoyer une commande au botnet pour attaquer et incorporer de nouveaux dispositifs.
• Orchestration : Le serveur C&C coordonne les actions du botnet.
• Analyse et compromission : Le botnet analyse et compromet les dispositifs victimes pour obtenir un accès privilégié en essayant de deviner les mots de passe faibles ou en exploitant des micrologiciels obsolètes ou des configurations non sécurisées.
• Rapport de données : Le botnet transmet l’adresse IP de la victime et les identifiants d’accès au serveur de charge une fois que le dispositif est piraté.
• Livraison de logiciels malveillants et infection : Le serveur de chargement envoie des logiciels malveillants ou des instructions malveillantes, qui sont ensuite exécutés par un dispositif compromis, le transformant en un bot.
• Rejoindre le botnet : Le dispositif nouvellement infecté devient une partie du botnet et attend d’autres instructions, souvent en opérant de manière indétectable.

À quel point la menace actuelle des DDoS IoT est-elle dangereuse ?

Les attaques DDoS alimentées par l’IoT ont augmenté de 300 % au cours du premier semestre de 2023, entraînant une perte financière mondiale estimée à 2,5 milliards de dollars. En 2023, 90 % des attaques DDoS complexes à vecteurs multiples étaient basées sur des botnets. La tendance ne montre aucun signe de ralentissement : le nombre de dispositifs IoT impliqués dans les attaques DDoS alimentées par des botnets est passé d’environ 200 000 il y a un an à environ 1 million de dispositifs, tandis que deux fois plus de vulnérabilités sont ciblées par des logiciels malveillants de botnet. Dans l’ensemble, la capacité des attaques DDoS est en hausse. Selon le Radar 2023 de Gcore, la puissance maximale d’une attaque DDoS unique a atteint un incroyable 800 Gbps au cours du premier semestre de 2023. Juste deux ans plus tôt, elle atteignait 300 Gbps. Alors que la plupart des attaques atteignent des vitesses de 1 à 2 Tbps, les plus puissantes peuvent atteindre 100 Tbps.

Projections alarmantes pour 2023-2024

Nous assistons à une augmentation significative de vecteurs d’attaque DDoS spécifiques, tels que la réflexion UDP et le débordement des demandes HTTP, ciblant principalement les industries technologiques et financières. Les secteurs fortement dépendants des services en ligne et du traitement des données en temps réel sont les cibles les plus attractives, faisant face à des pertes financières immédiates et à des dommages de réputation à long terme. L’avancée de l’IoT, tout en stimulant l’innovation, soulève également des tendances futures inquiétantes en matière de cybersécurité comme inspiration.

Conclusion

Les attaques DDoS alimentées par l’IoT représentent une menace croissante pour la cybersécurité en 2023. Avec l’expansion rapide de l’IoT, il est crucial de comprendre ces attaques, leurs mécanismes et leurs conséquences potentiellement dévastatrices. Les entreprises doivent renforcer leurs mesures de sécurité pour se prémunir contre cette nouvelle menace émergente. La cybersécurité est plus importante que jamais, alors restez informé et protégé contre les attaques DDoS IoT. Pour en savoir plus sur la cybersécurité chez les et TPE PME, consultez notre article : Cyberattaques en France 2023 : Guide pour TPE et PME