Il est observé actuellement une recrudescence des attaques visant certains
sites commerciaux, notamment dans le but d’extorquer des rançons aux
e-commerçants, sous la menace de mettre hors ligne leurs boutiques.
Le principe de ce type d’attaque :
Les escrocs envoient par email
une demande de rançonau e-commerçant (qui varie généralement de 100 à 1000
€) en l’informant que sans réponse de sa part, ils paralyseront l’activité
de son site. SI VOUS RECEVEZ CE TYPE DE MENACES, IL EST IMPORTANT
DE NOUS EN INFORMER : ce n’est pas de la science fiction ! Il
existe une technique d’attaque appellée « Botnet » (DDOS) qui consiste à
utiliser des millions de robots qui vont interroger un site web sans
discontinuer sur des journées entières, afin de saturer le serveur sur
lequel le site est hébergé et de l’empêcher de répondre aux demandes des
internautes. Ces robots sont installés sur des serveurs et des machines
d’internautes, à leur insu, généralement via des virus qui restent dormant.
Qu’est-ce qu’un botnet ?
Le principe du botnet est donc de créer un
virus, qui va infecter discrètement le plus d’ordinateurs possible
(exemple: emails avec de fausses factures en .doc contenant un vrai virus
de Juillet dernier). Chaque ordinateur (ou chaque serveur d’hébergement) de
Mme. et M. Toutlemonde, une fois infecté, devient alors un vecteur
potentiel pour effectuer une attaque groupée de millions de connexions vers
un site web. Prenons l’exemple d’un site hébergé sur un serveur calibré
pour gérer entre 1 000 à 5 000 visiteurs simultanés qui serait attaqué :
d’un seul coup, le site reçoit plus d’un million de visiteurs en permanence
: le site devient inaccessible, voilà le principe du botnet. Il faut savoir
qu’une personne malintentionnée peut louer une architecture Botnet pour 50
à 60 € pour 24 heures d’utilisation, et s’en servir pour cibler un ou
plusieurs sites Web, et ainsi saturer le ou les serveurs d’hébergement.
Quelle est la cible de ces attaques ?
Généralement, les hackers
visent des e-commerces de taille moyenne, car les gros sites web marchands
ont mis en place des solutions d’hébergement qui peuvent absorber plus
facilement les attaques (architectures redondantes, plusieurs serveurs web
en cluster frontal, etc).
Que se passe-t-il en cas d’attaque de ce type lorsque vous êtes hébergé
chez Icodia ?
Notre architecture est supervisée en
continu. – Si l’un de nos clients subit ce type d’attaque, nos
systèmes de sécurité activent automatiquement des contremesures techniques
(qui peuvent bloquer des provenances d’adresses IP attaquantes, etc.) –
Notre client est prévenu et nous essayons de mettre en place avec lui des
mesures pour limiter l’agression et solidifier de façon pérenne sa solution
d’hébergement. Cependant, il faut être conscient que ces robots utilisent
des modes de déploiement qui sont nouveaux et parfois assez difficiles à
détecter : par exemple filtrer les connexions « légitimes » et les connexions
« botnet » peut s’avérer très délicat, quel que soit l’hébergeur concerné. De
plus, certains Botnet sont connus pour disposer de millions
d’adresses IP, pouvant malgré tout causer beaucoup de soucis.
SI VOUS RECEVEZ CE TYPE DE MENACES, IL EST DONC IMPORTANT DE
NOUS EN INFORMER. Nous vous invitons à nous transférer ce
type de menaces (email en pièce jointe sur support@icodia.com) si vous en
recevez pour deux raisons: nous permettre d’observer l’attaque et
d’y réagir si cette dernière est d’une envergure trop
importante, et diligenter une enquête sur l’origine des
menaces, ce que nous faisons dès que l’occasion se présente, en
lien avec les services de la D.C.R.I. (Direction générale de la sécurité
intérieure). Votre collaboration est essentielle.