Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

WikiLeaks : les attaquants utilisants LOIC pourraient être facilement tracés

Selon une communication faite par des chercheurs en sécurité informatique, les FAI peuvent facilement identifier ceux qui utilisent le logiciel LOIC, car ce dernier ne prend aucune mesure pour protéger l’identité de ses utilisateurs.

Edition du 14/12/2010 - par Jean Eylan avec IDG NS

Selon des chercheurs de l’Université de Twente (Enschede, Pays-Bas), les internautes qui utilisent le logiciel LOIC (Low Orbit Ion Cannon) pour mener des attaques DDoS contre des sites Internet en signe de soutien à l’action de Wikileaks , lequel diffuse depuis fin novembre les télégrammes diplomatiques américains, peuvent être facilement retrouvés. Cet outil, téléchargé par des milliers de personnes, permet de bombarder un site web ciblé afin de saturer son trafic pour le mettre hors ligne. Promu par le groupe de militants Anonymous, il a déjà utilisé pour mener des attaques contre des entreprises qui ont coupé les vivres à Wikileaks.

Low Orbit Ion Cannon existe en plusieurs versions : d’une part, une application cliente téléchargeable contrôlable à distance via un IRC (Internet Relay Chat) ou configurable manuellement. D’autre part, une version sous la forme d’un site web JavaScript. « Avec l’application cliente, le site web ciblé peut voir la vraie adresse IP de l’ordinateur d’où est déclenchée l’attaque, » écrivent les chercheurs. L’adresse IP permet de remonter au FAI qui fournit le service, lequel peut savoir à quel abonné correspond l’adresse. Il se passe la même chose quand un internaute utilise la version web. En général, les pirates qui mènent des attaques par déni de service DDoS configurent leur programme de manière à ce qu’il utilise une fausse adresse IP, mais Low Orbit Ion Cannon ne le fait pas. Les attaques DDoS peuvent également être coordonnée par un botnet, un réseau de machines infectées par un virus qui permet de les commander à distance. Généralement, cette action se fait à l’insu du propriétaire de l’ordinateur. Le danger avec les attaques de soutien à Wikileaks, c’est que les personnes souhaitant participer à la campagne en ligne ne sont pas assez férues de technologie et ne mesurent sans doute pas le fait qu’il est possible de retrouver leurs traces. « La technique d’attaque actuelle s’apparente un peu à l’envoi de milliers de lettres, mais avec le nom et l’adresse de l’expéditeur au dos de chacune, » écrivent les chercheurs hollandais. Sans compter que « l’Union européenne oblige les opérateurs de télécommunications à conserver leurs données pendant une durée de six mois. Ce qui signifie que les « hacktivistes » peuvent être facilement retrouvés même après l’interruption des attaques, » écrivent-ils encore. Déjà, aux Pays-Bas, la police a arrêté deux adolescents en relation avec les attaques. Le procureur a même déclaré qu’il avait été facile de retrouver la trace de l’un d’eux.

Un logiciel téléchargé par 67 000 sympathisants

Selon le vendeur de solutions de de sécurité Imperva, qui a comptabilisé que LOIC avait été téléchargé environ 67 000 fois, « l’Opération : Payback, » comme l’a baptisé le groupe Anonymous pour qualifier les attaques DDoS de soutien à WikiLeaks, « semble se poursuivre. » MasterCard, qui a fermé le compte de Wikileaks, a été à nouveau attaqué ce week-end, « et les statistiques montrent que son site a subi une interruption » indique Netcraft. « Si bien que désormais, la plupart des vendeurs de solutions de sécurité classent Low Orbit Ion Cannon parmi les menaces potentielles et s’emploient à bloquer le logiciel, » explique Imperva. L’entreprise a également déclaré avoir constaté que LOIC avait permis de coordonner certaines attaques. « Les attaquants recommandent le développement d’un système qui dirige les internautes vers un site intermédiaire, un site pornographique par exemple, pour rendre le JavaScript utilisé par l’outil DDoS invisible. » Selon Paul Mutton, analyste en sécurité chez Netcraft « ce contournement a peu de chance d’être efficace. » Le trafic destiné à bombarder le site visé passe par le browser web de l’utilisateur. « Le trafic du navigateur est difficile à contrôler, et en cas de surcharge, le navigateur traite l’excès de données qui lui reviennent, » explique-t-il. C’est en contradiction avec un outil dédié qui peut envoyer des charges énormes. « La version web de LOIC n’est pas aussi efficace qu’une vraie attaque DDoS, mais le logiciel est beaucoup plus facile à utiliser par tous, » conclut Paul Mutton.

Source : lemondeinformatique