Lundi 7 février 2000, le web est en émoi. Les plus importants sites de la planété ne répondent plus. Le web connaissait les hackers, les virus. Les internautes découvrent le cyber attentat.

Récapitulation des faits

Lundi, de 10 heures 30 à 13 heures heure de Californie, Yahoo! essuie une attaque du type "dénial off service" qui paralyse à 95 % son fonctionnement. Mardi, c'est au tour du cyberlibraire Amazon.Com, des cyberenchères eBay, du détaillant Buy.Com, et de la chaîne CNN et du site MSN de faire l'objet d'attaques semblables. Puis, mercredi matin, ce sont les services de courtage en ligne E*Trade et Datek et les sites de l'éditeur des publications ZDN (Ziff-Davis). Dans le cas de Ziff-Davis, c'est 70 % de ses publications électroniques qui sont mises hors service pour une durée de deux heures. D'après l AFP : " Cet arrêt de service serait dû à une augmentation brutale du trafic dans un centre de données. La cause de cette congestion " artificielle " n'est pas encore connue. En tout cas, il n'y a pas eu de problème de sécurité, le " pirate " C'est la première fois que Yahoo! est confronté à un tel problème, les " petites " attaques étant courantes sur tous les gros sites. " Pour corriger l'AFP, c'est la seconde fois que Yahoo est piraté. La première attaque fut beaucoup plus visuelle. Début décembre 1997, Yahoo avait été modifié par le groupe Hagis. Un hack qui avait pour but de demander la libération de Kévin Mitnick.

Les cibles (Connues)

Yahoo, Amazon, E-Bay, Buy.com, CNN, UUNet, Sprint, Verio, E-trade, ZDNN (la maison mere de ZDNET.fr) ou encore Datek Online, ont été touchés. Plusieurs entreprises au Danemark et en France. Nous avons recensé deux serveurs dans l'hexagone : security- irc.net avec 13.88 ko/s pendent 6 heures et le site de vente en ligne Mediacash.com. D'après la direction de Mediacash : " Comme toujours dans ce genre d'attaque, il est très difficile d'identifier la source, nous savons cependant qu'elle est d'origine française (...) nous pensons avoir perdu 80KF de ventes en ligne le 9/2/2000 sans compter nos nouveaux clients qui se sont vu refuser l'accès à notre site pour motif "adresse inexistante" et qui ont pensé que nous n'existions pas, ou que nous faisions de la pub mensongère sur un site inexistant... ". D'après des sources de BALHA magazine, que nous considérons comme sures, une dizaine de serveurs français auraient servi à ce grand chambardement, sans qu'ils s'en rendent compte.

Mercredi après-midi, l'Attorney General des États-Unis, Janet Reno, intervient et convoque une conférence de presse. Elle déclare que le gouvernement américain s'engage à prendre toutes les mesures visant à assurer la sécurité de l'espace du commerce électronique : "Nous savons très bien que non seulement la technologie a transformé la manière de faire des affaires, mais aussi la manière d'agir des criminels." Madame Reno annonce que le National Infrastructure Protection Center (centre national de protection de l'infrastructure de l'information - NIPC) prend la direction de l'enquête, et travaille de concert avec les bureaux régionaux de la police fédérale américaine, le FBI, les services techniques des entreprises victimes d'attaques, et les services de renseignement américains. Fait très intéressant à noter dans le cas des publications ZDNet, les responsables de la compagnie ont confirmé à CNN avoir été informés qu'ils faisaient l'objet d'une attaque, et ce avant même que leurs services techniques ne l'aient constaté. CNN parle d'une "approche proactive" du FBI... Quoiqu'il en soit, toutes les attaques ont des traits communs. D'abord, les cibles sont de grandes sociétés, toutes américaines, qui illustrent la commercialisation de l'Internet (au moment d'écrire ces lignes, aucun organisme gouvernemental ou public n'a été touché). Puis, dans chacun des cas, la technique est la même, soit le "dénial off service". Enfin, mis à part la perturbation du service, aucun dommage (remplacement de page d'accueil, effacement de fichiers, etc.) n'est causé aux installations. La communauté Internet se perd en conjonctures.

Comment ?

Cette attaque a consisté à saturer la bande passante d'accès en lançant des loggin-bomb, des rafales de requêtes d'accès au site, qui ont la conséquence de rendre aléatoire, voire impossible l'accès aux différents serveurs attaqués. Ce n'est pas une première, des sites français ont déjà subit ce genre d'attaque d'ennemis plus proche de la concurrence que de hacker anti Net-économie. Pendant la guerre en Yougoslavie c'est la même méthode qui avait mis en carafe les sites de la Maison Blanche, de l'Onu ou encore de l'Otan. Cette attaque, pour la simplifier, peut être comparer en gros à une saturation de votre ligne téléphonique, comme si toute la France vous appeliez au même moment. Il faut savoir que pour Yahoo ou encore CNN, c'est plus d'un milliard de bits qui ont été envoyées d'un coup, de quoi calmer n'importe quel serveur. Cette méthode est aussi appelée mail bombing, envoie en masse de courrier mail pour saturer le serveur. Et pour saturer ça a du saturer, d'après CNN, c'est un peu plus de 10 000 serveurs qui auraient été utilisées.

Une seule question : qui ?

Le terme de pirates informatique, de hackers, a été beaucoup utilisé. Nous préférons définir le ou les auteurs de Trasher, car ici, le ou les coupables, n'ont eu qu'un seul but, détruire ou réduire au silence un certain temps leurs cibles. Nous avons reçu pas mal de courrier au sujet de ce mega. Hacker ? Bug ? Complot ?

Voici n courrier qui nous a interpellé. Après tout pourquoi pas :

The CIA just want the Congress to give up a vast amount of money for Internet police. - It seems that NSA and CIA have 800 mbit/s backbones - 800 mb/s sustained during several hours ... pretty good power ... do you really think some students may do that from libraries' PC's ? Really ?

En gros, la CIA et le NSA font la tête. Le congrès US va redistribuer 2 milliards de dollars pour lancer la police informatique, de l'argent qui ne sera pas dans l'enveloppe des deux agences. Le mega spoof : Un moyen de faire rajouter une louche dans l'enveloppe ? Il est vrai que 800 mb/s balancé pendant plusieurs minutes, il n'y a pas beaucoup d'internautes qui puissent le faire.

Prévisible ?

Il semble bien que oui, le FBI en 1998 avait déjà tiré la sonnette d'alarme avec des attaques sur divers serveurs gouvernementaux. Les trashers avaient été retrouvés et arrêtés. Plus récemment, le Centre de Recherche de la sécurité de la défense américaine, avait mis en ligne une série de rapport sur les dangers du Ping off death et du denial service. On vous propose ici les 3 rapports émis par le CERT. dsit_workshop.pdf - Denial off service - Janvier 2000.