Secu
Les armes des cyberattaques pullulent sur internet
Par La rédaction, publié le 20 novembre 2012
Les outils capables de mettre en panne les sites web évoluent. Ils servent principalement au racket des boutiques en ligne.
Il n’a jamais été aussi simple d’attaquer des sites web. Low Orbit Ion Cannon (dit Loic), SlowHTTP, RailGun et autres sont tous des outils librement téléchargeables pour – officiellement – tester la robustesse d’un site d’e-commerce face à une attaque de type déni de service. Mais ils servent tous bel et bien à mettre les boutiques en ligne hors service. « Ces logiciels n’ont qu’une cellule et un bouton. Dans la première, on entre l’URL cible. Et on appuie sur le second pour lancer l’attaque », résume Sylvain Gil, le directeur d’Imperva, une entreprise qui développe des dispositifs de sécurité.
Le déni de service 2.0 attaque la couche applicative
L’URL ciblée n’est pas n’importe laquelle : il s’agit du lien qui génèrera le plus de trafic. « Sur un site culinaire, par exemple, on recherchera toutes les recettes à base d’un ingrédient très commun, comme « œuf » ou « sel ». Cette recherche va engendrer une URL spéciale – comprenant une adresse, suivie de « php? », puis d’arguments – qui va activer le moteur applicatif du site pour créer dynamiquement la page des résultats. Ce que font les logiciels d’attaque, c’est répéter sans cesse cette URL afin de faire tourner à plein régime le moteur applicatif. Jusqu’à ce qu’il ne réponde plus », explique Sylvain Gil.
Selon lui, cette technique est une variante récente de l’attaque par déni de service. Auparavant, les pirates inondaient la cible avec des requêtes erronées pour faire tomber sa connexion réseau. Mais les appareils de routage qui orientent le trafic des internautes vers les serveurs web ont appris à rejeter ce type de messages.
Problème pour le pirate, de tels outils laisseront la trace de son adresse IP, ce qui permettra aux autorités de remonter jusqu’à lui. Mais il existe une parade : l’outil de déni de service… en Saas ! Des services (dont l’adresse sur le web change régulièrement) proposent de déclencher une attaque de ce type à partir de centaines de PC zombies infectés par un virus. C’est-à-dire sans même que les utilisateurs de ces machines ne le sachent.
Il y a même des tarifs : selon la taille de la cible, il faut compter de 5 à 100 dollars par heure d’attaque.
A défaut de trouver le service Saas adéquat, des groupes de cybermalfaiteurs vendent sur leurs forums de discussion un outil à télécharger, qui commande des attaques aux PC zombies sans laisser traîner l’adresse IP du pirate sur la cible. Il s’agit du logiciel Dirt Jumper, alias Pandora DDos, commercialisé entre 200 et 800 dollars.
Le racket, réel objectif
Pourquoi mettre un site web hors service ? Le gang des hackers Anonymous revendique en user à des fins de contre-pouvoir, en ce moment contre Israël en conflit avec la bande de Gaza, hier contre le licenciement de 4 000 travailleurs chez ArcelorMittal.
Mais pour Sylvain Gil, le déni de service est surtout employé contre les sites d’e-commerce à des fins de racket. « Les pirates font chanter les entreprises. Si elles ne leur versent pas une certaine somme, ils font tomber leur site. Dans la plupart des cas, payer coûte moins cher à une boutique en ligne que perdre son activité commerciale », explique-t-il.
D’autant qu’on a dû mal à attraper ce type de malfaiteurs. Les rançons seraient versées de deux manières. « Il s’agit soit de mandats Western Union ou Liberty Reserve vers des pays africains, où des mules viennent prélever l’argent dans des bureaux de poste sans qu’on contrôle trop leur identité. Soit de virements sur des comptes Paypal éphémères, qui retransfèrent l’argent vers d’autres comptes et disparaissent avant que les autorités n’aient eu le temps de regarder qui les avait créés », raconte Sylvain Gil.
Une menace sous-estimée
Pourtant, les entreprises ne consacrent que 5 % de leur budget sécurité à la protection de leur site web, alors qu’il sera la cible des hackers dans 83 % des cas. « On constate que les dépenses vont en grande majorité dans l’achat d’antivirus et de pare-feu. Or, les hackers vont plutôt chercher à corrompre les sites applicatifs, car c’est bien plus facile et plus rentable que d’aller voler des données sur les PC des salariés », affirme Sylvain Gil.
Imperva dénonce d’autant plus ce phénomène que cette société vend des dispositifs, matériels ou logiciels, pour protéger les sites web.