Bref aperçu des attaques par déni de service.

C’est donc arrivé : l’abréviation « DDoS » a fait son entrée dans le lexique, à tel point que le mot attaque par déni de service n’est pas écrit dans son intégralité dans les journaux d’intérêt général. Eh bien en réalité, certains ne connaissent pas encore ce que cette abréviation signifie, mais tout le monde sait qu’une attaque par déni de service est très néfaste pour un large panel de cibles, avec quelque chose d’important qui soudainement ne fonctionne pas, avec des employés qui se tournent les pouces dès que le réseau plante, les téléphones du support technique qui n’arrêtent pas de sonner, et des clients mécontents qui se plaignent tout le temps. Qui plus est, tout le monde sait qu’une attaque par déni de service est accomplie par des cybercriminels malveillants, mystérieux et inconnus.

Les attaques par déni de service ont évolué très rapidement, on en parlera à la suite de cet article. Elles se sont développées de façon encore plus malveillante et sont devenues techniquement plus avancées, de temps en temps elles adoptent des méthodes d’attaques complétement différentes : elles s’en prennent à de toutes nouvelles cibles, et battent de nouveaux records du monde en s’imposant comme les attaques par déni de service les plus néfastes jamais connues. Le monde dans lequel les attaques DDos se sont imposées a également évolué très rapidement. Tout devient connecté, jusqu’à l’évier de la cuisine, le nombre d’appareils « intelligents » de toutes sortes connectés à Internet dépasse désormais de loin le nombre des bons vieux ordinateurs portables et de bureau.

Le résultat de ces deux évolutions fonctionnant en parallèle (les attaques par déni de service ainsi que le paysage numérique dans lequel elles demeurent) a contribué à faire la une des médias : les botnets constitués de caméras IP et les routers Wi-Fi domestiques battant des records de taille d’attaques par déni de service (Mirai), et des attaques DDos massives contre des banques russes.

Si auparavant les botnets étaient composés d’ordinateurs zombies, ils seront bientôt faits de réfrigérateurs, d’aspirateurs, de sèche-linges et de machines à café zombies.

brevity-comic

Donc, qu’est-ce qui nous attend prochainement ?

Rien de bon en tout cas. Par le passé, les choses tournaient toujours mal pour les victimes concernées. Mais combien de victimes seront susceptibles de souffrir sérieusement à l’avenir ? Pour arriver à une meilleure estimation, nous devons nous tourner vers le passé, pour nous faire une meilleure idée de ce que nous réserve l’avenir. C’est d’ailleurs la raison pour laquelle j’ai décidé de vous livrer un bref aperçu de l’histoire des attaques par déni de service, pour votre lecture et améliorer vos connaissances sur le sujet.

Ce qui va suivre est mon top 8 subjectif des attaques par déni de service de tous les temps. Dans le mot « Top », j’entends par là les « pires » attaques et non les « meilleures », si vous voyez ce que je veux dire. Toutes les huit ont provoqué de sérieuses pannes soit à grande échelle sur Internet soit sur un large service d’Internet.

Avant de commencer, une mise en garde s’impose : toutes les huit ne sont pas totalement des « attaques DDos » comme on l’entend au sens propre du mot. Cependant, l’élément « distribué » était présent dans toutes les huit, provocant la perturbation importante du réseau.

1. Le ver Morris (1988)

Robert Tappan Morris – creator of the first computer worm on the InternetRobert Tappan Morris – créateur du premier ver informatique sur Internetr

Alors qu’il n’était encore qu’un étudiant, Robert Tappan Morris développa son ver à des fins strictement de recherches (« pour évaluer la taille d’Internet »). Cependant, comme toujours, le dissimuler dans un code était une erreur, du fait que le ver ne pouvait pas déterminer si un système était « propre » ou infecté (par lui-même !). Au lieu d’une attaque unique sur des ordinateurs distants, le ver se copiait lui-même sur le même et unique système encore et encore. Plusieurs fois de suite. Sans relâche… En conséquence de cela le réseau avait planté, et les 60 000 nœuds qui allaient avec. Le ver Morris s’était propagé sur le réseau ARPANET (un prototype précoce d’Internet).

Morris avait plaidé coupable, s’était repenti, et avait été condamné à 400 heures de travaux d’intérêt général et 10 000$ d’amende.

2. Melissa (1999)

David Smith, creator of Melissa, the mass-mailing virus that left Microsoft and Intel without emailDavid Smith, créateur de Melissa, le virus d’envoi massif qui a saturé les systèmes de messagerie de Microsoft et Intel

Il s’agissait d’un simple macrovirus de messagerie qui affectait les documents MS Office. Si un utilisateur ouvrait un fichier, le virus se propageait par e-mail et était envoyé à 50 destinataires provenant du carnet d’adresses de la victime.

Vous devez certainement vous demander quel est le rapport avec une attaque par déni de service…

Eh bien, ces 50 e-mails envoyés par chaque victime n’ont provoqué ni plus ni moins qu’une épidémie gigantesque, qui a eu un effet boule de neige incontrôlable : l’attaque distribuée s’était propagée à travers le monde entier. Il n’avait pas visé une cible en particulier mais à la place tout le système global de messagerie ! Le macro avait réussi à augmenter considérablement le flux de messagerie mondial, et avait obligé plusieurs entreprises à désactiver leurs services de messagerie.

L’auteur du virus avait également était démasqué, poursuivi en justice et condamné.

3. L’attaque par déni de service sur Amazon, eBay, Dell, CNN et plus encore (2000)

Cette attaque DDoS est sans doute la plus frappante en soi, puisqu’elle a causé d’énormes dégâts, son auteur a été sévèrement puni.

Voici les faits : un hacker de 15 ans, sous le pseudo de MafiaBoy, avait semé la pagaille chez presque tous les principaux portails Internet, y compris Yahoo!, à l’époque le premier moteur de recherche au monde (Google était encore aux couches). Les dommages financiers provoqués par MafiaBay avaient été estimés à 1,2 millions de dollars.

La raison de ses agissements était assez caractéristique de l’époque : il souhaitait simplement montrer à quel point le monde informatique était cool. Il n’était pas du tout intéressé par l’argent. C’était juste pour son égo d’adolescent, aidé et encouragé par les vulnérabilités inhérentes d’Internet.

Du fait qu’il était encore mineur, la justice canadienne l’avait condamné à 8 mois de placement dans un établissement pénitentiaire pour mineurs.

4. Code Red (2001)

Voici l’exemple d’un autre virus qui a fait son apparition avant l’époque du cybercrime tel qu’on le connaît aujourd’hui. Ce n’était pas pour l’argent, mais juste de la pure malveillance pour le plaisir.

Code Red attaquait les ordinateurs tournant sous le serveur web de Microsoft IIS. Il laissait des messages indiquant « Hacked by Chinese », et avait même semé la pagaille sur le site de la Maison Blanche.

Le ver faisait trois choses :

a) Il remplaçait le contenu utile d’une page web par la phrase ci-dessous :

ddos-4

b) Il se propageait via de nouveaux serveurs web ;

c) Il menait à bien des attaques DDos sur un ensemble prédéfini d’adresses web, y compris celle de la Maison Blanche, à un temps similaire prédéfini, selon l’entrée correspondante dans le code.

Ce virus est connu pour avoir affecté plus d’un million ( !) de serveurs web partout dans le monde, autrement dit une proportion considérable de l’Internet tout entier. Il n’était présent que dans la mémoire de l’ordinateur de la victime, et ne créait pas de fichiers.

L’auteur du Code Red et le motif de sa création demeurent inconnus.

Le fait particulièrement intéressant à propos du Code Red était que la vulnérabilité dans le serveur web exploitée par le ver avait été corrigée par Microsoft un mois avant l’épidémie. Morale de l’histoire : ne tardez jamais à faire vos mises à jour mes amis !

5. SQL Slammer (2003)

Il s’agissait certes d’un petit virus mais non pas des moins NOCIFS, avec seulement 376 octets (pas des « kilos » , ni des « mégas », ni des « gigas »). En janvier 2003, il avait réussi à infecter des centaines de milliers de serveurs à travers le monde en 15 minutes, avait augmenté le trafic mondial de 25%, et privé la Corée du Sud d’Internet et du réseau mobile (!) pendant des heures, réduisant le pays en mille morceaux à cause des attaques DDoS. Il faut ajouter que la faille exploitée sur Microsoft SQL Server 2000, avait était corrigée (non pas un mois avant comme c’était le cas avec Code Red), mais six mois auparavant !

Il s’avère qu’à l’époque un grand nombre d’ordinateurs était plein de failles, le monde de l’informatique en avait pris un sacré coup. En ce samedi matin fatidique, notre expert Aleks Gostev était le seul à travailler le week-end, et ça ne faisait qu’un mois qu’il était là. Je me rappelle parfaitement de son « baptême » dans le monde de la détection des virus malveillants, et je ne l’oublierai jamais !

The jump in traffic looked something like thisLa montée en flèche du trafic ressemblait à ça 

Parmi d’autres choses, cette épidémie avait mis sens dessus dessous 13 000 distributeurs de banques américaines, au dire de tous, cela avait conduit activement (bien qu’indirectement) à ce que 50 000 millions d’habitants du Nord-Ouest des Etats-Unis se retrouvent privés d’électricité en août 2003.

6. Estonie (2006)

En 2007, le gouvernement d’Estonie a décidé de déplacer le Soldat de bronze de Tallinn bâti sur le site de plusieurs sépultures de guerre, du centre de la capitale au cimetière militaire de Tallin avoisinant. La statue est un monument en hommage aux soldats soviétiques qui sont morts au combat contre les troupes nazies durant la seconde guerre mondiale. La communauté russe d’Estonie s’était opposée fermement au mouvement, ce qui avait provoqué deux nuits d’émeutes et des arrestations massives. Voici ce qu’il en est pour le court historique.

Une fois le monument déplacé, une attaque par déni de service historique avait été lancée sur plusieurs organisations estoniennes. Il ne s’agissait pas de l’attaque DDoS la plus grande de l’histoire, en revanche c’était la première fois que des botnets de spams criminels menaçaient la sécurité nationale d’un pays : l’Internet d’Estonie avait planté presque entièrement. Les banques, les fournisseurs d’accès à Internet, les journaux, les sites du gouvernement, tout s’était retrouvé paralysé. Nous savons juste que des botnets criminels avaient été utilisés, déployés par des individus trop enthousiastes.

La principale leçon à retenir de l’attaque contre l’Estonie est que le cybercrime est devenu une menace possible contre la sécurité nationale et internationale et que le monde numérique que nous avons bâti s’est avéré être extrêmement vulnérable.

7. Attaques DDoS en Russie du Sud (2007)

Il s’agit d’une attaque par déni de service moins bien connue mais qui n’en demeure pas moins importante. Durant l’été brûlant de 2007 dans la région de Krasnodar au Sud de la Russie, les villes d’Adygué et d’Astrakhan se sont retrouvées avec des coupures Internet. Il s’avère que la raison était due à une attaque DDoS qui s’en était prise au plus grand fournisseur d’accès à Internet de la région.

Naturellement, la panique s’était installée, avec des ingénieurs qui tournaient en rond, des routeurs (et des cerveaux) fumant, pestant, des clients (y compris des VIP) demandant quand Internet allait remarcher, et les autorités policières se demandant qui devait être arrêté, et pourquoi !

Les attaques étaient arrivées par vagues pendant un mois entier, en atteignant 10 giga-octets par seconde (ce qui était impressionnant pour l’époque en 2007). Les attaques étaient également très inhabituelles : elles utilisaient des botnets, mais avait fait davantage appel à des sites d’échange de fichiers, ce qui était pour l’époque des projets de recherches sans précédent. Ceux à l’origine des attaques n’ont jamais été découverts.

Cette attaque DDoS représentait un moment crucial pour la Russie. L’Internet tout entier d’une région toute entière avait été allumé et éteint comme une lampe de poche et personne ne pouvait rien y faire. Avant cet incident, personne ne faisait attention aux menaces DDoS ; par la suite, tout le contraire s’est produit : ces attaques ont été traitées comme de sérieuses menaces courantes. Des technologies sont apparues, et les entreprises de télécommunication commencèrent à installer activement de nouveaux équipements spécialisés. Nous y avons également contribué, en développant notre propre solution.

8. Les attaques DDoS politiques en Russie (2011-2012)

Entre décembre 2011 et mars 2012, nous avons assisté à de nombreuses tensions politiques en Russie : se tenaient les élections présidentielles et celles du Parlement (la Douma) entraînant des manifestations politiques. Pour couronner le tout, une fusillade s’était produite entre les forces opposées. Les sites du gouvernement et de l’opposition furent victimes d’attaques DDoS. Le fait principal à retenir est que c’était la première fois en Russie que des méthodes cybercriminelles étaient si largement et ouvertement mises en œuvre à des fins politiques.

Que réserve le futur ?

Les attaques par déni de service n’ont pas cessé en 2012.  En fait, c’est tout le contraire : toute une industrie commerciale autour des attaques DDoS s’est développée. Les motivations sont claires : l’argent, le cybercrime as-a-service, obéissant à des services.

Aujourd’hui, il est difficile d’imaginer qu’une épidémie telle que Slammer puisse à nouveau se produire (mais désormais avec de nombreux appareils « intelligents » connectés à Internet et échangeant des données, tout peut arriver). Cependant les hackers ne lâchent rien et les récentes attaques DDoS sur l’Internet des Objets le prouve. Notre dépendance à Internet et aux appareils intelligents croît, entraînant par conséquent l’augmentation des dégâts provenant de panne ou de coupure totales, y compris ceux causés par l’Homme.

Pour l’heure, le monde est coincé, un peu dans les démons du passé, un peu dans le futur dangereux. Et entre les deux, se trouve un présent alarmant. Il y a toujours des raisons d’être optimiste, cependant je crains qu’on soit encore confrontés à des attaques par déni de service déplaisantes.

LIRE LES COMMENTAIRES 0
Laisser un commentaire