Des attaques masquées, difficiles à traquer

Les auteurs des attaques «par saturation» lancées contre des sociétés de service sur Internet aux États-Unis ont recours à la technique de piratage bien connue du «spoofing», qui consiste à lancer des assauts à partir d’ordinateurs tiers en réseau, appartenant à des personnes totalement innocentes. «Les intrus utilisent une source factice pour l’attaque (...) et ils peuvent ainsi dissimuler leur identité», explique Ron Dick, responsable de la section des enquêtes informatiques au Centre de protection des infrastructures nationales (NIPC), une division du FBI. La technique est simple : un ou des pirates infectent, par exemple, les ordinateurs du réseau informatique (système UNIX ou Windows NT) d’une entreprise quelconque avec un logiciel véreux, capable de lancer des attaques appelées «refus de service». Ces logiciels sont ensuite commandés à distance pour lancer à partir de ces ordinateurs «infectés» une attaque démultipliée contre une ou plusieurs cibles, en l’occurrence ici les réseaux d’accès de sociétés Internet. L’astuce est que ces logiciels envoient une demande d’accès dotée d’une adresse factice (spoofing) au site visé, qui ne reconnaît pas l’identité de l’interrogateur et est pris de confusion. Lorsque des centaines de milliers de demandes arrivent en même temps, c’est en trop pour les capacités du serveur qui se bloque ou saute à la manière d’un standard téléphonique. Deux variantes d’un tel logiciel d’attaque circulent actuellement: TribeFloodNet (TFN) et TribeFloodNet 2K (TFN2K). Ces attaques peuvent durer plusieurs minutes ou plusieurs heures. Cette technique a un double avantage : elle permet de dissimuler la source réelle de l’attaque et surtout de choisir le moment de celle-ci, en la différant. «Le pirate a parfaitement le temps de partir. Il peut très bien se trouver à Singapour en train de prendre un bain de soleil» au moment de l’attaque, explique David Jarrel, responsable du Centre fédéral de réponse contre les incidents informatiques.