Les créateurs de Mirai plaident coupables… mais ne sont pas responsables de l’attaque de 2016

Dec 22, 2017
Vote on Hacker News

createurs-mirai-plaident-coupable

Un an après l’attaque d’octobre 2016 par le botnet Mirai, qui avait paralysé toute une partie du net américain, trois hackers ont reconnu avoir créé le malware. Mais ils n’ont pas fomenté la cyber-attaque mondiale.

Le mercredi 13 décembre, trois hackers d’une vingtaine d’années ont plaidé coupable devant la justice américaine, admettant avoir créé le malware Mirai. Dès janvier, Paras Jha, Josiah White et Dalton Norman, âgés de 20 à 21 ans, avaient été identifié par le spécialiste en sécurité Brian Krebs comme probables concepteurs du virus.

Il a créé le code source de Mirai… puis l’a mis en ligne !

Paras Jha, ancien étudiant en informatique de l’université de Rutgers, a admis avoir créé le code de Mirai à l’été 2016, puis d’avoir utilisé le malware, à l’aide de ses complices, pour s’enrichir, contaminant des milliers d’objets connectés.

Mais les trois hommes ne sont pas pour autant responsables de l’attaque du 21 octobre 2016 : ils avaient déjà mis en ligne le code source de l’outil, le rendant exploitable par d’autres hackers. En février 2017, un homme de 29 ans, suspecté d’être à l’origine de cette attaque, a d’ailleurs été arrêté par la justice britannique.

21 octobre 2016 : une attaque d’une ampleur inédite

Rappel des faits : Mirai fonctionne sur le principe du botnet : il a infecté un réseau de machines connectées à Internet – dans le cas de l’attaque du 21 octobre, il s’agissait à l’origine de caméras connectées mal protégées contre les virus. Cela avait d’ailleurs été l’occasion de prendre conscience à quel point les objets connectés pouvaient, pour certains, être de véritables passoires en terme de cybersécurité. Chaque objet ou ordinateur infecté tente ensuite d’infecter d’autres machines, pour développer le botnet et lui donner de l’ampleur.

Mirai a ainsi permis d’enrôler jusqu’à 600 000 objets connectés zombifiés, permettant aux cyberpirates une attaque d’une ampleur inédite. En ordonnant à tous ces objets de se connecter en même temps à un site Internet, ce dernier devient inaccessible : c’est l’une des techniques d’attaque par déni de service distribué (DDoS) les plus populaire.

Le 21 octobre, les objets infectés par Mirai ont ainsi fait « tomber » les serveurs DNS de Dyn (Domain Name System ), qui permettent d’aiguiller les internautes vers Twitter, Amazon, Airbnb, PayPal, le New York Times, Reddit ou Netflix. Le serveur a été submergé par les requêtes, qui dépassaient le téraoctet par seconde, il s’est écroulé, interrompant l’accès à l’ensemble des sites que gère Dyn.

Appât du gain

Mais si les trois hackers entendus par la justice américaine n’ont pas perpétrée cette attaque, ils en ont tout de même tiré quelques revenus, puisque Jha, White et Norman proposaient leurs services pour… protéger des machines contre des attaques DDoS !

Les trois pirates n’en étaient pas à leur coup d’essai, puisque Dalton Norman et Paras Jha ont également plaidé coupable pour la création d’un second botnet, qui permettait de générer artificiellement des clics sur des publicités, pour rapporter de l’argent. Globalement l’appât du gain semble avoir toujours été la motivation essentielle des trois jeunes hommes.

Des petits génies du cybercrime

Paras Jha a également reconnu être l’auteur d’attaques menées entre 2014 et 2016 contre le système informatique de l’université de Rutgers, où il étudiait à l’époque, pour paralyser les réseaux – notamment en période d’examen.

Pour l’anecdote, le nom du botnet a lui aussi élucidé. Il fait bien référence à l’anime japonais Mirai Nikki (« Journal du futur »). Tout simplement parce que les trois hackers « sont fans de cette série », selon Bill Walton, un agent du FBI spécialisé dans les cybercrimes.

Reste à savoir ce que deviendront les trois petits génies du cybercrime. Il est probable, comme souvent dans ces cas-là, que l’administration leur laisse le choix entre une très longue peine de prison… et une collaboration active aux services de cybersécurité (voire de cyberattaque) des Etats-Unis. Dans ce cas, les pirates hésitent rarement.