4 attaques de déni de service toutes les 10 minutes

Depuis leur vulgarisation auprès du grand public en février 2000, suite à une vague d'assauts essuyée par plusieurs grands sites (Yahoo, Ebay, eTrade, etc.), les attaques par déni de service (ou Denial of Service) n'ont cessé de faire parler d'elles. Dans ce contexte, l'Université de Californie, San Diego publie une étude, présentée comme la première du genre, qui tente de faire le point sur le sujet...

Les chiffres publiés sont éloquents. Sur trois semaines d'investigations, les analystes américains observent près de 13 000 attaques sur environ 5 000 serveurs cible de toute taille. En une semaine, ils relèvent plus de 150 adresses IP victimes de telles tentatives... chaque heure. Et personne n'échappe à la vague. Parmi les 2 000 organisations touchées, figurent à la fois de grands acteurs du e-commerce comme Amazon ou Hotmail, des fournisseurs de services en ligne, ou encore de simples utilisateurs du réseau… "La plupart des attaques n'ont pas été relayées par les médias", ajoutent en cœur David Moore, Geoffrey Voelker et Stefan Savage, responsables de cette étude de l'université de San Diego.

Une technique qui a fait ses preuves
En s'appuyant sur un dossier publié récemment par le FBI, le document de l'Université de Californie, titré Inferring Internet Denial-of-Service Activity, distingue deux grandes catégories d'attaques par déni de service. Qualifiée de "logic", la première exploite les failles existantes dans certains logiciels pour dégrader les performances des systèmes cibles. D'après les analystes de l'université, "la plupart d'entre elles pourraient être évitées simplement par une mise à jour des applications serveur, ou encore par un filtrage de certaines séquences de paquets de données".

Plus connue, la seconde (qualifiée de flooding - ou inondation), sature la mémoire vive ou les ressources réseau de la victime en lui envoyant un très grand nombre de requêtes simultanées. Objectif : générer une montée en charge ingérable par l'architecture pour la rendre finalement inutilisable.

Parallèlement, deux techniques sont utilisées pour renforcer la force des assauts, expliquent les analystes. D'une part, l'utilisation d'ordinateurs distants afin de multiplier les points d'attaques. Pour ce faire, les pirates commencent par y implanter de petits programmes à la barbe de leurs utilisateurs. Ces applications leur permettant ensuite d'utiliser les ressources mémoire de ces victimes pour coordonner une ou plusieurs actions précises - de telles opérations impliquent parfois des centaines, voire des milliers de machines. Et d'autre part, le "spoof" d'adresse IP : un procédé utilisé pour tromper la cible en lui faisant croire que les paquets de données transférés depuis une machine particulière proviennent en fait de plusieurs terminaux. Une technique aussi utilisée pour masquer une adresse IP.

2 % des attaques durent plus de 5 heures
"La durée de la plupart des attaques reste relativement courte", notent les analystes. Selon eux, 50 % ne dépassent pas plus de 10 minutes, 80 % 30 minutes et 90 % 1 heure. Une tendance qui n'empêche pas certaines tentatives de s'étendre sur plusieurs heures, 2 % dépassant les 5 heures.

Côté victimes, les connexions privées figureraient parmi les plus prisées des pirates. Celles-ci représenteraient entre 7 et 9 % des attaques en ce qui concerne les accès par modem et entre 4 et 5 % pour le haut débit. Quant aux serveurs Web et aux infrastructures réseau, ils arriveraient loin derrière avec respectivement 1 à 3 % côté routeurs et 2 à 3 % côté serveurs de domaine.

Parmi les 10 domaines les plus visés par le déni de service, .com et .net occupent la tête de la liste publiée par l'université (avec 15 % des attaques relevées). Ils sont suivis juste derrière par .ro (Roumanie) et .br (Brésil), avec respectivement 13 % et 6 % des tentatives. "Ce qui est une surprise au regard de la relative pauvreté de l'infrastructure informatique de ces pays", commentent les responsables de l'étude. Enfin, viendraient .org (organismes non-gouvernementaux), .edu (universités), .ca (Canada), .de (Allemagne) et .uk (Grande-Bretagne), chacun ne dépassant pas 5 % des attaques. Seule consolation : la France ne figure pas dans ce drôle de Top 10.