Celui qui a trop parlé sur IRC (1/3)

En février 2000, l'internet marchand est paralysé par une attaque en déni de service d'une ampleur inédite.

Bonsoir !

Bienvenue dans ce nouvel épisode de Pwned. Une nouvelle fois, comme je suis un peu trop bavard, cette histoire va être découpée en trois volets que vous pourrez lire au fil du week-end.

Mais tout d’abord, pour ceux qui lisent le post sur le site ou qui ont reçu ce mail par transfert, voici le lien pour vous inscrire:

Alors ce week-end, on va faire un grand bond en arrière d’une vingtaine d’années. Un Moyen-âge numérique effrayant pour les lecteurs les plus jeunes, mais nos années épiques pour nous, les millennials.

Souvenez-vous: nous sommes en février 2000, en France Jacques Chirac est président, il mange des pommes, mais pas avec Lionel Jospin (c’est vite résumé, mais c’est à peu près ça).

Pour moi, en vrai millénial, c’est l’année de mon bac. Et la découverte, sur l’ordinateur du CDI, d’un moteur de recherche au nom rigolo, sans imaginer bien sûr à quel point ce dernier allait changer nos vies. Enfin, cette année-là, Bill Gates célèbre la sortie de son système d’exploitation Windows 2000, censé empêcher les apparitions de l’écran bleu de la mort. 

Mais il y a un événement bien plus important qui s’est déroulé en février 2000 et qui va nous occuper tout le week-end. Je veux bien sûr parler de la grande vague d’attaques en déni de service… Oh wait! Vous aviez oublié?

Bon, un petit effort quand même, parce qu’à l’époque cela avait sacrément marqué les esprits. Ces attaques en déni de service vont faire planter, du 7 au 14 février 2000, les premiers fleurons de l’internet marchand.

En quelques jours, les sites Yahoo.com - à l’époque la firme web la plus en vue -, Ebay, Amazon, Buy, Etrade ou encore Zdnet sont paralysés. La cata est telle que Bill Clinton, à qui il reste quelques mois à la Maison blanche, doit réagir. “C’est une alerte, pas un Pearl Habor”, nous dit le président américain dans une déclaration censée nous rassurer. Tandis que la procureure générale Janet Reno annonce l’ouverture d’une enquête confiée au FBI.

Au fait, le déni de service distribué (DDoS en anglais), c’est quoi? Pour faire simple, cela consiste à saturer un serveur de requêtes pour en empêcher l’accès aux autres. Pour résumer à très grands traits, imaginons que votre site internet reçoit habituellement 35 visites par seconde, avec des pics à 70. Vous allez alors dimensionner votre serveur pour qu’il puisse traiter jusqu’à 200 visites par seconde. Histoire d’être large et pour ne pas payer trop cher de bande passante, c’est-à-dire le trafic que vous pouvez supporter.

Mais si d’un coup un petit malin vous envoie 400 sollicitations par seconde, vos 35 visiteurs habituels vont être bloqués dans la file d’attente. Votre site peut même devenir inaccessible s’il plante sous l’afflux de demandes.

Pour réussir son raid, l’attaquant va utiliser un réseau de machines zombies compromises, les fameux botnets. Il existe plein de techniques détaillées ici dans ce document de l’Anssi. Ce doc présente également les nombreuses contre-mesures, des techniques dont certaines administrations pourraient s’inspirer (suivez mon regard). 

C’est en voulant mieux se protéger contre ce type d’attaque qu’OVH s’est retrouvé dans la panade, la semaine dernière. Ce type d’attaque est également une arme de choix dans les guerres picrocholines dans certains recoins du net.

Plus commentées, les attaques DDoS massives ont une force impressionnante. Microsoft vient ainsi d’indiquer avoir détecté une attaque DDoS d’un débit de 2,4 térabit par seconde visant un de ses clients européens. Cela ne vous parle pas? Essayons avec cet autre exemple: une cible Google cloud a essuyé récemment une vague de 6 millions de requêtes par seconde.

Maintenant tout cela est assez bien connu, mais en février 2000, ces attaques surprennent par leur caractère novateur. On estime alors qu’il s’agit de la première vague d’attaque en déni de service de grand ampleur.

Le procédé technique est en fait déjà défloré depuis quelque temps, selon ce chercheur en sécurité informatique. On en retrouve en effet la trace dans cette note de 1999 du Cert américain, l’organisme d’alerte informatique.

S’il y a eu déjà quelques attaques par-ci par-là, la vague de février 2000 est emblématique, parce qu’elle montre les faiblesses techniques des géants de l’Internet, en pleine euphorie boursière. Ils n’avaient visiblement pas prévu de parade. L’évaluation des dommages donne le tournis: 1,7 milliard de dollars de dégâts!

Deux mois plus tard, le 15 avril, il est environ 3h du matin. Ce canadien de 15 ans de l’Île Bizard, au nord-ouest de Montréal, est chez un pote en train de regarder l’un des épisodes du Parrain. Son téléphone sonne. C’est son père. Ils sont là, lui dit-il, en parlant du FBI et de la Gendarmerie royale canadienne, sur sa piste dans cette affaire.

Vous y croyez vraiment? Sérieusement, un ado de 15 ans serait à l’origine d’une crise qui a poussé le président des Etats-Unis à réagir?

On se retrouve demain pour la suite?

Bonne soirée,

Gabriel

PS: Pour me payer une bière - la DDOS de Brouwerij Kwartje, justement, une oatmeal stout ? - c'est ici.