En France, un important hébergeur s'efforce de protéger les sites Internet de ses clients représentant des médias européens. Ce qui signifie notamment pour lui de repousser les attaques de déni de service (DDoS, distributed denial-of-service attacks), lesquelles ont déjà provoqué dans le passé le plantage de plusieurs sites. La persistance de ces attaques laisse penser qu'elles sont déclenchées par des lecteurs en colère qui veulent exprimer leur désapprobation vis-à -vis de certaines informations. « Nous avons subi beaucoup d'attaques DDoS visant principalement les sites de journaux en ligne », a indiqué Salim Gasmi, directeur technique et directeur technique chez SvD Plurimedia, qui compte parmi sa clientèle des médias européens bien connus comme Le Figaro, Les Echos ou encore la chaîne de télévision Arte, ainsi que des sociétés de services bancaires.
Un flot de requêtes SYN
« Même si l'origine et le motif de ces attaques DDoS ne sont pas tout à fait clairs, celles-ci se produisent généralement à des périodes où l'information se rapporte au Moyen-Orient », précise Salim Gasmi. « C'est une colère d'origine politique », explique t-il, ajoutant que ces types d'attaques se produisent de manière régulière depuis plus de dix ans. « Les nouvelles relatives au Moyen-Orient peuvent déclencher une avalanche de SYN émis depuis des ordinateurs qui semblent se trouver dans plusieurs endroits à travers le monde, y compris le Brésil, la Russie et la Chine, et contrôlés par un attaquant depuis un lieu inconnu », déclare le directeur technique de SvD Plurimédia. Les outils pour réaliser ce type d'attaques semblent faciles à trouver. Une attaque bien dirigée, consistant à envoyer un flot de requêtes SYN à hauteur de 10 Mbps et visant à provoquer un déni de service (cela exigerait au plus l'utilisation de 100 ordinateurs en mode attaque) serait suffisant pour placer un site Web sous énorme pression et peut-être même le mettre temporairement hors d'état. « Certaines attaques peuvent atteindre les 3Gbps », a-t-il indiqué.
Mais SvD Plurimedia n'est pas la seule entreprise à devoir faire face à des attaques politiquement motivées. Le rapport que publie Symantec cette semaine, intitulé « Symantec 2010 Critical Infrastructure Protection Study » est le résultat d'une enquête menée auprès de 1 580 entreprises à travers le monde. L'éditeur de logiciels antivirus a voulu savoir si elles avaient été la cible « d'attaques politiquement motivées », y compris éventuellement de cyberattaques terroristes ou derrière lequelles se profilerait un Etat, visant à voler des informations sensibles ou à faire tomber un réseau. Symantec a constaté que la moitié des responsables informatiques de ces entreprises pensaient avoir été victimes d'une attaque de ce genre.
Un effet en cascade sur les serveurs du datacenter
Quant à Salim Gasmi, il était certain que, à partir du moment où SvD Plurimedia avait décidé de faire entrer des médias dans son portefeuille clients, l'hébergeur aurait à faire face à ce type d'attaques et à se défendre contre les DDoS - et vite. La question était de trouver les moyens de détecter les prémices d'une attaque DDoS, puis de drainer efficacement le trafic hostile, tout en essayant de ne pas perturber le bon trafic. Et ce n'est pas facile. L'une des complexités vient du fait que les attaques massives en SYN peuvent provoquer un effet en cascade sur les serveurs du datacenter. « Lorsqu'un client est ciblé par une attaque, et si cette attaque est puissante, il faut rendre tous les sites non dynamiques. C'est un cauchemar », explique Salim Gasmi.Â
En quelques années, l'hébergeur a cherché différentes manières de gérer ses serveurs, différentes configurations réseaux, divers moyens pour atténuer les attaques, des systèmes de prévention contre l'intrusion et des pare-feu. Les derniers équipements, basés sur les systèmes Peakflow SP et Peakflow SP Threat Management System d'Arbor Network, et mis en place depuis environ un an, se sont avérés parmi les plus efficaces pour filtrer les attaques de trafic, notamment grâce à une technologie de redirection qui permet d'alléger le poids du trafic indésirable.  « Bien que très efficace, l'équipement anti-DDoS n'est pas parfait et il est possible qu'une certaine quantité de trafic légitime passe à la trappe », fait remarquer Salim Gasmi. « Mais les sites Web résistent beaucoup mieux qu'avant. »
Certains hébergeurs proposent des services anti-DDoS
Aux États-Unis, certains opérateurs, comme AT & T notamment, proposent en option des services anti-DDoS. Salim Gasmi dit pour sa part traiter avec neuf opérateurs différents en France, mais aucun ne prévoit de service anti-DDoS, de sorte qu'il a dû investir et construire sa propre ligne de défense. Il aimerait bien que les FAI et les opérateurs s'emparent plus activement du problème, d'autant qu'en France, d'autres hébergeurs subissent ce même type d'attaques DDoS. Il n'est pas rare que les sites web de certaines entreprises soient noyés par une attaque DDoS. Même si d'expérience, les chantages aux attaques ne sont pas aussi répandus que les attaques menées contre les sites d'information, Salim Gasmi a néanmoins entendu parlé de pirates qui demanderaient de l'argent à certaines entreprises pour, en contrepartie, ne pas attaquer leurs sites web.
Illustration : Attaques DDoS (source du schéma : Cisco)
Les sites de médias français, cible d'attaques DDoS
Le désir de « tirer sur le messager » porteur de mauvaises nouvelles est bien connu. Dans le monde des médias en ligne, les sites d'actualités se font tirer dessus massivement au moyen d'attaques par déni de service (DDoS) destinées à de les faire tomber. C'est ainsi que la moitié des grands sites d'actualités présents sur le Net sont victimes de cyberattaques « politiquement » ciblées.