IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

USA : en voulant faire une blague à ses amis, il déclenche une attaque DDoS contre des systèmes d'urgence 911


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 019
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 019
    Points : 208 506
    Points
    208 506
    Par défaut USA : en voulant faire une blague à ses amis, il déclenche une attaque DDoS contre des systèmes d'urgence 911
    USA : en voulant faire une blague à ses amis, il déclenche une attaque DDoS contre des systèmes d'urgence 911
    qui a failli mettre l'un d'eux hors ligne

    D’après un communiqué de presse de l’unité du cybercrime du comté de Maricopa (dans l'État de l'Arizona aux États-Unis), les forces de l’ordre ont arrêté Meetkumar Hiteshbhai Desai, un jeune adulte de 18 ans qui habite la région de Phoenix, accusé d’avoir inondé le système d'urgence 911.

    Le bureau du shérif affirme que Desai a créé un exploit JavaScript qu’il a partagé sur Twitter et sur d’autres sites avec ses amis. Le hic ? Les personnes qui tentaient d’avoir accès au lien qu’il avait posté depuis des dispositifs iOS (iPhone ou iPad) voyaient leurs appareils lancé automatiquement encore et encore l’appel d’urgence 911.

    Mais Desai a expliqué aux officiers qu’il était simplement intéressé par la découverte de failles sur iOS qu’il aurait pu rapporter à Apple et donc éventuellement gagner de l’argent ainsi que la reconnaissance de ses amis. Rappelons qu’en août, durant la conférence Black Hat, Apple a annoncé l’ouverture de son bug bounty program, même si l’éditeur d’iOS a précisé que, dans un premier temps, un groupe de chercheurs sélectionnés seraient éligibles pour pouvoir participer.

    Desai a indiqué qu’il a eu un tuyau sur un bogue dans iOS qu'il a bien entendu réussi à exploiter. Au cours de ses essais, l'adolescent a écrit plusieurs scripts s’appuyant sur ce bogue qui pouvaient par exemple lancer composer un numéro de téléphone et lancer indéfiniment l’appel ou alors afficher des pop-ups ennuyeux.

    Il a alors déclaré qu’il voulait piéger ses amis, pensant que ça serait drôle. Mais lorsqu’il a partagé le lien en ligne, il a mis une version qui, au lieu d’afficher des pop-ups, lançait un appel vers un numéro de téléphone, en l'occurrence le 911.

    Les forces de l’ordre ont indiqué qu’il a partagé son lien sur Twitter où il a plus de 12 000 followers. Plus tard, l’enquête a permis aux autorités d’estimer à 1 849 personnes le nombre d’individus qui ont cliqué sur le lien. Les enquêteurs ont avancé que les appareils iOS de ces personnes ont commencé à lancer des appels d’urgence partout aux États-Unis puis à raccrocher. Les systèmes d'urgence du Texas à la Californie ont déclaré avoir observé un pic dans les appels raccrochés.

    La région la plus touchée a été Phoenix, où Desai et la plupart de ses amis vivent. Le service de police de Peoria et le bureau du shérif du comté de Maricopa ont déclaré avoir reçu un grand nombre d'appels 911 qui se sont immédiatement soldés par un raccrochage, mais le département de police le plus touché était celui de Surprise, qui a reçu plus de 100 appels dans un court laps de temps, ce qui a failli mettre son système hors ligne.

    En septembre dernier, les scientifiques du centre de recherche en cybersécurité de l’université Ben Gurion (Israël) ont publié les résultats de leur recherche qui stipulent qu’il faudrait environ 6000 smartphones pour mettre hors service un système d’urgence 911 par une attaque DDoS. .

    Source : rapport du bureau du shérif du comté de Maricopa, 9-1-1 DDoS: Threat, Analysis and Mitigation (au format PDF)

    Voir aussi :

    Une attaque DDoS perturbe l'accès à de nombreux sites importants pendant plusieurs heures, essentiellement pour les internautes américains

    Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs, a été publié en ligne

    OVH victime de la plus violente attaque DDoS jamais enregistrée par un botnet de caméras connectées qui n'étaient pas sécurisées

  2. #2
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2007
    Messages
    891
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Juillet 2007
    Messages : 891
    Points : 2 046
    Points
    2 046
    Par défaut
    En France avec les nouvelle loi, si l'on prévient la société (Apple) on peux être condamné....

  3. #3
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 038
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 038
    Points : 8 405
    Points
    8 405
    Par défaut
    <trolldi>Apple, la sécurité à la portée des amateurs</trolldi>

  4. #4
    Inactif  
    Profil pro
    Inscrit en
    Août 2008
    Messages
    238
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2008
    Messages : 238
    Points : 620
    Points
    620
    Par défaut
    Bien joué, cornichon !
    Ça va te valoir une belle amende et quelques jours à l'ombre, peut-être.

  5. #5
    Rédacteur/Modérateur


    Homme Profil pro
    Développeur .NET
    Inscrit en
    Février 2004
    Messages
    19 875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2004
    Messages : 19 875
    Points : 39 753
    Points
    39 753
    Par défaut
    Le bureau du shérif affirme que Desai a créé un exploit Java
    Javascript, pas Java...

    activate the telephone dialing feature on ios cell phones by utilizing a java script code that he created
    Y a pas Java sur iOS

  6. #6
    Membre extrêmement actif
    Profil pro
    Analyste cogniticien
    Inscrit en
    Novembre 2010
    Messages
    284
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Analyste cogniticien

    Informations forums :
    Inscription : Novembre 2010
    Messages : 284
    Points : 656
    Points
    656
    Par défaut
    J'espère que cet irresponsable criminel croupira de nombreuses années en prison.

    En plus du délit d'intrusion dans un système informatique et du délit de création de logiciel malfaisant, en mettant hors service le 911, il peut très bien être indirectement responsable de décès ou d'invalidité temporaire ou permanente de nombreuses personnes qui auraient pu être sauvées si le 911 avait été fonctionnel, ce qui ajoute le chef d'inculpation de génocide involontaire.

    On t'amènera des oranges, va. Ou pas. Ou alors j'aurais craché dedans d'abord.

  7. #7
    Membre à l'essai
    Femme Profil pro
    Développeur informatique
    Inscrit en
    Mai 2014
    Messages
    12
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 32
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Mai 2014
    Messages : 12
    Points : 24
    Points
    24
    Par défaut
    mais bien-sur , quand tu veux faire un test de spam tu met le 911 comme numero, ça parait cohérent

  8. #8
    Membre éclairé
    Homme Profil pro
    Étudiant
    Inscrit en
    Juillet 2013
    Messages
    192
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juillet 2013
    Messages : 192
    Points : 678
    Points
    678
    Par défaut
    Si moins de 2'000 zombies sont suffisant pour mettre la moitié des centrale d'urgence d'un état en PLS c'est qu'une petite remise à neuf de leurs infrastructutres doit s'imposer...

  9. #9
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 790
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 790
    Points : 7 286
    Points
    7 286
    Par défaut
    "CHEF !!!! J'ai la moitié de New-York qui sature le standard !!! Comment je fais ??!?"

    Die Hard 3

  10. #10
    Membre chevronné

    Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    Février 2004
    Messages
    761
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information

    Informations forums :
    Inscription : Février 2004
    Messages : 761
    Points : 2 097
    Points
    2 097
    Par défaut
    Citation Envoyé par Lyons Voir le message
    Si moins de 2'000 zombies sont suffisant pour mettre la moitié des centrale d'urgence d'un état en PLS c'est qu'une petite remise à neuf de leurs infrastructutres doit s'imposer...
    Ah ben oui 2000 appels c'est tellement rien. Je ne vois pas comment leur infrastructure pourrait changer quelque chose au problème que cela cause.

  11. #11
    Membre éclairé
    Homme Profil pro
    Étudiant
    Inscrit en
    Juillet 2013
    Messages
    192
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juillet 2013
    Messages : 192
    Points : 678
    Points
    678
    Par défaut
    Citation Envoyé par blbird Voir le message
    Ah ben oui 2000 appels c'est tellement rien. Je ne vois pas comment leur infrastructure pourrait changer quelque chose au problème que cela cause.
    Il me semble déceler un peu d'ironie
    Oui 2'000 appels c'est rien. N'importe qui a les moyens de générer 2'000 appels / sec ('fin je sais pas sur quel interval de temps c'était mais ça semblerait logique de parler en terme d'appel / seconde).
    Je suis complètement d'accord qu'il y aura toujours une limite au-delà de laquelle l'infrastructure sera saturée, mais si monsieur Dupont peut pousser le système jusqu'à cette limite depuis son salon, c'est qu'il y a un problème. On parle d'une centrale d'appel d'urgence, pas d'un numéro d'information genre 118 218 ça reste malgré tout une infrastructure sensible.

  12. #12
    Inactif  
    Homme Profil pro
    Analyste-Programmeur / Intégrateur ERP
    Inscrit en
    Mai 2013
    Messages
    2 511
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Analyste-Programmeur / Intégrateur ERP
    Secteur : Bâtiment

    Informations forums :
    Inscription : Mai 2013
    Messages : 2 511
    Points : 10 334
    Points
    10 334
    Par défaut
    Citation Envoyé par Lyons Voir le message
    On parle d'une centrale d'appel d'urgence, pas d'un numéro d'information genre 118 218 ça reste malgré tout une infrastructure sensible.
    Mais non, en cas de catastrophe naturelle, il faudra juste que les gens ne soient pas plus de 10 à appeler à la fois, sinon le standard rend l'âme. Il n'y a aucun problème avec l'infrastructure. ^^

Discussions similaires

  1. Réponses: 9
    Dernier message: 26/10/2016, 16h07
  2. Réponses: 9
    Dernier message: 06/10/2016, 22h01
  3. Réponses: 4
    Dernier message: 19/11/2014, 17h44
  4. Réponses: 2
    Dernier message: 29/04/2014, 10h15
  5. Réponses: 3
    Dernier message: 14/08/2012, 11h24

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo