Le plantage de Yahoo! et e-Bay, ou comment affoler le journaliste avec un programme à deux francs...
Voici que l'on retrouve ce genre d'hystérie collective, propre aux journalistes qui ne savent pas de quoi ils parlent, avec le flood de Yahoo! et d'e-Bay hier et de Amazon ce matin.
Prenez France Info ce matin... Le plantage de ces deux serveurs emblématiques est en titre dans le journal qui passe en boucle. Tous les cadres de l'hexagone ont donc entendu cette histoire et vont en parler dans la journée. Chaud, chaud, l'info... Et les pirates, et les hackers, et patati et patata... Passons. Ce qui est étrange c'est qu'à aucun moment, les journalistes ne prennent la peine d'expliquer ce qui s'est passé. C'est normal, ils n'en savent rien et sont, à de rares exéptions près, incapables de comprendre, même si on leur explique. Ce qui est encore plus étrange c'est qu'ils ne se soient pas réveillés avant. Les techniques de flood (saturation en français dans le texte pour ceux qui ne connaissent pas) sont très anciennes. Celle qui a sans doute eu raison de ces deux serveur est connue depuis au moins six mois et même les CERT en avaient parlé en novembre dernier, c'est dire...
Remontons le temps... Il y a eu l'écran bleu de la mort (les nuke et autres muerte), puis la technique dite Smurf qui sont, disons les ancêtres du flood de la mort... Et puis, récemment, le flood au travers de gros serveurs dont la sécurité est proche de zéro et qui travaillent pour vous. Trin00 et TFN rulez!
Faisons bref, mais expliquons un peu pour ceux qui ne connaissent pas trop: vous disposez d'une liste de serveurs importants sous Unix avec de grosses liaisons spécialisées qui sont piratés et sur lesquels sont installés tous les outils qui vont vous servir pour crasher Yahoo! et e-Bay. Cette liste vous permet, avec votre P.C., votre liaison RTC classique (un modem câble c'est pas mal, sinon) et vous êtes Jo le Skript Kiddie de la mort qui va se venger de Yahoo! et de e-Bay, symboles de la perversion du réseau d'intellectuels (comme vous) qu'était Internet au début du début... Vous vous connectez à ces serveurs (viva Telnet, ça c'est un vrai protocole de pur et dur) et vous lancez ces 50 gros serveurs à l'assaut de Yahoo! et d'e-Bay. Ils vont envoyer des paquets IP trafiqués aux serveurs cible (en utilisant des protocoles de super pur et dur comme l'ICMP l'UDP et tout et tout) et au bout d'un moment, le serveur va dire, au secours, je comprends plus rien, je n'ai plus de mémoire pour répondre aux demandes normales et je tire ma révérence. Quant à l'admin du réseau, il pleure sa mère...
Résultat, votre action de pur et dur fait la une de toute la presse partout dans le monde. C'est vrai que ce que vous avez fait est très fort (eleet dans le langage des purs et durs). Génial non?
Pas sûr.
Ce que vous avez fait, c'est (de façon un peu réductrice) appuyer sur un bouton. Y0h! Trin00 and TFN rUlez.... Et en plus, vous n'avez rien gagné. Ni gloire ni argent. Yahoo! et e-Bay vont rouvrir leurs portes. Au mieux, vous avez fait comprendre à des directions imbéciles que tout miser sur Internet, ce peut être un rien dangereux, vu que ce réseau n'est pas un réseau sécurisé....
Par ailleurs, les Denial of Service (DoS) et les Buffer Overflows (il y a des deux dans le truc de Yahoo! et de e-Bay) sont des trucs connus depuis des années (oui, oui au moins 5 ans...). Alors, messieurs les journalistes arrêtez de dire que c'est une news. Ne faites pas non plus de raccourcis idiots. A ce propos, je crois que la palme revient ce matin à Christophe Doré en Une du Figaro...
Christophe ne se mouche pas du pied. Il voit dans le plantage des ordinateurs de la NSA une attaque des pirates. Géniaaaaaal. quelle analyse! C'est fort.... Notez le niveau de bêtise crasse: "Quelques jours plus tard, la puissante NSA, agence d'espionnage électronique américaine, annonçait que ses ordinateurs étaient restés en panne durant trois jours. La NSA n'a pas précisé l'origine de l'anomalie. Mais bizarrement, les pirates diffusaient depuis novembre dernier des consignes pour saturer les supercalculateurs de la NSA qui espionnent les communications du monde entier". Notre brillant cyber-reporter vient de tout mélanger et de laisser croire n'importe quoi à son public déjà peu averti. Christophe parle de consigne des pirates pour planter les supercalculateurs de la NSA... On rêve. S'agit-il de méthodes de type flood? Suspense...
Non, non, non... Ca ne pourrait pas marcher puisque les supercalculateurs en question ne sont pas accessibles via Internet. Alors? Mystère? Non, en fait, il s'agit d'un happening (façon situationnistes) organisé par la communauté underground il y a quelques temps qui visait à flooder le réseau Echelon en insérant des mots clef au bas des e-mails. genre: CIA, NSA, terrorisme... etc. Rien qui puisse sérieusement faire planter les supercalculateurs mais bon, c'était amusant. Sauf que Christophe a pris ça au sérieux. Il est sans doute le seul avec quelques script kiddies...
Et puis il voit dans tout ça une "guerre virtuelle que se livrent des combattants invisibles". N'importe quoi... Certes, il sera sans doute impossible de retrouver les auteurs de ce flood. Sauf s'ils sont trop bêtes... Mais de là à parler de guerre virtuelle... Il y a un grand pas... Mais Christophe a de grandes jambes...
Pour le traçage de ce genre d'attaque, je vous propose cette citation d'un texte de rfp et de NightAxis sur ce thème: "The primary challenge we face with (B) is the fact that we often can not tell where certain attacks, especially denial of service attacks, originate on the Internet. Why? Simply because we, as a community, have failed to properly and adequately protect our network against the forging of source addresses. Attackers can generate millions of packets from an endless array of random addresses--all destined towards a defined set of victims. "tfn2k" simply adds an organized interface to lead the onslaught. A disturbing aspect of this scenario is that short of disconnecting yourself from the Internet, if you are on the front end of such an attack there is nothing you can do about it."
Il y a toutefois quelques moyens pour tenter de se protéger contre ce type d'attaques. Alors lisez...
Bref, tout ça pour dire: du calme!
En revanches, messieurs les patrons, réfléchissez à deux fois au montant que vous investissez en matière de sécurité lorsque vous plongez dans le Net. La hausse de votre titre en bourse parce que vous annoncez une "politique Internet" peut se retourner contre vous un jour ou l'autre. Et puis, considérez Internet comme un canal de distribution supplémentaire. Pas comme un canal unique ou plus important que les autres.
Et après, c'est quoi la suite de cette histoire?
P.S.: de très bonnes analyses techniques des programmes évoqués dans ce papier ont été postés dans Bugtraq. nous pouvons les transmettre par mail pour ceux qui veulent en savoir plus.