Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Des attaques en déni de service : La "méthode Jester"

Des attaques en déni de service : La "méthode Jester"
2010-01-122013-02-11sécurité des réseauxfr
Un supposé ex-militaire (se faisant appeler sous le pseudonyme de "Jester") aurait développé un méthode d'attaque en déni de service lui permettant de bloquer à distance l'accès à aux sites Web de son choix. Selon les dires de l'intéressé, il aurait développé un outil tournant sur...
Publié le 12 Janvier 2010 par Jean-François Audenard dans sécurité des réseaux
Pour le moment, les informations [1], [2] sont assez sommaires : Un supposé ex-militaire (se faisant appeler sous le pseudonyme de "Jester") aurait développé un méthode d'attaque en déni de service lui permettant de bloquer à distance l'accès à aux sites Web de son choix.

Les détails sur la méthode utilisée sont assez limités : Ce que l'on sait c'est que celle-ci ne s'appuie pas sur l'utilisation synchronisée d'un grand nombre de machines préalablement compromises (botnet) : Selon les dires de l'intéressé, il aurait développé un outil tournant sur une seule et unique machine de type Linux. Si tout cela est vrai, cela laisse à penser qu'il s'agirait d'une attaque visant la couche applicative : En l'occurrence le serveur web ou l'application web elle-même. Est-ce une évolution de l'attaque dite Slowloris ? On ne sait pas.

C'est intéressant à plusieurs titres

  • Tout d'abord ce justicier masqué "Jester" aurait attaqué des sites de la mouvance jihadiste ou extrémistes ; des sites Internet Iranien auraient aussi été attaqués : L'outil "arme informatique" est donc, encore une fois de plus, utilisé dans le cadre de visées politiques ou du moins de défense idéologique.
  • Si cette nouvelle méthode d'attaque existe bien réellement et si elle est aussi efficace que déclarée alors "Houston on a un problème", du moins tant que les détails de son fonctionnement sont inconnus : Il est effectivement pour le moins inconfortable de se défendre contre une attaque dont les caractéristiques sont inconnues. L'effet d'amplification qui pourrait résulter de l'utilisation de ce même outil de façon distribuée (via un botnet ou par un groupe de cyber-hacktivistes par exemple) pouvant être particulièrement létal pour des cibles les plus protégées.
  • Les attaques ont été lancées via un service réseau anonymisant localisé en Suéde proposant à ses membres de rester "cachés" pour une cotisation mensuelle : Ce type de service est en pleine expansion : Un chaînage de 2 ou trois services de ce type et l'identification de l'attaquant est beaucoup plus complexe. Mon avis est que ces services ont un avenir plutot radieux dans les années à venir... que ce soit pour lancer des attaques "ciblées" comme c'est ici le cas, mais aussi pour conserver un semblant de vie privée sur Internet, notamment contre les officines publiques (ou privées) de défense de tel ou tel droit/sujet.

Mais tout cela n'est encore qu'a prendre avec précaution : Très peu d'informations sont pour le moment disponibles. Si vous voulez coller au plus près du sujet, vous pouvez suivre "th3j35t3r" sur Twitter.

Liens :
[1] - Infosecurity-Magazine.com, 'Jester' ex-military hacker takes the distributed out of DDOS attacks, January 11, 2009
[2] - Information-Security-Resources.com, Patriot Hacker Hits Jihad With DDoS Attacks, January 7, 2009

6 Commentaires

  • 17 Octobre 2013
    2013-10-17
    par
    Reparateur ordinateur
    Cette méthode est très ancienne !!
  • 20 Décembre 2010
    2013-10-17
    par
    Alors là je pense exactement comme fbparis c'es surement des gars qui utilisent un fournisseur de vpn, n'importe lequel remplirait cette tâche. Pour flouer les pistes ou pour être anonyme sur internet ça marche bien.
  • 12 Janvier 2010
    2013-10-17
    par
    En quelques minutes, n'importe qui peut se coder un slowloris like (je viens de le faire :D) ; couplé avec l'utilisation de proxies on doit pouvoir bloquer n'importe quel site...
    A mon avis c'est exactement cela qu'utilise le gars, pour qu'il puisse bloquer ces sites via un fournisseur de vpn bon marché si rapidement je ne vois pas d'autres solutions :p
  • 12 Janvier 2010
    2013-10-17
    par
    Je n'avais pas fait attention au fait que la majorité des sites internet étaient effectivement situés sur le continent américain... intéressant pour l'analyse.
  • 12 Janvier 2010
    2013-10-17
    par
    Bonjour. Effectivement le champ des possibles est large : Il est donc possible de spéculer tant que l'on veux (lâchons-nous !). :-)
    Même si les Nginx a le vent en poupe, Apache (suivi de IIS) reste LE serveur prédominant sur Internet, cf les dernières statistiques de NetCraft sur le sujet.

    Juste pour avancer d'un cran, je me suis prêté (petit) au jeu suivant : Quel OS/serveur web se trouvent derrière les sites web indiqués dans l'un des deux articles ?

    Voici ce que Netcradt donne comme résultats (hostname, OS, serveurWeb, pays hébergeant le site) :
    www.alemarah.info / Linux / Apache/2.0 / Malaisie
    www.radicalislam.org / Solaris / Apache / USA
    www.islamicpoint.net / No info / No info / USA
    www.almaghrib.org / Linux / Apache/2.0 / USA
    www.as-ansar.com / Linux / Apache/2.2 / Malaisie
    www.islamicnetwork.com / Windows Server 2003 / Apache/2.2 / Canada
    www.islamicawakening.com / Linux / Apache/2.0 / UK
    www.ansarnet.info / Linux / Apache/2.2 / Malaisie
    www.president.ir / Linux / Apache/2.2 / Iran
    mbna.co.uk / Linux / Apache / USA

    ---> Le dénominateur commun "Apache" apparait clairement (hormis le "cas" de islamicpoint.net), et une prédominance de Linux comme système d'exploitation.... Est-ce une attaque de type Slowloris ? On peut raisonnablement émettre l'hypothèse... on continue toujours à spéculer mais ca pourrait être le cas comme ne pas l'être du tout...

    J'ai été surpris d'une chose: Une grande majorité de ses sites sont localisés sur le territoire américain alors que la guerre contre le terrorisme est lancée depuis belle lurette.... On pourrait expliquer que cela est du ou 1) au droit de libre expression/défense de ses idées garanti par la constitution américaine ou que 2) le gouvernement préfère garder ces sites "proches" pour collecter de l'information (cf les "grandes oreilles" de la NSA/Echelon). Aller, j'arrête de spéculer. ;-)
    Bonne continuation !
    Bravo pour votre blog autour de la sécurité ! Des articles intéressants.

Pages

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage