A Quand Un Internet Down ?

[Nico]

Cela viendra, plus vite qu'on ne le croit, nouvelle grosse attaque : http://premium.lefigaro.fr/secteur/high-tech/2016/10/21/32001-20161021ARTFIG00343-des-grands-sites-web-perturbes-par-une-immense-cyberattaque.php

 

Je pense que dans les prochaines années, on aura le droit à  une méga attaque en règle, avec un Internet down plusieurs jours... En tout cas les dernières attaques, c'était à  chaque fois depuis des objets connectés, ça va encore être de la faute de la domotique...

[kiwi]

Hello,

Internet ne sera pas down, vu qu'il s'agit de réseaux independants qui sont interconnectés ensemble. Dans le cas qui nous intéresse il s'agit d'un certains nombres de serveurs DNS (un des services de l'internet assez important quand même) qui se sont fait DDoS.

La moral de l'histoire est de NE PAS METTRE TOUS LES OEUFS dans le même panier. Meme youporn a une infra DNS plus résiliente que ces "GAFA".

Il faut anycaster, et prévoir des choses pour tenir ces DDoS.

Après je vais faire mon relou, mais ceci est encore un bel exemple de ne pas truster le "cloud" qui est trop souvent la victime de ce genre de choses. Les serveurs et services indépendant eux, s'en foutent que les DNS de twitter, aws, ou autre soient en train de se faire péter la tronche.

Ah dernier point : l'Internet Of Shit est bien làavec ces millions de cam non sécurisées. Changez les mots de passe par défaut sur TOUS vos équipements, empêchez vos TV ou autre bidules "connectés" a sortir sur l'internet _sauf_ si nécessaire.

Pour le fun : http://www.insecam.org/

[Nico]

Ici c'était des serveurs DNS autres, mais un jour on attaquera les serveurs DNS racines en force, c'est sûr, et la Internet tombera. Je parle de l'Internet général, que tout le monde utilise. Bien sûr, des geeks arriveront toujours àun peu qque chose, en tout cas je reste persuadé que cela nous bloquera tout, surtout dans le domaine pro.

[kiwi]

Les serveurs DNS racine sont anycastés. Donc a part quelque chose d'ultra massif et ultra distribué (a coté le 1Tbps de OVH c'est du pipeau) on ne verra quasiment rien.

Après le domain "pro" (j'ai mis des " parce que... bon) qui utilisent du Outlook365, gmail, ou d'autres clouderies àla con, lui vas s'en prendre plein des dents car ils seront dans le noir.

L'Internet a un avantage : il n'y as pas de client serveurs, si on a une IPv4 (ou des IPv6) on peux faire nous même nos services... D'autant que synology permet par ex de faire ton serveur de mail, et les services DNS anycastés sont assez répandus. (Après si on met tous les DNS chez OVH on a tout perdu).

Une très bonne analyse de Bortzmeyer (L'expert du DNS en france et bien d'autres choses) sur le merdier orange et la main rouge de la semaine dernière : http://www.bortzmeyer.org/google-detourne-par-orange.html

Je suis quasi sûr qu'il vas nous faire un article. Un autre truc intéressant que tous les "pro" devraient appliquer : http://www.ssi.gouv.fr/agence/rayonnement-scientifique/lobservatoire-de-la-resilience-de-linternet-francais/le-rapport-de-lobservatoire-de-la-resilience-de-linternet-francais/ très intéressant àlire...

[Nico]

Je parle bien d'une attaque ultra massive et qui les fera tomber. En en repalera quand cela arrivera, bien sûr que nous aurons ànouveau accès àce fofo :)

[kiwi]

M'empêche qu'il va falloir que cette attaque soit très très massive et ultra distribuée...

A noter qu'on peux très bien se passer de la racine en configurant son bind, unbound, etc... pour se passer de la racine (en mettant pas exemple tout les NS des TLD et leur glue record), ça prends un peu de ram mais ça marche.

 

Petite info sur comment se passer de la zone "root" : https://lists.isc.org/pipermail/bind-users/2014-September/093999.html (toujours valable...)

[Nico]

Oui, et tout le monde sait faire cela sans soucis :)

Comme je dis, bien sûr que certains sans sortirons, mais cela représentera 0.01% du Net... Et l'attaque ultra massive, t’inquiètes, ils y arriveront sans soucis, sachant qu'on est entrain de démultiplier les objets connectés au Web. Pour qu'ils attaquent en même temps les principaux fournisseurs de DNS des gros mastodontes, surtout ceux gérant les gros cloud d'amazon et Cies, tu verras, cela va paralyser des paquets de chose.

[Lazer]

Tu vois Nico, quand je fais mon gros lourd à  râler contre les objets non sécurisés.... au final ça finit en DDOS massif.

La sécurité c'est important, que ça concerne son propre domicile ou Internet en général.

 

Pour info, on m'a rapporté récemment qu'il y a une division objets connectés chez Nokia. De l'aveu de son directeur, aucun de ses employés n'installer leurs objets à  la maison, car ils savent pertinemment qu'il n'y a aucune sécurité....

Et c'est pareil partout, tous les fabricants se moquent de la sécurité, tout ce qui compte c'est d'inonder le marché avec leurs produits jetables au cycle de vie ultra court....

[Nico]

Lazer, oui je suis d'accord, mais c'est différent entre un minimum de protection et aucune protection. Le souci, ce sont surtout tous les objets qui n'ont strictement rien du tout, comme les milliers de milliers de cam ouvertes au publique sur le Web par exemple. Pour le reste, qui nécessite une authentification, pour peu qu'on mettre un mot de passe correct, cela devient difficile en brut force àcasser pour des milliers d'accès.

[Lazer]

.... sauf si il y a une faille non corrigée, auquel cas l'auth ne sert plus àrien.

[Nico]

Oui, mais làil faut déjàune recherche costaud, avec scanne des ports, trouver l'objet derrière pour connaitre la faille àutiliser, etc etc. Pour un botnet ou autre, c'est déjàbeaucoup plus compliqué. Et pourquoi se faire chier, quand des centaines de milliers n'ont soit aucune protection ou alors admin/admin

[Lazer]

bah si, c'est justement ce que font les botnet.

Regarde les logs de ton serveur http par exemple, tu verras la quantité d'URL bizarres qui sont consultées, uniquement à  la recherche de failles connues.

 

C'est justement le rôle de ces scans incessants : trouver toutes les failles possibles et inimaginables sur le net, que ça soit de l'auth par défaut ou des failles connues.

[Nico]

Oui, mais je jette tout, pas de scan de ports possible chez moi

D'ailleurs plus de détails sur l'attaque : http://premium.lefigaro.fr/secteur/high-tech/2016/10/24/32001-20161024ARTFIG00180-comment-des-cameras-de-surveillance-ont-reussi-a-paralyser-une-partie-du-web.php

 

A priori, même plus besoin de milliers de machine, selon où elles trouvent, elles peuvent avoir un effet désastreux.

[Lazer]

Oui mais encore une fois on ne parle pas de TON installation, mais des objets connectés en général

 

Tout cela me rappelle les années 2000 avec les débuts de l'internet grand public. Les Windows non protégés étaient connectés en direct (avec un modem USB), donc pas de Firewall, pas de mise à  jour de sécurité, rien du tout.... A cette époque là , tu connectais un Windows 98 fraichement installé sur Internet, et j'avais mesuré 15 minutes avant qu'il ne soit infecté ! C'était hallucinant.... mais on se dirige tout droit vers la même chose avec les objets connectés.

La différence aujourd'hui, c'est que les attaques DDOS lancées sont beaucoup plus violentes, et qu'on est beaucoup plus dépendants d'Internet. Tiens, à  l'époque, ça m'étonnerait que le Figaro (EDIT : le forum traduit en "FIBARO", mais j'ai bien écrit le nom du journal) fasse un article sur Core Red,  alors que maintenant il est normal qu'ils parlent des attaques sur Internet. Les temps changent, mais l'histoire se répète, toujours....

[Nico]

Oui oui, je sais, je parle de chez moi. Mais je suis tout àfait d'accord, c'est un tout. D'ailleurs j'ai lu des articles qui parlait d'attaque àtravers l'objet connecté phase : Le smartphone. Personne n'a de protection dessus, directement exposé sur le net, bref la cible idéale. Un peu plus compliqué àcontrôler, mais vu le parc, ce sera juste terrible une attaque en règle la dessus.

[Lazer]

C'est déjàle cas pour la grande majorité des applis téléchargées en dehors des store officiels d'Apple et Android.... enfin surtout Android car c'est plus facile et plus tentant d'aller télécharger une appli piratée gratuitement.

Sur les stores officiels, il y a très peu de risques, mais parfois des applis passent au travers des mailles du filet et sont téléchargées par les utilisateurs avant d'être supprimées. Il y a eu une vague récemment sur des applis relatives au succès du moment :Pokemon Go. Apparement la France a été peu touchée, mais en Asie ça a été plus problématique.

Pour le reste, il y a déjàdes failles, qui permettent d'aller jusqu'àrooter l'appareil àdistance avec un simple MMS.

Donc oui je suis d'accord, il finira pas y avoir des attaques d'envergure, parce que les utilisateurs font n'importe quoi et que les fabricants fournissent rarement les mises àjour (pour une fois Apple est le bon élève )

[mprinfo]

Si internet est HS cela permettrait à@nico d'avoir du temps libre pour venir ànos petites réunion lol

Envoyé de mon SM-G901F en utilisant Tapatalk

[Nico]

Pour Apple non, au contraire, les dernières études montrent qu'IOS est plus vulnérable qu'Android, donc...

 

Pascal, tu sais, cela viendra. Cette année j'ai fais ma cour et presque fini l'étage, l'an prochain l'arrière, et ensuite, repos :)

[Lazer]

Tu fais dire ce que tu veux aux études.

La réalité, c'est que Apple met à  jour les iPhones pendant à  peu près 3 jours, alors que la très grande majorité des constructeurs Android ne le font jamais.

Le seul bon élève c'est Google avec ses Nexus et Pixel, mais comme personne ne les achètes, du coup tout le monde se retrouve avec des smartphone qui ne sont pas à  jour et comportent des failles majeures.

 

/ très content de mes 2 Nexus et de ma Pixel C... j'aurais bien pris le nouveau téléphone Pixel, mais pas dispo en France... et un poil trop cher

[Nico]

C'était vrai àun moment, mais sur les nouveaux chinoix qui arrivent, les mises àjour arrivent assez fréquement désormais.

Apple des mises àjour tous les 3 jours sur IOS, je ne crois pas trop, au contraire même : https://support.apple.com/fr-fr/HT201222

Aujourd'hui, que ce soit sur Android ou IOS, de toute façon, le délai est bien trop long, une nouvelle version d'un virus peu prendre qques heures àsortir, c'est donc complétement obsolète de parler de téléphone àjour.

[Lazer]

Oup's je voulais écrire 3 ans, pas 3 jours.

Pour le délai de mise àjour, oui c'est sur, mais si tu pousses les mises àjour tous les jours, les admin les bloquent, regarde ce qui s'est passé chez Microsoft et Google, les packs de mises àjour sortent àintervalle régulier, c'est plus facilement gérable pour tous.

[mprinfo]

Le mien n'a jamais été mis àjours depuis plus de 70 ans et il ne sera jamais piraté

[Nico]

:)

[Acetray]

La moral de l'histoire est de NE PAS METTRE TOUS LES OEUFS dans le même panier. Meme youporn a une infra DNS plus résiliente que ces "GAFA".

 

 

Amen ! Et pas que youporn, pornhub & cie ... A croire que ces industries sont avant-gardistes 

 

Je parle bien d'une attaque ultra massive et qui les fera tomber. En en repalera quand cela arrivera, bien sà»r que nous aurons à  nouveau accès à  ce fofo :)

 

Peu de chance que cela arrive (pour ne pas dire aucune). De surcroît avec cette récente et astucieuse attaque (finalement le botnet IoT s'en est pris à  l'infra la plus faible => Dyn  ) et puis quand on observe les attaques chronologiquement (2002, 2007, 2015) plus ça va et moins cela a de l'impact!

[Nico]

On verra Acetray, moi je suis loin d'être si sur de tout ça.