Comme tous ceux qui jouent régulièrement en ligne peuvent en témoigner, les attaques DDoS (déni de service dédié) sont un phénomène courant et irritant sur Internet. S’appuyant sur la puissance numérique combinée d’une légion géographiquement diffuse de PC zombifiés, les pirates sont capables d’inonder les serveurs de jeux et d’empêcher les joueurs de se connecter pendant des heures ou des jours à la fois. Le problème s’est métastasé ces dernières années alors que des pirates entreprenants ont commencé à regrouper leurs botnets et leurs outils de spam dans des offres commerciales, permettant à tout Tom, Dick et Script-kiddie d’accéder au même pouvoir.
C’est un grand Internet là-bas, et les mauvais acteurs sont nombreux. Il y a pire que les spammeurs et les escrocs nageant dans les profondeurs du Dark Web. Dans son nouveau livre, Fancy Bear Goes Phishing: La sombre histoire de l’ère de l’information, en cinq hacks extraordinaires, Le Dr Scott J Shapiro, professeur de droit et de philosophie à la faculté de droit de Yale, retrace l’histoire illicite d’Internet à travers cinq des plus grandes attaques contre l’infrastructure numérique jamais enregistrées.
Farrar Straus Giraux
FANCY BEAR GOES PHISHING: The Dark History of the Information Age, in Five Extraordinary Hacks par Scott J. Shapiro. Publié par Farrar, Straus et Giroux. Copyright © 2023 par Scott J. Shapiro. Tous les droits sont réservés.
Crime en tant que service
Toutes les attaques par déni de service n’utilisent pas des botnets. En 2013, l’Armée électronique syrienne (SEA), la branche de propagande en ligne du régime brutal de Bachar al-Assad, a piraté Melbourne IT, le bureau d’enregistrement qui a vendu le nom de domaine nytimes.com à Le New York Times. La SEA a modifié les enregistrements DNS afin que nytimes.com pointe vers le site Web de SEA à la place. Étant donné que Melbourne IT contenait les enregistrements faisant autorité pour le site Web du Times, les modifications non autorisées se sont rapidement propagées dans le monde entier. Lorsque les utilisateurs ont saisi la normale New York Times nom de domaine, ils se sont retrouvés sur le site Web d’une organisation meurtrière.
Inversement, tous les botnets ne lancent pas d’attaques par déni de service. Les botnets sont, après tout, une collection de nombreux appareils piratés gérés à distance par l’attaquant, et ces bots peuvent être utilisés à de nombreuses fins. À l’origine, les botnets étaient utilisés pour le spam. Les e-mails Viagra et Nigerian Prince qui encombraient les boîtes de réception étaient envoyés depuis des milliers d’ordinateurs zombies répartis géographiquement. Dans ces cas, l’attaquant contacte son armée de bots, leur ordonnant d’envoyer des dizaines de milliers d’e-mails par jour. En 2012, par exemple, le botnet russe Grum a envoyé plus de 18 milliards de spams par jour à partir de 120 000 ordinateurs infectés, rapportant à son botmaster 2,7 millions de dollars sur trois ans. Les botnets sont une excellente infrastructure anti-spam car il est difficile de se défendre contre eux. Les réseaux utilisent généralement des « listes de blocage » : des listes d’adresses qu’ils ne laisseront pas entrer. Cependant, pour bloquer un botnet, il faudrait ajouter à la liste les adresses de milliers de serveurs répartis géographiquement. Cela prend du temps et de l’argent.
Étant donné que les logiciels malveillants que nous avons vus jusqu’à présent (vers, virus, vorms et wirus) ne pouvaient pas fonctionner ensemble, ils n’étaient pas utiles pour les crimes à motivation financière. Les logiciels malveillants de botnet, en revanche, sont dus au fait que les botnets qu’ils créent sont contrôlables. Les botmasters sont capables de donner des ordres à chaque bot, leur permettant de collaborer. En effet, les logiciels malveillants de botnet sont le couteau suisse de la cybercriminalité, car les botmasters peuvent dire aux bots sous leur emprise d’implanter des logiciels malveillants sur des machines vulnérables, d’envoyer des e-mails de phishing ou de se livrer à une fraude au clic permettant aux botnets de tirer profit de diriger les bots vers des publicités au paiement par clic. . La fraude au clic est particulièrement lucrative, comme Paras Jha le découvrira plus tard. En 2018, le botnet ZeroAccess pourrait gagner 100 000 $ par jour en fraude au clic. Il commandait un million de PC infectés dans 198 pays, dont la nation insulaire de Kiribati et le royaume himalayen du Bhoutan.
Les botnets sont d’excellentes armes DDoS car ils peuvent être entraînés sur une cible. Un jour de février 2000, le hacker MafiaBoy a assommé Fifa.com, Amazon.com, Dell, E*TRADE, eBay, CNN, ainsi que Yahoo!, alors le plus grand moteur de recherche sur Internet. Il a maîtrisé ces serveurs Web en réquisitionnant des ordinateurs dans quarante-huit universités différentes et en les regroupant dans un botnet primitif. Lorsque chacun envoyait des requêtes à la même adresse IP en même temps, le poids collectif des requêtes faisait planter le site Web.
Après avoir mis hors ligne tant de sites Web majeurs, MafiaBoy a été considéré comme une menace pour la sécurité nationale. Le président Clinton a ordonné une chasse à l’homme dans tout le pays pour le retrouver. En avril 2000, MafiaBoy a été arrêté et inculpé, et en janvier 2001, il a plaidé coupable à cinquante-huit chefs d’accusation d’attaques par déni de service. Les forces de l’ordre n’ont pas révélé le vrai nom de MafiaBoy, car cette menace à la sécurité nationale n’avait que quinze ans. MafiaBoy s’est révélé plus tard être Michael Calce. « Vous savez que je suis une personne plutôt calme, posée et cool », a rapporté Calce. «Mais quand vous avez le président des États-Unis et le procureur général qui vous appellent et vous disent:« Nous allons vous trouver ». . . à ce moment-là, j’étais un peu inquiet. Calce travaille maintenant dans l’industrie de la cybersécurité en tant que chapeau blanc – un bon hacker, par opposition à un chapeau noir, après avoir purgé cinq mois de détention pour mineurs.
MafiaBoy et l’équipe VDoS étaient tous deux des adolescents qui ont planté des serveurs. Mais alors que MafiaBoy l’a fait pour le lulz, VDoS l’a fait pour l’argent. En effet, ces adolescents israéliens étaient des entrepreneurs technologiques pionniers. Ils ont contribué au lancement d’une nouvelle forme de cybercriminalité : le DDoS en tant que service. Le DDoS en tant que service est un modèle basé sur un abonnement qui donne aux abonnés l’accès à un botnet pour lancer soit un quota quotidien, soit des attaques illimitées, selon le prix. Les fournisseurs DDoS sont appelés services de démarrage ou services de stress. Ils sont livrés avec des sites Web conviviaux qui permettent aux clients de choisir le type de compte, de payer les abonnements, de vérifier l’état du service, de lancer des attaques et de recevoir une assistance technique.
VDoS a annoncé son service de démarrage sur Hack Forums, le même site sur lequel, selon Coelho, Paras Jha a passé des heures. Sur son site Web, www.vdos-s.com, VDoS proposait les services d’abonnement suivants : comptes Bronze (19,99 $/mois), Argent (29,99 $/mois), Or (39,99 $/mois) et VIP (199,99 $/mois). Plus le prix est élevé, plus le temps et le volume d’attaque sont importants. À son apogée en 2015, VDoS comptait 1 781 abonnés. Le gang avait un service client et, pendant un certain temps, a accepté PayPal. De 2014 à 2016, VDoS a gagné 597 862 $ et a lancé 915 287 attaques DDoS en un an.
Le VDoS a démocratisé le DDoS. Même l’utilisateur le plus inexpérimenté pourrait s’abonner à l’un de ces comptes, saisir un nom de domaine et attaquer son site Web. « Le problème est que ce type de puissance de feu est accessible à quiconque est prêt à payer trente dollars par mois », a expliqué Allison Nixon, directrice de la recherche sur la sécurité à la société de renseignement sur les risques commerciaux Flashpoint. « Fondamentalement, cela signifie que vous devez disposer d’une protection DDoS pour participer sur Internet. Sinon, n’importe quel jeune adolescent en colère pourra vous mettre hors ligne en un clin d’œil. Même les services de démarrage ont besoin d’une protection DDoS. VDoS a embauché Cloudflare, l’une des plus grandes sociétés d’atténuation DDoS au monde.
DDoS en tant que service suivait une tendance de la cybercriminalité connue sous le nom de « malware en tant que service ». Là où les utilisateurs avaient autrefois acheté des informations sur les vulnérabilités logicielles et essayé de comprendre comment exploiter ces vulnérabilités eux-mêmes, ou avaient acheté des logiciels malveillants et essayé de comprendre comment les installer et les exécuter, ils pouvaient désormais simplement payer pour l’utilisation de logiciels malveillants et de piratage. en un clic, aucune connaissance technique n’est requise.
Étant donné que les clients qui utilisent DDoS en tant que service sont inexpérimentés, ils sont particulièrement vulnérables aux escroqueries. Les fraudeurs annoncent souvent des services de démarrage sur des forums de discussion publics et acceptent des commandes et des paiements, mais ne lancent pas les attaques promises. Même VDoS, qui fournissait un service DDoS, l’a fait de manière moins agressive qu’annoncé. Lorsqu’il a été testé par Flashpoint, le botnet VDoS n’a jamais atteint le maximum promis de cinquante gigabits/seconde, allant plutôt de six à quatorze gigabits/seconde.
Les forums qui annoncent les services de démarrage, comme le faisaient autrefois les forums de piratage, sont accessibles à toute personne disposant d’un navigateur standard et d’une connexion Internet. Ils existent sur le Clear Web, pas sur le soi-disant Dark Web. Pour accéder aux sites du Dark Web, vous devez utiliser un réseau spécial, connu sous le nom de Tor, en utilisant généralement un navigateur spécial appelé le navigateur Tor. Lorsqu’un utilisateur tente d’accéder à un site Web sur le Dark Web, le navigateur Tor ne demande pas directement les pages Web. Il choisit trois sites aléatoires, appelés nœuds, par lesquels acheminer la requête. Le premier nœud connaît l’expéditeur d’origine, mais pas la destination finale. Le deuxième nœud ne connaît ni la source d’origine ni la destination ultime – il ne reconnaît que le premier nœud et le troisième nœud. Le troisième nœud connaît la destination finale, mais pas l’expéditeur d’origine. De cette manière, l’expéditeur et le destinataire peuvent communiquer entre eux sans connaître l’identité de l’autre.
Le Dark Web est doublement anonyme. Personne d’autre que le propriétaire du site Web ne connaît son adresse IP. Personne d’autre que le visiteur ne sait qu’il accède au site Web. Le Dark Web a donc tendance à être utilisé par les dissidents politiques et les cybercriminels, c’est-à-dire tous ceux qui ont besoin d’un anonymat total. La navigation sur le Dark Web est légale, mais bon nombre de ses sites Web offrent des services dont l’utilisation est illégale. (Fait amusant : la marine américaine a créé le Dark Web au milieu des années 1990 pour permettre à ses agents de renseignement de communiquer en toute confidentialité.)
Il pourrait être surprenant que les fournisseurs DDoS puissent faire de la publicité sur le Clear Web. Après tout, DDoS-ing un autre site Web est illégal partout. Aux États-Unis, on enfreint le Computer Fraud and Abuse Act si l’on « cause sciemment la transmission d’un programme, d’une information, d’un code ou d’une commande, et à la suite d’une telle conduite, cause intentionnellement des dommages sans autorisation », où les dommages incluent » toute atteinte au . . . disponibilité des données, d’un programme, d’un système ou d’informations. Pour contourner ce problème, les services de booter ont longtemps soutenu qu’ils remplissaient une fonction légitime de « stresseur », fournissant à ceux qui configurent des pages Web un moyen de tester les sites Web. En effet, les services de démarrage incluent régulièrement des conditions de service qui interdisent les attaques sur des sites non autorisés et déclinent toute responsabilité pour de telles attaques.
En théorie, les sites de stress jouent un rôle important. Mais seulement en théorie. Les discussions privées entre VDoS et ses clients ont indiqué qu’ils ne mettaient pas l’accent sur leurs propres sites Web. En tant que fournisseur de services d’amorçage admis aux chercheurs de l’Université de Cambridge, « Nous essayons de commercialiser ces services auprès d’une base d’utilisateurs plus légitimes, mais nous savons d’où vient l’argent. »
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation. Tous les prix sont corrects au moment de la publication.