Attaques ciblées contre Twitter et Facebook: «elles peuvent être le fait d'un seul individu»

INTERNET François Paget est chercheur en menaces chez McAfee. Il explique comment les cyberattaques ont évolué ces dernières années...

Propos recueillis par Sandrine Cochard

— 

La fail whale de Twitter, qui apparait quand le site est HS
La fail whale de Twitter, qui apparait quand le site est HS — Twitter

Depuis le sérieux coup porté à Twitter, jeudi dernier, l’expression «attaque par déni de service», ou DDoS, a émergé du monde fermé d’Internet. 20minutes.fr vous propose d’y voir plus clair avec l’interview de François Paget, chercheur en menaces pour la firme américaine de protection informatique McAfee. Mardi, cinq jours après l'attaque, Twitter a annoncé avoir été à nouveau perturbé, avec une courte interruption de service. Dans la soirée, Facebook semblait également ralenti.

 
Concrètement, qu’est-ce qu’une attaque par déni de service?
Il s’agit d’une attaque qui permet de rendre une machine ou un service indisponible, soit en les ralentissant fortement, soit en les «plantant». Il existe deux façons de procéder. La première consiste à s’attaquer à la bande passante en bombardant le service de requêtes afin qu’il ne parvienne pas à y répondre correctement. La seconde consiste à repérer une faille logicielle et d’y introduire ce qu’on appelle un «paquet mal formé» qui va dérouter le serveur.
 
Ces attaques sont-elles fréquentes?
Oui et elles ne sont pas nouvelles. Notre époque est celle des attaques ciblées. Nous avons d’ailleurs constaté une évolution des motivations des personnes qui les lancent. Avant 2000, ces attaques avaient pour but de se faire valoir. Trouver la faille d’un site était un challenge pour démontrer ses capacités. Entre 2000 et 2006, les attaques étaient motivées par l’appât du gain. Il était fréquent qu’un hacker s’attaque à un site pour lui soutirer de l’argent en échange. Depuis 2007, ces attaques sont davantage utilisées à des fins politiques. C’est ce qu’on appelle le «hacktivisme».
 
Les cibles ont-elles changé?
Non, je dirai qu’elles se sont diversifiées. Aux sites de paris en ligne, d’actualité ou de société, qui constituent les «vieilles cibles» des attaques, s’ajoutent des sites gouvernementaux ou d’opposants. Quant aux réseaux sociaux, ils ne sont pas une cible en tant que telle mais subissent les conséquences d’une attaque portée contre une personne ou un groupe de personnes. Des attaques par déni de service sont également possibles sur téléphones mobiles. On peut bloquer un téléphone par l’envoi de milliers de sms en rafales par exemple.
 
Ces attaques sont-elles faciles à mettre en place?
Oui, elles peuvent être le fait d’un seul individu. Il est aujourd’hui possible de louer, pour quelques centaines d’euros, un botnet (ensemble de machines connectées en réseau et exploitées de manière malveillante, appelées également machines zombies, qui permet d’augmenter leur capacité, ndlr) pour quelques heures ou quelques jours. Or, il n’est pas nécessaire de s’y connaître en botnet pour nuire: il existe sur le Net des entités qui proposent ce service. La durée de nuisance d’une attaque dépend de qui est derrière et des moyens qu’on y met. Elle peut durer plusieurs semaines.
 
Que sait-on de ces entités?

Elles sont souvent situées en Europe de l’est. Les chercheurs en menaces connaissent leur url et tiennent à jour une liste. Il est difficile de les coincer car ces entités font en sorte de ne pas se mettre hors-la-loi dans leur pays.
 
Une attaque par DDoS peut-elle signer l’arrêt de mort d’un site?
Oui. Il existe des exemples de sociétés, de paris en ligne notamment, contraintes à la fermeture car elles avaient perdu trop de données après une attaque. Je ne crois pas que Twitter en fera partie car il apporte actuellement les corrections nécessaires à ses failles.
 
Comment se protéger contre de telles attaques?
Si vous êtes un particulier, vous devez vous en remettre à votre fournisseur d’accès à Internet. C’est à lui d’avoir les équipements nécessaires. Si vous êtes une entreprise, il existe un tas de logiciels et de firewall pour se protéger. D’une manière générale, dès que l’on a compris comment l’attaque fonctionnait, il est très facile et rapide de la contrer.