Spamhaus: questions sur une cyberattaque “exceptionnelle”

L’attaque informatique de grande ampleur visant la société Spamhaus, dont on disait qu’elle avait touché l’ensemble du réseau internet, fait ressurgir la peur des hackers, relayée par certaines entreprises de sécurité informatique. Mais qu’en est-il réellement?

Les médias s’alarmaient depuis mercredi d’une nouvelle attaque informatique de grande ampleur visant la société Spamhaus. Un assaut par déni de service au débit impressionnant, 300 gigabits par seconde à son maximum, que certains ont eu tôt fait de présenter comme susceptible d’ébranler tout l’internet européen. Pourtant, certaines entreprises chargées d’analyser le trafic internet global ne font état d’aucune perturbation ni de baisse de régime avérée depuis le 18 mars, début présumé de la cyberattaque. Retour sur les questions posées par cette affaire.

Pourquoi Spamhaus est-il victime?

Spamhaus est un organisme à but non lucratif chargé de lutter contre le spam. Par le biais d’un système de “blackmailing”, il répertorie et bloque pour ses clients les sites et hébergeurs qu’il identifie comme spammeurs.

C’est notamment ce qui est arrivé au début du mois de mars à Cyberbunker, une entreprise néerlandaise installée dans un ancien bunker et qualifiée de “bullet proof hoster”, un hébergeur à la morale plutôt légère prêt à fermer les yeux sur les sites et contenus de ses clients. Cyberbunker ne s’en cache pas puisqu’il affirme héberger tout contenu qui n’est pas “de la pédopornographie ou quoi que ce soit lié au terrorisme”. Une définition qui laisse tout de même la voie libre à bon nombre de sites illégaux, tels que ceux spécialisés dans le spam.

Autant dire que Spamhaus ne s’est pas fait que des amis parmi les hackers, et c’est sûrement la cause de cette attaque par déni de service, qui consiste à surcharger les serveurs d’un organisme en les submergeant de demandes jusqu’à les faire crasher. Même si la responsabilité de Cyberbunker dans cette affaire n’a pas été confirmée, Spamhaus a accusé l’entreprise d’avoir participé à l’opération avec l’aide de hackers d’Europe de l’Est et de Russie comme le rapportait la BBC.

Quel sont les risques d’une telle attaque?

Selon Laurent Heslault, directeur stratégie sécurité chez Symantec, “un tel système d’identification nous fait penser que l’attaque provient d’un petit nombre de machines, celles-ci auraient utilisé une faille ou une fonctionnalité de serveurs DNS pour réussir leur attaque”. Une étude de The Open DNS Resolver Project montre par ailleurs qu’il existe près de 25 millions de serveurs DNS ouverts et faiblement sécurisés dans le monde.

Pourtant, cette attaque qui a pris des proportions incroyables pourrait tout aussi bien n’être qu’un leurre. “Ce genre d’attaques si voyantes peuvent être des moyens de diversion. Celles qui nous inquiètent le plus sont les attaques très ciblées sur des infrastructures critiques qui sont donc beaucoup plus discrètes” explique le professionnel de la sécurité informatique.

Lorsque que la question d’un risque pour l’internet global est abordé, Laurent Heslault répond qu’il existe “en théorie, mais en pratique c’est beaucoup moins probable car il y a une telle diversité, une telle complexité du réseau mondial qu’il faudrait énormément de temps et beaucoup de chance pour réussir. Mais il faut rester prudent, il reste surement des failles que personne n’a encore vues jusqu’ici”.

Le spécialiste avoue toutefois que les solutions sont limitées face à une attaque de type “DDoS”, qui finit par se tarir d’ell- même. Les experts en cybersécurité répondent à ces attaques en mettant en place “des digues, des systèmes de bassins qui redirigent ‘l’inondation’ de données causée par l’attaque”. Il est également possible pour les entreprises de limiter le nombre de connexions entrantes sur leurs serveurs et ainsi éviter ce type de problème.

Pourquoi tant d’emballement autour de cette affaire?

Matthew Prince, de la société américaine de sécurité informatique CloudFlare qui est venu au secours de Spamhaus durant l’attaque, fut le premier à parler de “l’une des plus importantes [attaques] jamais répertoriées”. Il ajoutait même que “nous avons vu des encombrements, principalement en Europe où la plupart des attaques étaient concentrées, qui ont touché des millions de personnes même s’ils ne surfaient pas sur des sites en rapport avec Spamhaus ou CloudFlare”. Des déclarations qui furent reprises dans les médias du monde entier tels que le site Arstechnica.

Pourtant, ces affirmations se sont vite vues confrontées au bilan des analystes du trafic internet mondial comme l’AMS-IX ou le DEC-IX, les sites spécialisés Gizmodo ou Clubic mettant aussi en avant ce “mensonge”.

“Pour le trafic internet en général, nous n’avons pas eu de retours particuliers qui laisseraient entendre que des points d’échange ont saturé ou seraient même devenus injoignables” indiquait ainsi la société franco-américaine Cedexis, chargée de réorienter les requêtes et les flux de données des éditeurs de contenus vers les meilleurs hébergeurs, selon l’état du trafic. “Nous n’avons observé aucun changement ou pic de trafic par rapport à la normale ces dernières 48H”, affirmait également à l’AFP la société Neo Telecoms, deuxième opérateur IP en France. “Parmi nos 600 clients européens qui sont des acteurs de l’internet, nous n’avons eu aucune remontée d’informations à ce sujet”.

Un “marketing de la peur”?

Certaines sociétés spécialisées en sécurité informatique comme CloudFlare surferaient-elles donc sur l’annonce de grandes cyberattaques afin de vanter leur produits et doper leurs ventes? Sur son blog, Gary Davis, vice-président de Mac Affe, n’hésite pas à appuyer sur la gravité de l’événement, tout en faisant quelque publicité pour ses logiciels de surveillance.

“Nous avons arrêté le marketing de la peur depuis longtemps, ça ne marche pas” indique quant à lui Laurent Heslault. Et selon le responsable de Symantec, la stratégie du spam ne se porterait pas mieux. “Le retour sur investissement du spam a baissé. En août 2010, 250 milliards de spam étaient envoyés chaque jour, aujourd’hui il n’y en a que 40 milliards”. Cela démontre bien que beaucoup de hackers ont abandonné cette voie pour commettre leurs méfaits.

Néanmoins, il souligne l’importance de communiquer sur de telles attaques. “Même s’il ne faut pas crier au loup, tout ce qui permet de relever le niveau de sensibilisation aux risques de notre monde hyperconnecté est important”. Même si “cette histoire est un épiphénomène au niveau d’incidence assez bas […] il faut une prise de conscience des plus jeunes aux plus âgés, ainsi que des décideurs”.

Samuel Baudoui, L’Expansion.com