Le schéma présente une structure d'attaque classique. Elle se déroule en plusieurs étapes :

• plusieurs jours, voire plusieurs semaines à l'avance, recherche sur le Web d'un maximum de machines vulnérables qui deviendront des complices involontaires,
• installation sur ces machines de programmes dormants. Généralement, on structure le parc en maîtres qui relaieront la commande et en esclaves ou zombies, qui seront chargés de bombarder la cible,
• suppression des traces éventuelles (logs),
• à l'heure et au jour choisit, activation du dispositif.

Nous pouvons considérer qu'il existe deux types de dénis de services

• l'un s'attaquant aux couches réseau (ping of the death, syn flood),
• l'autre, plus récent, s'attaquant aux couches applicatives (saturation d'une page d'accueil).

Contre-mesures

La difficulté pour traiter un déni de service et de pouvoir distinguer un comportement normal licite d'un comportement anormal et illicite. Par exemple, quant il y a eu une attaque sur les serveurs roots, en charge de la gestion des noms de domaines, ces derniers ont reçu 150 000 paquets par seconde pendant une heure, quant la moyenne est de 5 000 par seconde ! L'attaque, déclenchée vers 23h a provoqué la chute de 7 des serveurs, deux autres ayant fonctionné par intermittence.
A première vue, la contre mesure la plus adaptée serait d'arrêter proprement le service avant que ce dernier ne se "plante de façon erratique". Malheureusement dans ce cas le but recherché par le DDoS serait atteint.
La solution consiste donc généralement à rendre la cible indisponible pour l'attaquant (modification des entrées DNS, arrêt temporaire du routage vers le réseau ou la machine cible). Cette technique est souvent utilisée pour les attaques de deni de service réseau.
Dans le cas d'attaque sur les serveurs web, on peut faire appel à un CDN (Content Delivery Network). Par exemple, en août dernier, Microsoft a fait appel au CDN d'Akamai, pour garder son site web en ligne pendant la propagation du ver baster; ce dernier était programmé pour lancer une attaque DDoS sur le site de Windows Update.
La stratégie de Microsoft à retenu l'attention car sa page d'accueil était alors fournie par les serveurs sous Linux du réseau d'Akamai. Microsoft avait par ailleurs désactivé l'entrée DNS sur www.windowsupdate.com le temps de l'attaque, ce qui a considérablement atténué les effets.
Il faut voir le CDN comme une assurance par rapport à un risque qui se développe.

Retrouver les assaillants

Dans ce genre d'attaque, il est impossible de cibler exactement l'attaquant. Nous savons cependant que l'attaque provenait essentiellement de réseaux français.
Dans la mesure où l'attaque provient d'un nombre important de machines, il est très difficile pour les autorités compétentes de retrouver le point de départ de l'attaque. Les adresses IP sources sont généralement spoofées (falsifiées).
L'espoir est notamment dans la mise en service sur les routeurs de procédures de veille (recherche des trafics anormaux ou répétitifs) et la transmission des alertes de routeur en routeur de l'aval vers l'amont jusqu'au domaine supposé infecté (pushback).
D'autre moyen pour retrouver les assaillants peuvent aussi être proposés. En effet, rien ne vaut une récompense pour motiver l'investigation; par exemple, suite à l'attaque du site de Microsoft par le virus Mydoom et ses déclinaisons, Microsoft offre à chacun $250 000 pour des informations sur l'auteur du virus.

Ampleur du phénomène

Des cas semblables se produisent à plus ou moins grande échelle, mais c'est la première fois qu'Amen subit une attaque de cette ampleur.
Malheureusement ce phénomène a tendance à s'amplifier. C'est notamment un moyen simple et facile de nuire à l'image d'une société. Nombreuses sont les sociétés qui font face à des mouvements contestataires, suite à la mauvaise gestion d'une crise (affaire Erika pour Total) ou au statut hégémonique qu'on leur attribue (Cisco, Microsoft).
Tout porte à croire, compte tenu de la relative simplicité des outils de dénis de service que ce phénomène va continuer à s'amplifier et toucher potentiellement tout le monde. D'autant que désormais, il existe une abondante littérature sur les procédures à employer et même des programmes tout fait !

e-esclavage et e-croyances

C'est probablement plusieurs millions de PC, connectés à l'ADSL ou au câble, et mal protégés, qui sont désormais contaminés et dotés de backdoors et de chevaux de Troie.
Nouveau gadget médiatique, toute la presse s'est fait écho d'une affirmation de Scotland Yard indiquant sans trop de précisions que des hackers pouvaient désormais louer leur parc de dizaines de milliers de zombies à des spammeurs professionnels ou à des escrocs pratiquant le phishing.
De la nuisance à grande échelle au business organisé, il y a probablement toutefois un fossé, de l'ordre de celui qui a alimenté nos grandes peurs modernes, comme les armes ou les sosies de Saddam Hussein. Difficile en effet d'imaginer un hacker passant une petite annonce pour proposer ses zombies comme une vulgaire agence de location de voitures (est-ce qu'il récupère la TVA ?).
La menace d'attaques de plus en plus nombreuses et de plus en plus violentes reste, elle, suffisamment crédible pour faire peur. D'autant que rien de sérieux n'a encore été mis en place au niveau international pour faire la police sur le Web.

Merci pour leur contribution à cet article à