détails en direct du helpdesk de IMDDOS

Vous le savez surement : un service commercial baptisé IMDDOS permettant de lancer des attaques en déni de service distribué (DDoS, Distributed Denial of Service) a été récemment découvert par Damballa, société spécialisée dans l'identification des réseaux de machines zombies (botnet).

une approche commerciale innovante dans son secteur

Le service n'est pas nouveau en soi. Ce qui est frappant c'est que celui-ci a pignon sur Internet (pas besoin d'aller sur un obscur forum ou un canal IRC) et qu'il s'adresse clairement à tout le monde. Enfin, à ceux qui parlent chinois.... et qui ont la volonté d'attaquer un site Internet !

IMDDOS_Homepage_17-09-2010.png

contact direct avec le service client de IMDDOS

Pour aller plus loin, nous avons contacté le service commercial de cette société.

Le contact a été établi via le système de conversation online "QQ Chat" très utilisé en Chine. La réponse a été immédiate et courtoise, notre interlocuteur (nous diront il pour simplifier) se présentant comme appartenant à l'équipe du service client.

pas de questions sur notre identité ni nos motivations

Aucune question ne nous est posée sur qui nous sommes, où nous sommes localisés et quelles sont les raisons de notre intérêt pour un service de ce type. Quand vous allez à la pompe avec un jerricane, personne ne vous demande si c'est pour mettre dans la tondeuse ou pour mettre le feu à la maison du voisin ? Ici, c'est pareil ! L'important c'est de passer à la caisse en sortant...

niveaux de service

Sont proposés 3 niveaux de services, dont un gratuit "pour tester" : la facturation est effectuée en fonction de la durée de souscription. Les prix qui nous ont été communiqués sont les suivants :

  • 35€ pour 1 mois
  • 130€ pour un an
  • 200€ pour un accès permanent "illimité"

Quant à la version d'évaluation, elle a une durée de validité de 7 jours.

des fonctions d'attaques classiques

Dans tous les packs, il vous est possible de lancer différents types d'attaque dont les classiques du genre que sont les SYN Flood, TCP/UDP Flood et paquets "RAW" avec d'autres types plus obscurs : DK et NB...

Pour piloter son attaque, un tableau de bord "online" est fourni : il permet de suivre son attaque. En plus, il faut installer un logiciel sur sa machine pour configurer l'attaque (adresse IP de la cible, numéro de port...).

puissance d'attaque : l'unité est la "poule"

Concernant la puissance même de l'attaque (bits/s, paquets/s), la personne du service client nous indique que celle-ci est fonction du nombre de poules que vous avez. Sur le moment, on se dit "on a pas bien capté"....

Mais oui, vous avez bien lu : ils utilisent le terme de "poule" pour baptiser une machine utilisée pour lancer les attaques. Effectivement, c'est plus sympathique que des termes à connotation négative comme "zombie" ou "bot"... Y'a de la recherche marketing derrière ! :-)

Si vous avez souscrit à l'un des packs alors vous avez d'office 2000 de ces "poules" pour lancer votre attaque. Dans le cas du service de test, il faudra se contenter de 100 "poules" uniquement. Un botnet de 2000 machines peut paraitre "petit" comme ça, mais cela peut tout à fait faire mal : le botnet que j'ai cartographié en faisait environ 2300 et je vous garantis que l'on a senti les choses passer...

un kit d'élevage est proposé

Là où les choses deviennent "originales", c'est qu'en plus d'intégrer un nombre de "poules" donné dans les packs, le service inclut en standard ce qu'il faut pour développer son réseau de machines ! Parmi les "produits" livrés on retrouve en effet :

  • Un outil permettant de créer un virus (appelé "petit trojan") pour obtenir les "poules".
  • Un outil (mis à jour toutes les semaines) pour rendre son "petit trojan" indétectable aux antivirus
  • Un outil supplémentaire pour intégrer le virus dans le fichier (jpg, txt...).

Avec cela, il ne reste plus qu'à le diffuser au plus de personnes possibles afin d'infecter leur machine et les transformer en volatiles de basse-cour. Un vrai kit clef en mains pour "construire et entretenir son botnet soi-même à la maison".

sites chinois exclus du contrat de service

Notre interlocuteur nous indique que nous pouvons attaquer les sites que nous voulons à l'exclusion des sites gouvernementaux chinois ainsi que certains sites Internet Chinois. Faut-il voir ici en filigrane une attitude passive de certaines autorités locales ou que des "alliances" ont été mises en place ? A chacun de spéculer.

Autre idée en passant : ceux qui paient un service de protection sont de facto dans la liste des sites qui ne peuvent être attaqués.

pas de références mais des conseils

Parmi les questions posées, nous leur avons demandé combien de "poules" étaient nécessaires pour lancer des attaques. Il nous a été répondu que 100 "poules" étaient suffisantes pour un petit site, 1 000 pour un moyen et enfin 10 000 pour un très grand site.

Quand on demande s'ils ont des "références" (d'attaques précédentes), la réponse est "non". C'est vrai que l'on ne badine pas avec la confidentialité des échanges commerciaux. ;-)

le mot de la fin

Comme j'ai pu l'écrire dans mon bulletin du 12 septembre sur l'utilisation qui était faite des attaques en DDoS pour lutter contre la diffusion de contenus piratés en Inde, le marché du DDoS est effectivement en pleine évolution : après plusieurs années de "marché noir", celui-ci semble passer, du moins en partie, dans une zone où le commerce fait la loi. Il semblerait qu'une page vienne de se tourner avec IMDDOS.

Fort heureusement, l'offre commerciale est pour le moment loin d'être abondante mais il se pourrait qu'elle se développe rapidement dans les années à venir. Les cartes du jeu sont en train de changer de mains et les acteurs de la sécurité sur Internet se doivent de suivre le jeu et d'y participer !

Crédit : je tiens à remercier Junfeng Meng, actuellement en stage dans mes équipes pour son aide. C'est grâce à lui que nous avons pu rentrer en contact avec les personnes d'IMDDOS et collecter toutes ces informations.

Jean-François

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens