Après l'interruption forcée du service SecureCode de Mastercard, c'est au tour de Paypal de subir les foudres de zombies lâchés par des hacktivistes pro WikiLeaks. Bien évidemment, il ne s'agit pas de ces zombies au teint désastreux et à la démarche hésitante, mais bel et bien d'ordinateurs infectés, qui se "dirigent" en nombre vers un même site Internet dans le but de le court-circuiter momentanément.
Suite aux fracassantes révélations du désormais célèbre WikiLeaks, site Internet dédié à la publication de documents politiques confidentiels, une partie du monde est entrée en guerre contre Julian Assange, son fondateur. Ainsi, certaines sociétés financières ont rompu la relation qu'elles entretenaient avec WikiLeaks. Par solidarité avec ce dernier, le groupe d'hacktivistes Anonymous a décidé de relancer l'Opération Payback, qui avait quelques mois auparavant parasité certaines organisations de lutte contre les échanges illégaux d'œuvres musicales ou cinématographiques (MPAA, RIAA). Ils se sont cette fois attaqués à Mastercard, Paypal, et quelques personnalités politiques américaines farouchement opposées à WikiLeaks (comme Joseph Lieberman et Sarah Palin). S'il n'y a pas mort d'homme, ce genre d'opération spectaculaire peut nuire à l'image et au message de la victime, mais aussi causer des dommages économiques importants, notamment lorsque l'activité de la cible repose entièrement sur des échanges financiers en ligne…
Concrètement, ce collectif a levé une armée de PC zombies (aussi appelés botnets), qui s'est connectée en même temps ou presque à une même adresse, en l'occurrence celle de Paypal, causant ainsi une saturation ou un déni de service (DDoS) du site concerné.
La réplique n'a pas tardé puisque les sites web du groupuscule ont eux aussi été perturbés, et leurs comptes Facebook et Twitter fermés. Ce n'est pas de savoir qui aura le dernier mot qui est le plus important, mais de savoir si votre ordinateur est suffisamment protégé, et si vous savez éviter les conduites à risques face aux tentatives régulières d'invasion des botnets.
Source : Le Monde Informatique
L'analyse de Panoptinet |
Ce qui s'est passé Les hackers ont à leur disposition toute une batterie de techniques dans l'attaque des serveurs. Celles-ci servent parfois à s'immiscer entre deux interlocuteurs pour écouter leur conversation et voler des données (« man-in-the-middle »), et dans d'autres cas le but est plutôt de mettre sa victime à terre. Les attaques par déni de service de type DDoS (Distributed Denial of Service) mettent en jeu un très grand nombre d'ordinateurs (jusqu'à plusieurs centaines de milliers) constituant une armée et répondant aux ordres d'un commandant. Ces « zombies » sont tous infectés par le même virus ou ver qui est prévu pour répondre aux ordres du commandant caché quelque part sur internet. A un instant précis, l'ordre est envoyé à tous les zombies de se connecter sur un serveur, à une adresse IP précise et sur une multitude de ports. Cette opération peut durer quelques minutes ou quelques heures si elle est très violente. Dans le cadre de l'actualité ci-dessus, on dénombrerait environ 3 000 PC volontaires (militants, sympathisants, etc.) et 30 000 PC zombies involontaires, c'est à dire des ordinateurs infectés appartenant à des particuliers, des entreprises ou des associations, sans que ces derniers ne le sachent. |
Dans le détail Concrètement cette attaque exploite les caractéristiques du protocole TCP (niveaux 4 et 5) qui fonctionne en mode connecté. Cela signifie qu'il y a une négociation entre le client et le serveur sur l'utilisation des ressources du serveur. Dans un premier temps, le client envoie une demande au serveur sur son port x et le serveur répond soit qu'il est disponible, soit qu'il ne l'est pas. Ensuite le client répond à son tour qu'il a bien reçu le message et qu'il va commencer à parler. Si le serveur répond qu'il est disponible il ouvre alors un canal de communication spécifique pour sa communication avec le client et réserver ainsi dans sa mémoire un espace dédié à cette communication. Cette fraction de mémoire dédiée est soustraite à la mémoire libre du serveur. |
Que faire ? Il est pratiquement impossible de contrer ces attaques car elles n'exploitent pas une faille qui peut être comblée mais un mécanisme intrinsèque à un protocole de communication indispensable et de niveau assez bas. Pour éviter ceci, la seule chose à faire est d'inciter tous les utilisateurs à « nettoyer » leur ordinateur et le débarrasser des virus et autres vers qui polluent le trafic mondial d'internet et rend le service globalement moins fiable (anti-spywares, cf. notre rubrique Outils conseillés) ou d'utiliser des solutions de surveillance du réseau. En amont, ces mêmes utilisateurs doivent être plus vigilants lors de leurs pratiques internet, et lorsqu'ils échangent des fichiers (peer-to-peer, clés USB, mail, etc.). |