250 000 ordinateurs zombies pour une attaque DDOS de 45Gbps
La plus importante attaque par déni de service (DDoS) jamais observée cette année a été dirigée contre un site de commerce électronique chinois, selon Prolexic. 250 000 ordinateurs infectés par des malwares ont participé à cette attaque, dont une forte proportion en Chine. 15 000 connexions par seconde ont été réalisées sur leur cible l'engloutissant sous un trafic allant jusqu'à 45 Gbps.
Une attaque en déni de service distribué (DDoS) lancée à l'encontre d'une société asiatique de commerce électronique, pendant une semaine début novembre, a constitué jusqu'à présent l'incident le plus important de l'année dans ce domaine, selon Prolexic, une société qui protège les sites web contre de telles attaques. Quatre vagues successives ont été lancées à partir de botnets multiples entre le 5 novembre et le 12 novembre 2011, a précisé le spécialiste de la sécurité.
Ce dernier estime que jusqu'à 250 000 ordinateurs infectés avec le malware ont participé à l'attaque, nombre d'entre eux se trouvant en Chine". Au plus fort de l'assaut ces ordinateurs ont réalisé 15 000 connexions par seconde sur leur cible (la plateforme de la société de e-commerce), la noyant sous un trafic allant jusqu'à 45 Gbps, indique Prolexic. Ce dernier n'a pas souhaité donner le nom de la société, qui est l'un de ses clients, en raison d'accords de confidentialité.
Des attaques pouvant être soutenues par l'Etat
La raison de l'attaque est inconnue, mais un utilisateur mécontent ou un concurrent effectuant un sabotage industriel sont deux des possibilités, a estimé Paul Sop, directeur technique chez Prolexic. « Parfois, nous voyons aussi une attaque soutenue par l'État ou par des états-complices, car une large quantité de paiements sur Internet sont effectués hors du pays dans le cadre de ces transactions de e-commerce », a-t-il ajouté. « L'Etat ne collecte pas d'impôts sur ces dernières, et dans certains pays, les transactions de e-commerce sont prises pour cibles ».
Arbor Networks, un autre société qui lutte contre les attaques par déni de service, n'a pas eu d'informations sur cette attaque, mais a déclaré que la description réalisée par Prolexic était conforme aux données recueillies récemment.
L'ampleur du phénomène décrit par Prolexic est plausible, et se situe juste au-dessus de ce que nous avons pu voir au cours troisième trimestre, a pour sa part déclaré Jose Nazario, chercheur en sécurité chez Arbor Networks. Pour lui, et bien que ce type d'attaque soit jusqu' a présent le plus importante cette année, elle est loin d'être la plus massive de tous les temps. Le chercheur a rappelé que la plus grande attaque observée par Arbor en 2010 avait culminé à plus de 100 Gbps.
Des attaques moins puissantes mais plus nombreuses
Prolexic a également indiqué avoir observé des incidents de plus de 100 Gbps dans le passé. La firme considère que les attaques sont généralement moins puissantes aujourd'hui, mais que leur fréquence a augmenté. « Il ya encore des milliers de botnets capables de prendre 99% des sites Web sur Internet » a exposé Paul Sop. « Actuellement, les pirates préfèrent utiliser la puissance combinée de plus petits réseaux de botnets au lieu d'en construire de plus grands. « Si vous vous appuyez sur un botnet géant il est probable que cela attirera davantage l'oeil des professionnels de la sécurité. Les attaquants savent qu'ils peuvent rester sous le radar si leur botnets sont moins de 50 000 ».
Cette année, la plupart du trafic DDoS est sorti de l'Asie, mais le problème reste un problème mondial. Par exemple, la semaine dernière Prolexic a enregistré un certain nombre d'attaques provenant d'Europe orientale. En 2011, la plupart du trafic DDoS est sorti de l'Asie, mais les attaques par déni de service restent un problème mondial. Par exemple, la semaine dernière Prolexic en a enregistré un certain nombre provenant de l'Europe de l'Est.
Toutefois, si l'on compte le nombre d'ordinateurs infectés qui ont participé à des attaques DDoS, la Chine et les Etats-Unis occupent les premières places.
