Jeudi 22 septembre, le blog d’un célèbre spécialiste en sécurité informatique, Brian Krebs, était victime d’une des attaques informatiques les plus puissantes jamais recensées. Samedi 1^er octobre, celui-ci a annoncé que le code source du programme ayant permis cette attaque avait été publié en ligne. « Ce qui garantit quasiment qu’Internet sera bientôt inondé d’attaques », prévient-il sur son site.

L’attaque en question était de type DDoS, ou « déni de service ». Elle consiste à saturer un serveur de requêtes afin que celui-ci ne soit plus en mesure de répondre. Celle subie en septembre par Brian Krebs était exceptionnelle par son ampleur : le volume de trafic envoyé vers son site a été estimé à environ 620 gigabits par seconde (Gbit/s), alors que les attaques les plus violentes de ces dernières années culminaient à 300 Gbit/s.

Pour parvenir à un tel résultat, les auteurs de l’attaque ont utilisé un « botnet », un réseau de machines ne leur appartenant pas qu’ils ont piratées afin de les faire agir à leur guise. Une méthode classique, mais celle-ci a une particularité : les machines en question n’étaient pas, comme souvent, des ordinateurs, mais des objets connectés, comme des caméras de surveillance. Une cible relativement facile pour les pirates puisque ces objets, connectés en permanence, sont souvent mal sécurisés.

Le blog de Brian Krebs, un célèbre spécialiste en sécurité informatique américain, a été victime d’une des attaques informatiques.

De nouvelles attaques à prévoir

Le code source du programme ayant permis de constituer et de piloter ce botnet a été divulgué vendredi 30 septembre sur un forum fréquenté par des hackeurs, par un utilisateur se faisant appeler « Anna-Senpai », affirme Brian Krebs. « Quand je me suis lancé dans le DDoS, je n’avais pas l’intention d’y rester longtemps, écrit cet utilisateur dans le message accompagnant son geste. J’ai fait de l’argent, de nombreux regards se tournent désormais vers l’Internet des objets, il est donc temps de GTFO » (« Get The Fuck Out », à savoir partir).

Pourquoi Anna-Senpai a-t-il décidé de rendre ce code public ? « La question reste ouverte », selon Brian Krebs, qui avance toutefois une hypothèse :

« Les scélérats qui développent des logiciels malveillants rendent souvent leur code source public quand les enquêteurs de la police et les entreprises de sécurité informatique commencent à renifler un peu trop près. Publier le code en ligne, ce qui le rend visible à tous et téléchargeable par tous assure aux auteurs du code qu’ils ne seront pas les seuls à le posséder si les autorités viennent frapper à leur porte avec un mandat. »

Le chercheur en sécurité informatique craint que la divulgation de ce programme ait pour conséquence une multiplication des attaques de ce genre, au point de ralentir le débit Internet de nombreux utilisateurs, « puisque des objets connectés piratés sur leur réseau pourraient accaparer toute la bande passante ».

« Le bon côté, poursuit-il, c’est que si cela arrive, cela pourrait aider à réduire le nombre de systèmes vulnérables. » Car si ce type d’attaques se développe, au point d’entraver le bon fonctionnement d’Internet, la sécurité des objets connectée pourrait, enfin, être prise plus au sérieux.