Le Soir, La Voix du Nord, Paris Match, NRJ, ZATAZ, l’UMP, Marine Le Pen, … attaqués par un DDoS, explication

Attaqués par un DDoS – Vous avez très certainement du entendre parler de l’attaque vécue, dimanche dernier, par les sites Internet du groupe de presse belge Rossel (Le soir, La Voix du Nord, …). Une attaque sans précédent indique l’entreprise qui a déposé plainte. Sans précédent, mais malheureusement aussi simple qu’un clic de souris. Depuis, NRJ, BFM, l’Académie de Grenoble ou encore l’UMP ont été attaqués. ZATAZ va vous expliquer comment cela fonctionne et pourquoi derrière ces dangereux terroristes (joke, ndr), se cache surtout un commerce dédié au blocage de sites Internet.

Cela n’a bizarrement étonné personne, mais depuis quelques jours de nombreuses attaques DDoS [Dénis Distribués de Service] sont apparues comme par enchantement ! Il aura fallu une attaque contre un important groupe de presse belge pour commencer à entendre parler de ces « piratages ». Un DDoS n’a rien d’exceptionnel. Derrière ces attaques, des internautes profitant de serveurs et de machines piratées par d’autres, de services commercialisés par certains. L’idée, utiliser ces machines pour envoyer de nombreuses, très nombreuses, très très nombreuses connexions. Finalité, engorgement de la cible, et c’est la panne, le « Error establishing a database connection » que vous avez pu apprécier ce mardi soir sur zataz, c’était une attaque DDoS.

Vous êtes attaqués par un DDoS ? Rien d’exceptionnel donc, il suffit de pousser un bouton. Et c’est exactement ce qu’ont fait des  internautes, ces derniers jours. Pour le groupe Rossel par exemple, on retrouve deux internautes (DZ Crystal et DZ Falko) qui ont laissé beaucoup de traces et un site Internet qui permet… d’acheter des attaques DDoS.

@thomdelooz @lesoir @lalibrebe @ladh La personne qui a attaquer Lesoir est @DzFalcko Moi j'est selement attaquer lalibrebe cordialement

— Kdz One Sécurity (@kdz_officiel) April 13, 2015

Attaqués par un DDoS – Le groupe de presse a déposé plainte auprès de la FCCU, la cyber police belge (qui va très certainement faire appel à la police française, NDR). Il y a de forte chance que nous entendions reparler de ces deux adolescents (entre 15 et 21 ans) dans les jours à venir.

Lancer un blocage DDoS ? Facile, vous payez, vous appuyez !

Qui achète ?

Les DDoSseurs passent par des sites Internet comme Maxi down [75 membres, 297 attaques], BSA, DDoS C. [481 membres, 218 attaques] ou encore l’un des espaces des gars « stressés » [2906 utilisateurs ou 43653 attaques]. A noter que les noms ont été modifiés afin d’éviter que cette petite famille s’agrandisse. « La totalité de l’argent récolté avec XXX servira à financer uniquement l’achat des serveurs (DDoS) et l’entretien de notre nom de domaine, en aucun cas à des fins personnelles » explique un de ces commerçants. Bien évidemment, ceci n’est fait que pour l’amour de la communauté. Emmerder le monde, gratuitement… mais oui, bien sûr ! Les acheteurs ? Ils veulent interagir sur la toile, même en bloquant des sites Internet. Cela leur donne l’impression d’exister. C’est facile, cela ne réclame aucune connaissance technique.

Attaques par un DDoS ? Il suffit de rentrer sa cible, et cliquer !

D’autres espèrent, et je pense qu’ils sont honnêtes dans cette motivation, démontrer le manque de sécurité des serveurs. Sauf qu’une attaque asymétrique, c’est juste profiter d’un tuyau pas suffisamment gros pour accueillir tout ce petit monde virtuel. C’est un peu comme si vous reprochiez à votre téléphone d’être vulnérable aux appels de vos ami(e)s, le 1er janvier à Minuit, quand toute la planète se téléphone aux 12 coups de la nouvelle année. Parmi les autres motivations des utilisateurs de DDoS, certains veulent manifester, comme le cas du blocage du site de Marine Le Pen, la présidente du groupe politique d’extrême droite français. Enfin, des attaques peuvent être orchestrées à des fins économiques. Bloquer un concurrent par exemple. Mais ces acheteurs/utilisateurs remplissent le porte-monnaie de « p’tits filous » qui se marrent en récoltant les euros.

NRJ, un essai pour annoncer la commercialisation de possibilités DDoS plus importantes à venir !

Combien pour être attaqués par un DDoS ?

Ces sites proposent de lancer des attaques de Dénis Distribués de Service. Bien entendu, pour lancer les attaques, il faut payer. Par exemple, l’un des espaces rencontré propose pour 1,50€ de bloquer durant 80 secondes n’importe qui. Une attaque à hauteur de 35 Gbps. Si vous payez plus, cela pourra atteindre plusieurs heures de blocage pour 999€. Dans un autre espace, cela coûte un peu plus cher, imaginez, 2 euros pour 80 secondes. 20 euros pour 3 heures. Sur une autre de ces cybers boutiques, pour 20 codes AlloPass ( 1,35 € TTC par appel + 0,34 € la minute x 20), vous pouvez acheter 15,000 secondes de haine 2.0.

Pour quelques euros, une attaque peut-être lancée quelques secondes à plusieurs heures !

Le coût, pour les cibles ? En février 2000, Michael C., alias Mafia Boy, s’était attaqué à Yahoo! en bloquant le portail durant trois heures. Amazon.com, Buy.com, CNN et eBay tomberont, ensuite. Coût, rien que pour Yahoo!, 500.000$. Imaginez le montant pour des structures beaucoup plus petites !

Pourquoi de telles attaques ?

Vous allez demander, pourquoi font-ils ça ? ? Pourquoi attaquer Le Soir, La Chaine Météo, NRJ, ZATAZ, Paris Match, l’Académie de Grenoble, des écoles, RFM, l’UMP … ? Ils prennent le web pour  une cours de récréation, mais c’est aussi et surtout un moyen de gagner de l’argent. L’attaque des sites du groupe Rossel ne serait rien d’autre que la promotion d’un « service » de vente de DDoS ! Vous êtes attaqués par un DDoS ? Ils gagnent certainement de l’argent avec ça.

Les achats se vont via différentes possibilités : téléphones, cartes prépayées, …

Qui aura le plus gros tuyau ?

Face à un DDoS, à part payer de plus gros tuyaux, difficile de résister à autant d’amour. Il existe des solutions (Cloudflare, Syn Cookies, serveur tampon, repartir les serveurs,…) mais faut-il encore avoir les moyens. Derrière les attaques des sites Le Soir, La Voix du Nord, Sud Presse, mais aussi d’IPM (La libre, La DH), des internautes qui ont compris qu’il y avait de l’argent à se faire en vendant du DDoS. Vendre du temps d’attaque semble attirer les acheteurs, pourquoi s’en priver. Les packs  fleurissent avec des noms tels que Color Pack, Sony Pack, Silver, Prestige, Spectre … Et malheureusement, ce genre de commerce entre « potes » ne fait que débuter ! Il suffit de lire, sans rire, certaines conditions générales proposées par ces sites. De quoi rester béa d’admiration « Il est interdit de proposer ou offrir des « services DDoS » ou utiliser nos produits pour créer votre propre service. » annonce un portail. Faut-il rappeler qu’en France, comme en Belgique, les attaques DDoS sont punies par la loi. Prison et grosse amende pour quelques euros ? Ça n’en vaut, pourtant, vraiment pas la peine !

Les acheteurs doivent appeler, plusieurs fois, des systèmes de télépaiement !

Ils sont aussi terroristes que vous et moi, mais l’image qu’il laisse risque d’être cuisante dans les mains des autorités. Ils ont eu beau expliquer qu’ils n’avaient rien à voir avec le piratage de TV5 Monde, les raccourcis et la proximité des deux attaques les ont mis dans le même panier de crabes !

Certaines boutiques ont une administration simple : bouton attaquer, bouton payer, bouton tchater !

D’autres, via Skype, laissent apparaitre une schizophrénie étonnante en ce qui concerne leurs pseudonymes (anthony.de***, bloodsh***, bmbooters***, fole***7, forever_***, JamesBond20***, …) Besoin de se cacher ? C’est raté ! Merci Skype !

Pour finir avec notre petite enquête sur l’attaque ayant visé le groupe Rossel, IPM, NRJ, BFM … l’un des administrateurs de boutiques malveillantes offre la possibilité de lancer des DDoS en passant par une société qui… commercialise des solutions pour contrer les DDoS. L’une des IP utilisée par cet « admin » se retrouve fixée à une société qui propose du « DDOS Protected cloud server« , le tout caché par Cloudflare, mais hébergé à Roubaix, chez OVH.

Une société de vente de protection contre les DDoS apparait dans cette histoire !

Bref, je ne sais pas pour vous, mais ces DDoS m’ont donné d’avantage mal à la tête qu’au serveur ! Une ambiance qui me faire dire que ces jeunes gens deviennent des « terroristes » à deux balles en quelques clics de souris. Et c’est bien dommage pour eux.