21,8 millions de requêtes par seconde, de quoi surcharger et faire tomber de gigantesques réseaux informatiques. Courant septembre, le moteur de recherche russe Yandex n’a cessé de subir des vagues de connexions malveillantes, jusqu’à ce pic de connexions, d’une ampleur jamais vue. Dans le jargon, on parle d’attaque par déni de service (ou DDoS) pour désigner ce genre d’actes malveillants. Les cybercriminels les lancent grâce à des botnets, des ensembles de machines corrompues qui obéissent à leur centre de commandes, et leur permettent de créer des effets de masse.
Après le pic inédit, Qrator Labs, l’entreprise russe en charge de protéger Yandex contre les attaques a mené son enquête, dont elle a publié les conclusions dans un billet de blog. Elle est remontée jusqu’à l’opérateur du botnet coupable de l’attaque, qu’elle a décidé de nommer Mēris (« la peste », en lettonien).
Le gang a avant tout comme objectif d’extorquer de l’argent. Il menace au préalable ses victimes par email : elles peuvent payer une rançon dans un certain délai ou alors le groupe déchaînera son botnet. Mēris se distingue par une puissance de frappe bien supérieure à celles observées ces dernières années, qui lui permet de s’en prendre à des groupes de grande taille, avec de larges infrastructures.
L’avantage pour les cybercriminels, c’est que ce genre de victime ne peut pas se permettre, d’un point de vue économique, de passer hors ligne. Résultats : elles seront plus enclines à payer la rançon demandée en cryptomonnaies.
Un « botnet d’un nouveau genre »
Qrator Labs décrit son opposant comme un « botnet d’un nouveau genre », et s’inquiète qu’il puisse « surcharger n’importe quelle infrastructure ». Habituellement, les DDoS consistent à lancer du trafic pour dépasser le nombre de connexions que peut encaisser un serveur. Le flux (mesuré en gigaoctets par seconde) devient trop important, et finit par couper le serveur d’internet.
Les attaques lancées par Mēris sont d’un autre genre : le « RPS » (requêtes par seconde). Elles consistent à envoyer des requêtes dont le but est de surcharger la capacité de calcul d’un serveur, et d’ainsi faire surchauffer sa mémoire et son CPU, deux composants au cœur du fonctionnement des ordinateurs. Autrement dit, les requêtes vont aspirer la capacité de calcul de la machine jusqu’à ce qu’il ne puisse plus encaisser de requête supplémentaire et tombe en panne.
Le botnet n’a utilisé qu’un huitième de sa force de frappe
Le pire dans l’histoire, c’est que Mēris n’utiliserait qu’une petite fraction de sa puissance de frappe. Le pic de requête a été atteint par la coordination de 30 000 machines. Problème : Qrator estime que le botnet compte en réalité plus de 250 000 machines, soit plus de 8 fois de plus. C’est une taille réellement impressionnante : les botnets récents dépassent rarement les 50 000 machines. Autrement dit, Mēris se ménage, probablement pour ne pas trop attirer l’attention des autorités.
Les chercheurs suspectent les appareils corrompus de tous être du même petit constructeur lettonien, MikroTik. Ce serait des machines de relativement grosses tailles, branchées à des connexions internet performantes, là où le plus souvent les machines qui composent les botnets sont des appareils connectés peu puissants, connectés à un réseau Wi-Fi. L’entreprise n’a pas encore réagi à cette hypothèse.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !