En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

Les armes des cyberattaques pullulent sur internet

Les outils capables de mettre en panne les sites web évoluent. Ils servent principalement au racket des boutiques en ligne.

laisser un avis
Il n’a jamais été aussi simple d’attaquer des sites web. Low Orbit Ion Cannon (dit Loic), SlowHTTP, RailGun et autres sont tous des outils librement téléchargeables pour – officiellement – tester la robustesse d’un site d’e-commerce face à une attaque de type déni de service. Mais ils servent tous bel et bien à mettre les boutiques en ligne hors service. « Ces logiciels n’ont qu’une cellule et un bouton. Dans la première, on entre l’URL cible. Et on appuie sur le second pour lancer l’attaque », résume Sylvain Gil, le directeur d’Imperva, une entreprise qui développe des dispositifs de sécurité.

Le déni de service 2.0 attaque la couche applicative

L’URL ciblée n’est pas n’importe laquelle : il s’agit du lien qui génèrera le plus de trafic. « Sur un site culinaire, par exemple, on recherchera toutes les recettes à base d’un ingrédient très commun, comme « œuf » ou « sel ». Cette recherche va engendrer une URL spéciale – comprenant une adresse, suivie de « php? », puis d’arguments – qui va activer le moteur applicatif du site pour créer dynamiquement la page des résultats. Ce que font les logiciels d’attaque, c’est répéter sans cesse cette URL afin de faire tourner à plein régime le moteur applicatif. Jusqu’à ce qu’il ne réponde plus », explique Sylvain Gil.
Selon lui, cette technique est une variante récente de l’attaque par déni de service. Auparavant, les pirates inondaient la cible avec des requêtes erronées pour faire tomber sa connexion réseau. Mais les appareils de routage qui orientent le trafic des internautes vers les serveurs web ont appris à rejeter ce type de messages.

Des services en Saas pour une cyberattaque anonyme et massive

Pandora DDos lance des PC Zombies à l'attaque.
agrandir la photo
Problème pour le pirate, de tels outils laisseront la trace de son adresse IP, ce qui permettra aux autorités de remonter jusqu’à lui. Mais il existe une parade : l’outil de déni de service... en Saas ! Des services (dont l’adresse sur le web change régulièrement) proposent de déclencher une attaque de ce type à partir de centaines de PC zombies infectés par un virus. C’est-à-dire sans même que les utilisateurs de ces machines ne le sachent.
Il y a même des tarifs : selon la taille de la cible, il faut compter de 5 à 100 dollars par heure d’attaque.
A défaut de trouver le service Saas adéquat, des groupes de cybermalfaiteurs vendent sur leurs forums de discussion un outil à télécharger, qui commande des attaques aux PC zombies sans laisser traîner l’adresse IP du pirate sur la cible. Il s’agit du logiciel Dirt Jumper, alias Pandora DDos, commercialisé entre 200 et 800 dollars.

Le racket, réel objectif

Pourquoi mettre un site web hors service ? Le gang des hackers Anonymous revendique en user à des fins de contre-pouvoir, en ce moment contre Israël en conflit avec la bande de Gaza, hier contre le licenciement de 4 000 travailleurs chez ArcelorMittal.
Mais pour Sylvain Gil, le déni de service est surtout employé contre les sites d’e-commerce à des fins de racket. « Les pirates font chanter les entreprises. Si elles ne leur versent pas une certaine somme, ils font tomber leur site. Dans la plupart des cas, payer coûte moins cher à une boutique en ligne que perdre son activité commerciale », explique-t-il.
D’autant qu’on a dû mal à attraper ce type de malfaiteurs. Les rançons seraient versées de deux manières. « Il s’agit soit de mandats Western Union ou Liberty Reserve vers des pays africains, où des mules viennent prélever l’argent dans des bureaux de poste sans qu’on contrôle trop leur identité. Soit de virements sur des comptes Paypal éphémères, qui retransfèrent l’argent vers d’autres comptes et disparaissent avant que les autorités n’aient eu le temps de regarder qui les avait créés », raconte Sylvain Gil.

Une menace sous-estimée

Pourtant, les entreprises ne consacrent que 5 % de leur budget sécurité à la protection de leur site web, alors qu’il sera la cible des hackers dans 83 % des cas. « On constate que les dépenses vont en grande majorité dans l’achat d’antivirus et de pare-feu. Or, les hackers vont plutôt chercher à corrompre les sites applicatifs, car c’est bien plus facile et plus rentable que d’aller voler des données sur les PC des salariés », affirme Sylvain Gil.
Imperva dénonce d’autant plus ce phénomène que cette société vend des dispositifs, matériels ou logiciels, pour protéger les sites web.
envoyer
par mail
imprimer
l'article


@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
Cdiscount part à la conquête du marché belge
Watsize trouve des vêtements à votre taille
Orange lance un site d’e-commerce aux Etats-Unis
Ingenico se prépare à racheter GlobalCollect pour 820 millions d'euros
Apprenez à cerner ces cinq profils de cyberconsommateurs
L’e-commerce emploiera près de 100 000 personnes en France d’ici la fin de l’année
E-commerce : les ventes ont progressé de 11% au 1er trimestre
Affaire Leboncoin : de la liberté d’insérer un lien hypertexte
Voyages-SNCF vend un billet de train sur mobile toutes les 3 secondes
Casino veut coter ses activités e-commerce au Nasdaq
Amazon aurait pris une participation de 25 % dans Colis Privé
iBeacon : Attention de ne pas laisser le loup entrer dans la bergerie !
Loi Hamon : dix mesures pour mettre votre site marchand en conformité
Hiroshi Mikitani (Rakuten) : « Viber va devenir une porte d’entrée de l’e-commerce »
Des Anonymous, partis à l’assaut d’une banque, hackent le mauvais site…
Un nouveau fichier informatique pour lutter contre la contrefaçon
Carte bancaire et paiement en ligne : les nouvelles recommandations de la Cnil
Malgré la crise, 72% des e-commerçants se disent optimistes pour 2014
Commerce en ligne : ce que change la loi sur la consommation
Gemmyo.com fait le pari des bijoux pour hommes