Retour

Retour
Retour
au sommaire

Les autres
articles :

Vivendi et les boîtiers de vote

Canal+ vs. NDS

Tati vs. Kitetoa

kimble

L'affaire PMU

Hackerz Voice

Zataz.com

Microsoft et la sécu

NASA

doubleclick

antisecurity

levillage.org a quelques problèmes de sécurité avec son serveur

Integra offre son mot de passe administrateur à tous les Internautes

Hotline
Hotline

Envoyé Spécial
"Les Pirates du Net"

Le film Hackers
Le Film

e.creditlyonnais.fr tout nu sur le net
tout nu sur le net ...

I Love You
Le fameux Virus

Détails sémantiques
Quelques précisions sémantiques
sur les pirates

Pages piratées
Quelques
pages piratées

undersites
Les undersites

Anonymat sur Internet
Anonymat sur le net

Ordinateur espion ?
Votre ordinateur
est-il un espion ?

Kevin Mitnick
Kevin Mitnick

La plus grande attaque du siècle

La semaine terrible où le Net a tremblé pour la première fois ...

Par Capitaine KIDD



Durant le mois de février 2000 de nombreux sites ont été la cible d'attaques de pirates. Ces attaques ont démontré la faiblesse de la sécurité d'Internet (NDRC : y avait-il encore besoin de la démontrer ?). Le FBI (officiellement), la NSA (officieusement) ont été chargés de retrouver les auteurs de ces délits.

Afin que vous puissiez mieux comprendre les enjeux d'une telle affaire nous avons décidé de nous pencher sur le sujet et de mener notre propre enquête.

Après avoir consulté quelques livres d'Agatha Christie, nous nous sommes apperçus que dans toute affaire policière il fallait :

- un mobile
- une arme
- un suspect

Columbo n'étant pas disponible au moment des faits, nous avons décidé de mener l'enquête seuls ...

Première partie : Le mobile du crime

Afin de déterminer le mobile du crime, examinons de plus près les victimes afin d'y trouver d'éventuels points communs ...

  • Yahoo, le premier annuaire de recherche au monde, a été le premier à être attaqué, lundi. Le site a été "noyé" (flood) sous un gigabyte de données en quelques secondes. Le serveur a été hors service pendant 3 heures. L'attaque provenait d'au moins 50 points différents. Le site avait déjà l'objet d'attaques par le passé, mais c'était la première fois que le réseau entier était mis hors service.

  • Le site d'informations a été indisponible pendant près de 2 heures. L'attaque a continué bien après mais les administrateurs du réseau ont réussi à bloquer les attaques.

  • Le leader mondial de la vente de livres en ligne (On Line) a vu son accès bloqué durant une heure entière le 8 février au soir.

  • Le site de commerce a été attaqué le 8 février, jour de son introduction en bourse. Plus de 800 megabytes de données par seconde ont été envoyées, soit 24 fois plus que le flux "normal".

  • Le leader mondial des ventes aux enchères a été attaqué le 8 février. Il avait déjà connu des problème d'accès par le passé, le serveur ayant même connu une panne de 22 heures en juin 1999. L'action eBay a perdu 26% en 5 jours.

  • Le site d'informations sur les nouvelles technologies a été attaqué le 9 février au matin.

  • Broker online.

  • Le broker online a été attaqué le 9 février au matin. Il a du "fermer" sa page durant 3 heures.

  • La filiale Internet de Microsoft a été affectée indirectement, par la mise hors service de plusieurs providers qui géraient son traffic. Certains utilisateurs n'ont pas pu se connecter.

    Damned ! Toutes ces entreprises "piratées" en quelques jours ... Nous avons donc affaire à un serial killer !

    Je ne vous ferai pas l'offense de vous expliquer quel est le point commun à tous ces sites ... mais on peut se demander pourquoi vouloir à tout prix s'attaquer à ces "monstres" de l'Internet.

    Plusieurs hypothèses ont été avancées :

  • Les pirates voulaient montrer qu'Internet n'était pas fiable en termes de sécurité,
  • Les pirates étaient à la solde d'une puissance étrangère qui voulait déstabiliser les Etats Unis, au travers des fleurons de son économie (l'action eBay a perdu 26% en 5 jours !),
  • Les pirates travaillaient pour les organisations gouvernementales américaines, et auraient servis de pretexte pour "fliquer" tout ce qui se passe sur le Net.

    L'explication la plus vraisemblable de ces actes est pourtant plus simple : les pirates sont des personnes qui passent les 3/4 de leurs journées sur Internet. Il y a de cela 5 ans, ils pouvaient se parler en toute impunité, faire des pages Web sur lesquelles ils mettaient ce qu'ils voulaient.

    Avec la démocratisation d'Internet sont arrivées les multinationales qui ont flairé là un bon moyen de se faire de l'argent. Depuis l'Internet est rempli de panneaux publicitaires, de bandeaux de pubs, de sites payants, ... c'est l'esprit même d'Internet qui est mis en danger.

    Ces attaques n'étaient donc qu'un geste pour dire "Laissez notre terrain de jeu tranquille". Tout comme le Jam Echelon Day contre la NSA ou les multiples journées de Boycott contre France Télécom.

    Seconde partie : L'arme du crime

    L'arme du crime est un outil très simple : il s'agit du désormais célèbre DoS - Denial of Service. L'objectif d'un DoS est de faire "planter" la machine distante en la submergeant de requêtes. Les sites dont il est question plus tôt n'ont donc pas été "réellement" piratés puisqu'il n'y a pas eu intrusion dans les machines (pour ce qu'on en sait ...).

    Le DoS le plus simple peut être réalisé à l'aide d'un outil tout bête : le Ping. Il s'agit de l'envoi d'un petit paquet de données qui permet de voir si l'ordinateur distant est accessible. A l'envoi d'un ping, l'ordinateur distant répond ... mais si le pirate met une fausse adresse, l'ordinateur ne sait pas où envoyer sa réponse, et il attend ! Cette opération répétée plusieurs fois peut ainsi faire "planter" la machine distante.

    Nous avons trouvé sur Internet un site pirate qui répertorie et propose le téléchargement d'une centaine de programmes destinés à ce type d'attaques. Tous ces "outils" sont classés selon la cible (navigateur, système d'exploitation, firewall, etc). Nous avons volontairement enlevé les liens de cette page ... notre but étant d'éduquer et non de pousser les gens au crime !

    Un de ces programmes appelé Tribe Flood Network (TFN) permet une attaque simultanée à partir de plusieurs postes. C'est vraisemblablement un programme de ce genre qui a été utilisé lors de ces attaques.

    En cas d'attaque DoS, les administrateurs réseaux n'ont pas 36 solutions, ils doivent impérativement :

  • 1) identifier l'adresse IP de l'agresseur,
  • 2) filtrer les paquets envoyés et interdire les requêtes envoyées par le pirate. Cette opération s'effectue à l'aide de routeurs ou de firewalls.

    Cependant, dans notre cas, les pirates ont agit en grand nombre et de façon très rapide. Les attaques provenaient donc de plusieurs adresses différentes, ce qui a prolongé fortement l'étape d'identification.

    Les responsables de CNN.com ont connu un autre problème : ils possédaient déjà des routeurs afin de filtrer les informations, mais lors de l'attaque, la quantité d'informations fut telle que les routeurs ne purent pas gérer autant de données ! Il a alors fallut installer des routeurs plus importants ...

    Lors des attaques, les pirates ont utilisé des Zombies : ils ont piraté de nombreux ordinateurs faiblement sécurisés afin de pouvoir lancer des attaques en grand nombre le Jour "J".

    Ainsi, les attaques ont été lancées de 50 ou même 100 adresses différentes, parmi lesquelles on retrouvait :

  • UC Santa Barbara : au moins un ordinateur de l'université a servi à l'attaque de CNN.com
  • UCLA : l'université a aussi servi de plate-forme d'attaque
  • Standford University : un des routeurs de l'université a été utilisé pour attaquer eBay. Les ingénieurs de l'université ont bloqué ce routeur, 30 mn après le début de l'attaque.
  • Icon Group : ce fournisseur d'accès (Internet Service Provider) de l'Indiana a annoncé que 40% de son traffic avait été dirigé vers eBay !
  • Envisioneering : cette SSII a servi de plate-forme d'attaque durant 6 heures, avant que les ingénieurs arrêtent les programmes d'attaque.
  • De nombreux autres ordinateurs auraient été utilisés. Tous les ordinateurs gouvernementaux sont actuellement vérifiés afin de trouver une éventuelle trace d'attaque.

    Troisième partie : Les suspects

    La liste des suspects est à la fois énorme et très maigre. Enorme, parce que n'importe quelle personne aurait pu télécharger ces programmes et avoir lancé l'attaque ... Maigre, parce que le FBI enquête toujours, même s'ils semblent avoir trouvé deux suspects.

    Coolio est connu des autorités : il fait parti de Global Hell, un groupe de hackers qui a déjà pénétré le système de la Maison Blanche et du Department of Defense (DoD). Interrogé par le FBI, il a nié toute implication dans ces attaques.

    Mafiaboy est le deuxième suspect. Des logs (enregistrements) de discussions en forums (chat room) montreraient Mafiaboy demandant quels sites il devait attaquer ("What should I hit next? What should I hit next?").

    Bien entendu, nous vous tiendrons au courant des évolutions de l'enquête. Ces attaques de pirates ne sont pas les premières, mais elles ont connu un retentissement inégalé à l'heure où toutes les grandes entreprises se ruent vers le nouvel Eldorado que représente l'Internet.

    www.paranos.com - Tous droits réservés