Conçu pour embrigader des objets connectés dans des attaques par déni de service distribué, le fameux botnet Mirai avait eu droit à une publication de son code source début octobre. Son examen a permis à un chercheur en sécurité chez Invincea d'y débusquer des failles.

Mirai-cartographie L'exploitation de l'une de ces failles pourrait permettre de contrecarrer en temps réel une attaque DDoS de type HTTP Flood sous la houlette de Mirai. Une telle attaque consiste à noyer un serveur Web ou une application avec des requêtes HTTP GET ou POST en apparence légitimes.

La faille en question est un dépassement de mémoire tampon lorsque le bot Mirai d'un objet connecté - et donc infecté - prend part à une attaque. Son exploitation peut mettre un terme à l'attaque d'un bot en particulier. Les explications techniques sont données dans un billet de blog.

Pour autant, cet exploit n'aurait pas permis de contrecarrer l'attaque ayant visé Dyn et qui a entraîné une perturbation d'accès à une partie du Web. Il ne s'agissait en effet pas d'une attaque DDoS de type HTTP Flood mais DNS Flood.

En outre, l'exploit pose quelques questions dans la mesure où cela revient à pirater en retour des objets connectés infectés. " Nous ne préconisons pas une contre-attaque. Nous montrons simplement la possibilité d'utiliser une stratégie de défense active contre une nouvelle forme d'une ancienne menace ", écrit Scott Tenaglia de Invicea.