“Quelqu’un s’est offert un nouveau gros canon et ça risque de devenir moche”. C’est le commentaire, sur Twitter, du PDG de la société américaine de sécurité informatique Cloudflare, Matthew Prince, après la découverte d’une attaque informatique d’une extrême violence contre l’un de ses clients, lundi 10 février.

En guise de canon, c’est plus une “Grosse Bertha” numérique, qui est entrée en action ce jour-là. Cloudflare a, en effet, constaté que les serveurs de l’un de ses clients, dont le nom a été gardé secret, avaient été bombardés par 400 gbits de données par seconde. Du jamais vu pour une attaque Ddos (Denial of service, un type d’attaque qui vise à saturer les serveurs d’un site en le submergeant de requêtes informatiques).

C’est sensiblement plus que le précédent record de 300 Gbits/sec établi lors de l’opération Spamhaus, qui avait attiré l’attention des médias du monde entier en mars 2013. Certains avaient même affirmé - à tort - que l’attaque avait fait trembler l’Internet mondial.

Un jeu de questions/réponses

Cette nouvelle force de frappe a largement de quoi “surcharger et rendre inaccessible n’importe quel serveur connu”, reconnaît à FRANCE 24 Laurent Petroque, responsable avant-vente en France de la société américaine de gestion de trafic internet F5 Network. Pour y parvenir, les assaillants n’ont pas mis au point une opération d’une grande complexité technique. Ils ont simplement utilisé une faille dans l’un des protocoles informatiques les plus utilisés : le NTP (Network Time Protocol). Comme son nom l’indique, il permet, notamment, aux ordinateurs connectés de rester à l’heure. C’est grâce au NTP que les équipements informatiques savent, par exemple, à quel fuseau horaire ils appartiennent.

Les pirates informatiques se sont fait passer pour leur victime et ont envoyé une simple requête à des milliers de serveurs NTP, essentiellement en Europe et aux États-Unis. Ils leur ont demandé de renvoyer la liste des 600 derniers ordinateurs ayant requis des informations horaires. Si la question était courte, la réponse était donc bien plus longue : c’est ce qu’on appelle l’effet d’amplification. “Les attaquants ont utilisé plusieurs centaines d’ordinateurs sous leur contrôle pour faire parvenir en même temps cette requête à des milliers de serveurs, qui ont tous renvoyé à la victime de l’opération une longue liste de données”, résume Laurent Pétroque. Et le tour était joué.

Le bon vieux Ddos a encore de l’avenir

Mais pourquoi mobiliser une telle puissance de feu ? L’expert de F5 Networks reconnaît qu’une attaque moins violente aurait probablement suffi. “Mais ainsi ils assuraient le coup, c’est comme si au lieu de bloquer la principale autoroute pour arriver à Paris, ils avaient bouché tous les chemins menant à la capitale”, explique-t-il. C’était aussi une démonstration de force.

Une manière, en somme de rappeler, que les attaques Ddos ont un potentiel néfaste important. À l’heure où les menaces comme Stuxnet (le virus ayant ralenti le programme nucléaire iranien) ou les réseaux de cyberespionnage accaparent l’attention des experts en sécurité informatique et des médias, ces attaques plus basiques pourraient sembler dépassées. Mais un canon de ce calibre a de quoi changer la donne.

Le scénario est simple : “les organisations criminelles peuvent s’en servir pour faire un chantage du type ‘soit vous nous payez, soit nous rendons votre site inaccessible’”, explique Laurent Pétroque. Avec la possibilité d’envoyer 400 Gbits/sec, peu de sites - même du calibre d’Amazon, eBay ou autres - seraient en mesure de tenir le choc. Et pour des mastodontes du commerce en ligne, être indisponible pour les internautes même une seule journée peut avoir un coût conséquent.