Des joueurs de Second Life ont été pris à partie dans le cadre d'une vengeance numérique. Certains d'entre-eux ont été utilisés à leur insu pour lancer des attaques en déni de service à l'encontre d'un site web Internet.
Afin d'accéder à Second Life, un joueur doit installer un logiciel sur sa machine : outre les clients (ou "Viewers") distribués par Lindens Labs, société ayant développé Second Life, il est possible d'utiliser des Viewers développés par des société tierces.
C'est justement au niveau de l'un de ces clients tiers que le problème est survenu.
le client "Emerald Viewer"
Ce client alternatif appelé "Emerald Viewer" est, semble-t-il, particulièrement utilisé par les joueurs de Second Life. Ce logiciel est développé par la société Modular Systems qui semblerait liée d'une façon ou d'une autre avec Linden Labs, société à l'origine de Second Life.
Selon les informations présentes sur le site du Alpha Ville Herald, un site dédié à l'analyse des comportements dans les monde virtuels comme Second Life, tout aurait commencé par des suspicions de diffusion d'informations personnelles pour les personnes utilisant le client "Emerald Viewer".
Ce serait suite à ces allégations qu'une personne de Modular Systems ait décidé de modifier la page d'accueil affichée lors de la connexion au "Emerald Viewer" de façon à générer un très grand nombre de requêtes HTTP à l'encontre de la personne ayant proféré ces accusations.
attaque via du code HTML modifié
Toujours selon les screenshots (ici et ici) publiés dans cet article du site "Alpha Ville Herald", il est assez clair que le code HTML de la page d'accueil a été modifié de façon à ce que tout joueur se connectant génère automatiquement 32 requêtes web vers le site http://iheartanime.com/. En 3 jours, près de 16 millions de requêtes auraient ainsi été générées.
Le tout est bien évidemment caché aux yeux des joueurs agissant à l'insu de leur plein gré : tout est masqué via des techniques html standard (balise iframes intégré à une balise div invisible de 1 pixel sur 1 pixel).
explications assez floues de la part de Modular Systems
Les explications données par Modular Systems sur ces évènements sont assez floues. Ce que l'on sait, c'est que l'un des principaux développeurs (connu sous le pseudonyme de Fractured Crystal) aurait reconnu, dans ce post sur le blog de Modular Systems, être l'auteur de la modification de la page d'accueil et qu'il a décidé de se retirer du projet en le confiant aux autres personnes. Par ailleurs, il indique ne pas avoir eu comme volonté de provoquer un DDoS.
Ce que j'en retiens c'est que cette histoire n'est pas claire du tout...
que faut-il en retenir ?
Toute société ayant un site Internet pour lequel le nombre de visites est important peut être une cible intéressante. En effet, si un attaquant est en mesure de modifier le code des pages, il aura ainsi à sa disposition un système d'amplification naturel à sa disposition.
Bien sûr, l'attaquant pourra utiliser à d'autres fins cette capacité de modifier le code des pages afin d'en modifier le contenu, de diffuser des codes d'attaques ou tout autre attaque de son choix.
La mise en place d'un système de surveillance de l'intégrité de ses pages web est donc à considérer. Certains services en ligne permettent de superviser cela à distance, on peut aussi le faire facilement via un petit script.
comment détecter que l'on est victime d'une attaque de ce type ?
Le premier mécanisme de détection est assez simple : un nombre anormalement élevé de requêtes est un signe annonciateur que quelque-chose se trame. Mais les faux positifs sont possibles.
Un système plus fiable s'appuierait sur une analyse des logs du serveur web afin de détecter un nombre de hits trop important provenant d'un seul et même "referrer".
Jean François
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens