Attaques en DDoS : De l'Estonie à la Géorgie

Cela est passé un peu inaperçu, du moins dans les médias français : Le conflit entre la Russie et la Géorgie se serait aussi étendu sur le périmètre des infrastructures informatiques sous la forme d'attaques en déni de service (DDoS).

Le rapprochement avec les attaques envers l'Estonie en Avril/Mai 2007 (cf un autre bulletin) est quelque peu troublant car les avis de nombreux experts dans le domaine se recoupent.

Je vous propose quelques pistes de réflexion sur le sujet.

Cela a commencé par des attaques ciblant le site Internet du président de la Géorgie (cf bulletin du 24 Juillet) pour ensuite déboucher le 8 Aout sur des attaques de plus grande ampleur comme cela est détaillé dans le post de "ShadowServer.org, Georgian Websites Under Attack - DDoS and Defacement, August 11, 2008".
Pour plus de détails sur ces événements, je vous invite à prendre connaissance des articles suivants :

Quelle analyse faire de ces événements ? Quelles similitudes avec les attaques dont l'Estonie a fait les frais ?

Je ressortirai 4 grands points :

  1. Les deux pays sont des anciens "satellites" de l'URSS
  2. A chaque fois, la Russie fait partie des protagonistes.
  3. Les botnets font partie intégrante des armes offensives utilisées
  4. Il est impossible de prouver/démontrer le commanditaire des attaques

Pour les points 1 et 2, on pourrait vraisemblablement émettre l'hypothèse d'un mouvement pro-russe, à minima d'hacktivistes ou de groupes de personnes ayant un intérêt commun. Est-il possible de dire qu'il s'agit d'une attaque de type "état contre état" : Potentiellement oui, mais les chars et les bombardements sont plus efficaces, donc Pourquoi la Russie aurait-elle été utiliser ce type d'armes logiques alors que l'artillerie conventionnelle a parlé ?

Le point 3 est désormais un grand classique faisant partie du paysage qui est malheureusement appelé à aller crescendo : Les botnets, c'est pas cher à construire et à entretenir et en plus ça rapporte.

Le point 4 est une grande caractéristique des attaques cybernétiques : Très difficile voir impossible de remonter jusqu'au(x) commanditaire(s) des attaques. Les techniques de "Fast-Flux" sont un très bon exemple de techniques simples et diablement efficaces.

Que conclure demanderez-vous : Pourquoi ne pas parier sur le fait que les attaques de DDoS font désormais partie des moyens de lutte classiques des hacktivistes ou contestataires de culture "Pro-Russe" ? Une spéculation en vaut bien une autre non ?

Sur ce, bonne rentrée à tous nos lecteurs/lectrices.

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens