Hier après-midi, un certain nombre de sites furent indisponibles ou difficilement joignables dans le monde entier. Twitter, Facebook, certains services Google, ou la plateforme de blogging LiveJournal, une attaque par Déni de Service (DoS) a été très vite l'hypothèse dominante. Mais il semblerait que cette action d'envergure ne visait qu'un seul homme : un blogueur géorgien. La Russie est-elle derrière tout ça?


Hier dans l'après-midi, une envie me prend : aller sur SICW - News & Fun, hébergé chez blogger (google). On me retourne un joli "Network error". Bon pas grave, je tente alors un autre site, et google me retourne une page bloquante : ma requête ressemblerait fortement à celle d'un code malicieux. Hum, bizarre...mais google avait fait la même chose lors du "départ" de Michael Jackson. Alors où trouver plus d'informations sur un événement de moins de 10 minutes? Twitter!


Bon ça doit décidément être ma connexion internet : twitter ne répond pas non plus, pas plus que Facebook. Ça ne peut pas être lié, tous ces sites étant indépendants. Et puis je tombe sur un article sur le blog officiel de Twitter : ils sont bien victimes d'une attaque par Déni de Service (DOS). Un DoS consiste à rendre un service inopérant par n'importe quel moyen : coupure électrique, gros coup de massue sur un serveur, surcharge de demandes de connexions, ... Un DoS peut être accidentel, du à un événement mondial (Michael Jackson?) qui attire des milliers d'internautes en même temps sur un même site causant sa saturation, ou malicieux étant organisé par des pirates.

Les pirates utilisent généralement pour ce type d'attaque des botnets : une armée de PC "zombie", c'est à dire infectés par un code malicieux qui donne un contrôle total ou partiel du pirate sur la machine. Votre PC peut-être un zombie, le mien, ceux de votre entreprise ou de votre école, ... : ils se comptent en centaines de millions.
Mais il ne faut pas croire qu'il y a un "élu" qui détient tous ces zombies : ils sont répartis entre des milliers de mains. Alors qui/quoi pourrait avoir un botnet aussi énorme pour pouvoir faire tomber en même temps deux des sites internet les plus visités du monde?

Ce matin, on apprend que la cible était non pas les sites internet, mais un seul utilisateur : un certain Cyxymu, Géorgien. Facebook, Twitter, Youtube, LiveJournal, tous les services impactés répondent à l'appel. Blogueur, il a parlé des récentes tensions entre son pays et son gros voisin : la Russie (ici, là, ...). Alors peut-être que cela n'a pas plu à certains russes (citoyens ou gouvernement) et que l'on a voulu le faire taire numériquement.

Revenons au DoS. La technique utilisé est probablement un mixte entre "l'accidentel" et le "malicieux" dont nous avons parlé tout à l'heure : le Joe Job. Cette méthode consiste en un pirate (ou un groupe de hackers, peu importe) qui envoie un grand nombre de mails indésirables (spam) à des internautes lambda avec dans le message un lien vers la cible, et si possible en usurpant l'adresse mail de la cible (dit mail spoofing) afin de paraitre plus crédible (edit : Un porte-parole de Facebook a rejeté la théorie selon laquelle l'attaque a été déclenchée via une campagne de spam, Cnetfrance) . Voici le type de message reçu par les internautes :

source : cyxymu

Sur son blog (cache), le Cyxymu est direct : "Maintenant c'est clair que c'est une attaque spécialement dirigé contre moi ou les Géorgien" affirme-t'il en russe. Et de continuer : "Le spam ayant été envoyé en mon nom avec une invitation à se rendre sur mon blog, j'ai déposé une plainte au tribunal pour spam".

Voilà qui pourrait être clos, mais cependant il y a des petits trucs qui me dérangent :
1 - Comme le dit Korben : "Un peu paradoxal de vouloir faire taire un bloggeur en balançant le lien de son blog à la moitié de la planète"
2 - Pourquoi Cyxymu? Il a relativement peu de followers sur twitter (avant son attaque tout du moins), le nombre de lien qui pointent vers son blog est modeste (avant son attaque tout du moins...)...

Peut-être vais-je attirer les foudres de certains, mais si Cyxymu avait voulu faire connaitre son blog, il n'aurait pas pu mieux faire! On se rappelle l'année dernière de la réaction de la communauté internationale et de la blogophère face à la guerre éclair en Ossétie, alors quoi de mieux qu'un élan citoyen pour dénoncer la censure d'un blog géorgien?

Et même si Cyxymu montre du doigt explicitement la Russie, je reste extrêmement sceptique.

A lire :
- Twitter, Facebook attack targeted one user (CNet)
- Ils ont voulu faire taire Cyxymu (Korben)
- Fatigué des attaques DDOS (mirBlog)
- High Tech: la cyber-attaque de Twitter viendrait de Russie (Blogparfait)