En tant que prise de position politique, une attaque par déni de service se situe quelque part entre courir nu sur le campus de votre université ou jeter une pierre dans la vitrine d'une boutique. C'est immature, pas joli joli, ni vraiment bien construit. Le point positif: c'est accessible à tout le monde, pas trop méchant et vous pouvez faire passer votre message –le message étant que vous voulez qu'on se mette à vous prendre au sérieux.
La DDoS, comme on l'appelle, a fait les gros titres cette semaine car elle est l'outil principal d'une flash mob en ligne autobaptisée Anonymous. Ces deux derniers jours, ils ont lancé des DDoS contre les sites internet de Visa, MasterCard, et d'autres entités qu'ils considèrent responsables d'attaques ou de diffamations contre WikiLeaks et son fondateur, Julian Assange. Jeudi matin, @Op_payback, un des comptes Twitter visiblement associés au groupe a donné certaines instructions visant à attaquer Amazon.com. Ce projet, néanmoins, a vite été abandonné –Amazon, le groupe en a décidé ainsi, était trop gros pour être lésé par une attaque DDoS, et il fallait mieux en rester à des victimes plus modestes, et moins au point techniquement.
L'une des plus vieilles techniques d'attaque
La DDoS est l'une des plus vieilles attaques de l'Internet. Elle existe depuis plus de dix ans et a pour la première fois touché le grand public en 2000 quand un adolescent canadien, surnommé Mafiaboy s'est servi d'une DDoS pour faire tomber Amazon, eBay, Yahoo, et d'autres gros sites. Une attaque DDoS ressemble à une farce très Lolita malgré moi où vos copines inondent de canulars téléphoniques votre pire ennemie toute la nuit pour lui occuper sa ligne. Version Internet, il s'agit de rassembler vos amis –ou mêmes des étrangers aux ordinateurs ralliés en un «botnet» via un ver informatique– et de diriger d'un coup une tonne de requêtes factices vers un serveur. La machine ciblée est alors submergée par les requêtes, et devient indisponible pour ses usagers lambda.
Il est inouï que des attaques DDoS puissent encore se produire. L'Internet ne ressemble plus du tout à cet endroit anarchique qu'il était dans les années 1990, nous sommes venus à bout de beaucoup de ses premiers dangers –spams, e-mails vérolés, arnaques nigérianes– et la vie connectée est aujourd'hui paisible. Mais les DDoS persistent. Selon une étude (PDF) menée sur des opérateurs réseaux par Arbor Networks –qui fabrique des outils à destination des administrateurs système pour détecter et combattre les attaques par déni de service– tout opérateur réseau travaillant sur un site important doit faire face à au moins une attaque DDoS par mois, et plusieurs douzaines pour certains. Les attaques se renforcent, elles aussi. En 2002, une grosse DDoS pouvait consommer environ 400 mégabits par seconde d'une bande passante d'un réseau; aujourd'hui, des énormes attaques, en général causées par de gigantesques botnets comme le Conficker de l'an dernier, consomment 100 fois plus de bande passante, jusqu'à 49 gigabits par seconde. Pourquoi les attaques DDoS ont-elles survécu? Et comment, après tout ce temps, n'avons-nous pas toujours trouvé un moyen de les anéantir?
Une technique qui repose sur l'architecture même d'Internet
C'est parce que les moyens mêmes de ces attaques reposent sur l'architecture d'Internet. Le boulot principal d'un serveur web est de répondre à des requêtes entrantes, de faire accéder une demande publique à des sites web. Les serveurs web ont été conçus au départ pour ne faire aucune distinction –ils ne regardent pas d'où vient la requête, ce qui est demandé, ou si de nombreuses autres machines ont demandé la même chose des milliers de fois dans les dernières minutes. Tout ce que le serveur sait faire, c'est répondre –c'est sa raison d'être, son unique but dans la vie. Et c'est justement de cette faiblesse dont savent profiter les DDoS.
Jose Nazario, un spécialiste de la sécurité chez Arbor Networks, déclare que des opérateurs réseaux ont tenté de mettre plus d'intelligence dans les serveurs web. De nombreux sites importants utilisent des systèmes anti-DDoS examinant tout écart à la norme du trafic –si les requêtes dépassent largement un niveau de fréquentation de référence, c'est le signe que le site pourrait être attaqué. Des logiciels de protection analysent aussi les types de requêtes faites par des machines extérieures, à quelle fréquence elles les font si elles sont sur le réseau, et quel logiciel elles utilisent pour pénétrer votre serveur. Grâce à cette analyse, le serveur peut déterminer quels ordinateurs envoient sur le web des requêtes malicieuses et les bloquer. «Ces outils ont remarquablement bien fonctionné pour garder le net en état de marche», dit Nazario. «Par rapport au nombre de tentatives d'intrusion, et à leurs gabarits, vous n'en entendez vraiment pas parler souvent».
La défense anti-DDoS ne sera jamais parfaite
Mais les outils de défense anti-DDoS ne sont pas parfaits, et pour Nazario, ils ne le seront jamais. Parce que les hackeurs, eux aussi, deviennent de plus en plus malins. Les pirates les plus chevronnés commencent par analyser les faiblesses de leurs cibles. S'ils trouvent une page sur un site qui génère de nombreuses requêtes internes, ou qui se réfère très souvent à sa base de données, ils conçoivent une attaque qui profitera de cette gloutonnerie de ressources endogène. «Nous les avons vus faire beaucoup de travail de reconnaissance pour trouver le meilleure endroit par où attaquer –s'ils trouvent qu'une simple poignée de requêtes sur une page précise, par exemple, arrivera à faire tomber tout le site, alors c'est par là qu'ils frapperont», déclare Nazario. En plus, les outils de lancement d'une telle attaque sont aujourd'hui bien plus facilement accessibles qu'auparavant. Twitter et Facebook facilitent aussi la tâche de recrutement des hackeurs et leurs permettent de mieux organiser leurs efforts. Anonymous, le groupe derrière les attaques pro-WikiLeaks, a lancé ses assauts DDoS grâce à un programme nommé LOIC, l'acronyme de «Low Orbit Ion Cannon.» [canon à ions orbital, arme que l'on retrouve dans de nombreuses œuvres de SF, dont Star Wars, NdT]. Les partisans d'Anonymous peuvent télécharger LOIC et rejoindre instantanément une horde de hackeurs dont la cible est définie par un administrateur central.
Les attaques par déni de service qui font l'actualité sont souvent celles aux motifs idéologiques. L'un des exemples les plus célèbres remonte à 2007, quand des pirates avaient bloqué les sites de banques, de journaux, et d'autres institutions publiques en Estonie. Bien que les assaillants n'aient jamais été formellement reconnus, de nombreux experts voient dans ces attaques la patte d'un groupe de pirates russes s'étant servi de DDoS comme de cyber-armes de guerre, peut-être même avec la bénédiction du gouvernement russe. Des attaques plus petites et moins idéologiquement motivées éclosent tout le temps. En septembre, 4Chan, le forum inspirateur de mèmes et obsédé du canular, a bloqué le site de la Motion Picture Association of America. Le mois dernier, 4Chan s'est attaqué à des sites de Tumblr, la plateforme de blogging que les usagers de 4Chan voient comme un repaire d'hipsters neurasthéniques. Cette attaque ne semble pas avoir fonctionné.
Des attaques d'abord économiques
Mais les attaques idéologiques, selon Nazario, sont la minorité –la plupart des DDoS sont lancées pour des raisons plus terre-à-terre. Le motif principal est économique; une entreprise peu scrupuleuse peut s'offrir les services des opérateurs d'un botnet pour bloquer le site d'un concurrent. L'extorsion marche aussi très bien, avec des pirates menaçant de déconnecter des entreprises si elles ne payent pas la rançon. «Croyez-le ou pas», ajoute Nazario, «l'une des nœuds de croissance les plus importants actuellement concerne le jeu en ligne, où des individus conçoivent de petits botnets afin de garder la main. Si vous avez identifié quelqu'un de meilleur que vous au jeu, vous pourrez peut-être gagner la partie en faisant sauter la connexion de son ordinateur».
Les attaques de cette semaine ne se sont pas terminées par ce genre de capitulation. Même si certaines parties des sites de Visa, MasterCard, PostFinance (une banque suisse qui a fermé le compte d'Assange) ont été bloquées pendant un court moment mercredi, ces attaques ne semblent pas avoir causé de graves dommage à ces entreprises. En particulier, aucunes de leurs activités principales n'ont été entravées –ces attaques n'ont empêché en rien les gens de se servir de leurs cartes Visa ou MasterCard, ou de payer par PayPal. Il est peu probable qu'une DDoS puisse de toutes façons en faire bien plus. Cependant, sans argent et en très peu de temps, les assaillants ont fait les gros titres des quatre coins de la planète. C'est loin d'être un mauvais retour sur investissement.
Farhad Manjoo
Traduit par Peggy Sastre
