Attaque DDoS Mirai contre le DNS Dyn

Une attaque DDoS massive du botnet Mirai contre le fournisseur de DNS managé Dyn a mis hors ligne Twitter, Netflix, Spotify, GitHub, Reddit et des dizaines d'autres grands sites aux États-Unis et en Europe, démontrant comment un botnet d'objets connectés compromis pouvait perturber de larges pans d'Internet.

Partie de la campagnemirai botnet

Le 21 octobre 2016, trois vagues de trafic de déni de service distribué ont frappé Dyn, un fournisseur de DNS managé dont les serveurs traduisaient les noms de domaine pour certains des sites les plus fréquentés d'Internet. L'attaque — alimentée par le botnet Mirai composé d'objets connectés détournés — a mis hors ligne Twitter, Netflix, Spotify, GitHub, Reddit, Airbnb, PayPal et des dizaines d'autres services pour les utilisateurs des États-Unis et d'Europe, et a fait des « objets connectés non sécurisés » une préoccupation grand public du jour au lendemain.

Ce qui s'est passé

Dyn exploitait un DNS faisant autorité — l'infrastructure qui convertit les noms de domaine lisibles par l'humain en adresses IP. Lorsque les serveurs de Dyn sont devenus inaccessibles, les navigateurs ne pouvaient plus retrouver l'adresse d'aucun site reposant sur Dyn, même si les serveurs de ces sites étaient parfaitement opérationnels. Le résultat fut une cascade de pannes apparentes à travers le web.

Le trafic provenait du botnet Mirai, un réseau de centaines de milliers d'objets connectés compromis — caméras IP, enregistreurs vidéo et routeurs domestiques livrés avec des mots de passe par défaut ou codés en dur. Mirai scannait Internet à la recherche de tels appareils, s'y connectait avec une liste intégrée d'identifiants courants, puis les enrôlait pour submerger des cibles sur commande. À son pic, l'attaque contre Dyn s'est appuyée sur des dizaines de millions d'adresses IP, avec des volumes largement rapportés de l'ordre de 1,2 Tbit/s.

Les vagues d'attaque

L'assaut est survenu en trois vagues distinctes le 21 octobre :

~11h10 UTC — la première vague a frappé l'infrastructure de la côte Est de Dyn, interrompant la résolution de noms pour une longue liste de grands clients.
~15h50 UTC — une deuxième vague, plus importante, a élargi la panne à l'ensemble des États-Unis et jusqu'en Europe. À son apogée, environ 75 % des points de mesure mondiaux surveillés ne recevaient aucune réponse aux requêtes Dyn.
~20h00 UTC — une troisième vague a été en grande partie absorbée tandis que Dyn filtrait le trafic malveillant et réacheminait les requêtes.

À 22h10 UTC, après environ 11 heures de perturbations intermittentes, Dyn a déclaré l'incident résolu.

Attribution

Le botnet Mirai était l'œuvre de Paras Jha, Josiah White et Dalton Norman, trois jeunes hommes qui l'avaient initialement conçu pour attaquer des serveurs Minecraft et des services concurrents de DDoS à la demande. Après la publication du code source de Mirai en septembre 2016 (à la suite d'une attaque record contre le journaliste Brian Krebs), des botnets imitateurs ont proliféré — et l'on ignore toujours si l'attaque contre Dyn a été lancée par les auteurs originaux ou par l'un des nombreux botnets dérivés. Les trois créateurs ont plaidé coupables d'accusations fédérales en décembre 2017.

Pourquoi c'est important

L'attaque contre Dyn a marqué un tournant pour deux raisons. D'abord, elle a montré que le DNS constitue un point de défaillance unique pour une grande partie du web : neutraliser un seul fournisseur de DNS managé peut éteindre des centaines de services sans rapport entre eux, ce qui a poussé de nombreux grands sites à adopter un DNS redondant multi-fournisseurs. Ensuite, elle a rendu indéniable l'insécurité des objets connectés grand public, accélérant des réglementations telles que la loi californienne sur la sécurité de l'IoT (SB-327) et la loi britannique PSTI, qui ont interdit les mots de passe par défaut sur les appareils connectés. Le modèle de Mirai — scanner, forcer les identifiants par défaut, enrôler, submerger — est devenu le plan directeur de toute une génération de botnets IoT qui ont suivi.

Chronologie

1 septembre 2016

Le code source de Mirai est publié en ligne après avoir alimenté un DDoS record contre le site du journaliste de sécurité Brian Krebs, donnant naissance à une vague de botnets imitateurs.

21 octobre 2016

La première vague DDoS frappe l'infrastructure DNS managée de Dyn, perturbant la résolution de noms pour de grands clients de la côte Est américaine.

21 octobre 2016

Une deuxième vague, plus importante, étend la panne à l'ensemble des États-Unis et jusqu'en Europe ; au pic, environ 75 % des points de mesure surveillés constatent des requêtes Dyn sans réponse.

21 octobre 2016

Une troisième vague est en grande partie atténuée par Dyn, qui filtre le trafic malveillant et réachemine les requêtes.

21 octobre 2016

Dyn confirme la résolution de l'attaque après environ 11 heures de perturbations intermittentes.

13 décembre 2016

Le département de la Justice américain annonce les plaidoyers de culpabilité de Paras Jha, Josiah White et Dalton Norman, les créateurs du botnet Mirai.

Sources

en.wikipedia.orghttps://en.wikipedia.org/wiki/DDoS_attacks_on_Dyn

justice.govhttps://www.justice.gov/opa/pr/justice-department-announces-charges-and-guilty-pleas-three-computer-crime-cases-involving

thousandeyes.comhttps://www.thousandeyes.com/blog/dyn-dns-ddos-attack

krebsonsecurity.comhttps://krebsonsecurity.com/2016/10/hacked-cameras-dvrs-powered-todays-massive-internet-outage/

Incidents liés

DDoSRésolu23 mars 2026

Intoxalock : une cyberattaque bloque des voitures aux États-Unis

Vers le 14 mars 2026, le fournisseur américain d'éthylotests antidémarrage Intoxalock a été frappé par une attaque de type DDoS ayant mis ses serveurs hors ligne pendant près d'une semaine, perturbant la calibration et les comptes clients et immobilisant environ 150 000 conducteurs dans 46 États.

Victim: Intoxalock

Chaîne d’approvisionnementRésolu29 mars 2023

Attaque de la chaîne d'approvisionnement 3CX (RPDC)

Des acteurs liés à la Corée du Nord ont trojanisé le client softphone 3CXDesktopApp, diffusant le maliciel SmoothOperator via une mise à jour signée légitimement à une base de plus de 600 000 organisations clientes — la première compromission en cascade documentée de la chaîne d'approvisionnement logicielle, elle-même rendue possible par une compromission antérieure du logiciel de trading X_TRADER.

Victim: 3CX (clients de 3CXDesktopApp)

Chaîne d’approvisionnementContenu13 décembre 2020

Compromission de la chaîne d'approvisionnement SolarWinds SUNBURST (Cozy Bear)

Des opérateurs du SVR russe ont trojanisé l'infrastructure de compilation de SolarWinds Orion, distribuant une mise à jour dotée d'une porte dérobée à 18 000 clients, dont les départements américains du Trésor, du Commerce, de la Sécurité intérieure, d'État et de l'Énergie. L'opération d'cyberespionnage étatique emblématique de la décennie.

Victim: SolarWinds (clients Orion — ~18 000 organisations dont 9 agences fédérales américaines ainsi que Microsoft, FireEye, Mimecast)
Loss: $100.00B

Exploitation de vulnérabilitéRésolu13 novembre 2016

Fuite de données FriendFinder Networks

Une faille d'inclusion de fichier local a permis aux attaquants de dérober 412 millions de comptes sur les sites pour adultes et de rencontres de FriendFinder Networks, dont AdultFriendFinder. La plupart des mots de passe étaient stockés en clair ou en SHA-1 non salé, et les comptes « supprimés » ne l'avaient jamais réellement été.

Victim: FriendFinder Networks
Records: 412.2M