Anonymous : vous avez peut-être participé aux attaques DDoS sans le savoir
Les sites, rendus inaccessibles des heures durant, ont été victime d'attaques par déni de service qui consiste à noyer un serveur dans un torrent de requêtes.
Après la fermeture de MegaUpload par la justice fédérale américaine le 19 janvier et les aléas juridiques du projet de loi SOPA, le collectif d’hacktivistes a engagé des représailles retentissantes contre le Département de la justice américaine, de nombreux ayant droits et défenseurs des intérêts de l’industrie cinématographique et de la musique.
Une fois le réseau inondé, le serveur ne parvient plus à répondre au trafic web habituel, finit par être mis hors ligne et les visiteurs se voient empêchés d’accéder au site.
La force des Anonymous consiste à faire de leur nombre, une puissance de frappe. Si une attaque provient d’une même adresse IP ou d’une même plage, elle pourra aisément être repoussée par la victime de l’assaut en les bloquant. Or le collectif, lorsqu’il souhaite nuire efficacement à l’une des ses victimes a souvent recours à des Dénis de Service Distribué (DDoS) qui visent à submerger une machine de trafic inutile en provenance de plusieurs sources. L’union fait la force par distribution.
Encore faut-il que les attaques soient coordonnées. Une technique répandue consiste alors à utiliser un botnet, réseau d’agents automatiques ou semi-automatiques reliés entre eux qui interagissent avec les serveurs. Ce type de réseau est apparu à l’origine sur les réseaux IRC mais a progressivement dérivé vers un usage malveillant en tant que réseau de “machines zombies” (non pas qu’elles mangent des cerveaux mais plutôt qu’elles sont contrôlées à l’insu de son utilisateur). Elles sont particulièrement efficaces pour masquer la véritable identité de l’assaillant qui coordonne l’attaque au travers d’un réseau mettant en relation plusieurs machines zombies. Chacune d’entre elles contribuent au DDoS en envoyant des requêtes sur un serveur cible jusqu’à le faire cesser de fonctionner. La figure ci-dessous illustre un exemple de botnet utilisé à l’initiative d’une personne malveillante qui soudoie un hacker ayant infectés des machines pour flooder comme un taureau.
Or selon Graham Cluley, consultant expert en sécurité chez Sophos, les dernières attaques Anonymous ont employé une armée d’utilisateurs involontaires. Pour ce faire les Anonymous auraient commencé par envoyé un tweet accrocheur du type “Massive Collective Attack Against SOPA!” auquel était joint un lien raccourci. Or selon Cluley, un clic sur cette URL déclenche un JavaScript qui fait de votre machine un soldat zombie regagnant les rangs des hacktivistes (ambiance l’armée des morts).
Il explique : “Si vous visitez le page web, sans avoir désactivé le JavaScript, vous allez instantanément sans aucune interaction, commencer à flooder un site ciblé par les Anonymous, contribuant ainsi à perpétuer une attaque DDoS“.
Dès lors un problème juridique corsé pointe le bout de sa robe de juge puisque bon nombre de pays prévoient des peines pouvant aller jusqu’à la prison ferme pour les participants à des attaques DDoS. Au Royaume Uni par exemple le Police and Justice Act (PJA) prévoit une peine délictuelle pouvant aller jusqu’à 10 ans de prison. Le simple fait de proposer des outils permettant de lancer ce type d’attaque est passible de 2 ans de mise en sous les verrous. Évidemment votre bonne foi devrait vous permettra d’éviter de subir les mésaventure de Kim Dotcom. Mais si ce type d’attaque était avéré, les Anonymous ne seraient plus désignés comme tels en tant que communauté d’hacktivistes partageant une philosophie commune mais bel et bien comme une armée de machines zombies dont les “petits soldats“ que nous pourrions tous être n’auraient pas conscience de participer à leurs attaques. Moralité : à moins que vous ne vouliez rejoindre la World War Web à leurs côtés, mieux vaut désactiver votre JavaScript lorsque vous cliquez sur des liens de sources inconnues 😉