Netflix, Twitter, Reddit... Le 21 octobre 2016, en fin d’après-midi, d’importants sites internet étaient soudainement paralysés par une attaque informatique de grande ampleur. Mercredi 13 décembre, trois hommes ont plaidé coupable, reconnaissant avoir créé Mirai, l’outil ayant rendu possible cette attaque, ont annoncé les procureurs de l’Alaska et du New Jersey.

Paras Jha, Josiah White et Dalton Norman, âgés de 20 à 21 ans, avaient été identifiés en janvier par le spécialiste de la sécurité informatique Brian Krebs, qui avait dévoilé leurs noms sur son blog comme les probables concepteurs du virus Mirai. Les procureurs estiment toutefois que s’ils sont à l’origine de Mirai, ils ne sont pas responsables de l’attaque informatique du 21 octobre : ils avaient à l’époque mis en ligne le code source de l’outil, le rendant exploitable par d’autres.

L’attaque d’octobre 2016 avait révélé la puissance des « botnets », des réseaux de milliers de machines connectées à Internet, infectées par des pirates, et capables d’agir de concert pour mener des attaques coordonnées. Le virus Mirai permettait ainsi d’enrôler des milliers d’objets connectés « zombies » – jusqu’à 600 000 on été recensés –, comme des caméras de surveillance.

Le danger de l’Internet des objets

En ordonnant à ces objets de se connecter simultanément à un site internet, par exemple, celui-ci, saturé de requêtes, devient inaccessible – c’est le principe d’une attaque par déni de service (DDOS). Et c’est ce qui s’est passé le 21 octobre 2016 : des pirates ont utilisé Mirai pour créer un botnet, qui a attaqué les serveurs DNS de Dyn (Domain Name System ). Ceux-ci permettent d’aguiller les internautes vers certains sites, comme Twitter ou Netflix : sans eux, ces services deviennent inaccessibles.

Cette attaque avait également mis en lumière la faiblesse des objets connectés, souvent peu protégés contre les intrusions, et révélé les dangers de l’Internet des objets.

Mirai n’est pas le seul botnet que les hommes arrêtés aux Etats-Unis ont exploité. Deux d’entre eux, Dalton Norman et Paras Jha, ont aussi plaidé coupable pour l’utilisation d’un autre botnet : celui-ci servait à générer artificiellement des clics sur des publicités, afin de rapporter de l’argent. Paras Jha a aussi reconnu mercredi avoir mené plusieurs attaques entre 2014 et 2016 contre les systèmes de l’université Rutgers où il étudiait alors l’informatique, paralysant les réseaux notamment en période d’examens.