La mer est agitée. Le vent souffle. Mon site passe un cap. Et ce n’est pas la lecture des statistiques qui m’a permis de m’en rendre compte. Je n’ai que peu d’intérêt à la popularité. Non, l’indicateur le plus flagrant a été l’alerte de mon hébergeur concernant les attaques de type DDoS. Il est vrai que je n’ai pas encore détaillé ce type d’attaque. Je vais réparer cette erreur.
DDoS fait parti du trio de la ligue des méchants de l’informatique. Son nom signifie Distributed Denial of Service ou Déni de Service Distribué. Il s’agit d’un type d’attaque destiné à saturer un site internet afin que celui-ci ne réponde plus. L’idée est donc de saturer en requête un site/service Internet. Pour cela, l’attaque agit comme un client standard. Il interroge le service.
L’attaque
Jusque là, rien d’anormal. Mais avant d’avoir une réponse, le pirate envoie une nouvelle requête, toujours pour obtenir la même page. C’est la répétition de requêtes qui est qualifiée de DoS. Si cette attaque provient de plusieurs machines coordonnées, alors elle est qualifiée de distribuée : DDoS.
Quitte à attaquer un serveur, autant aussi rechercher ses failles. Les attaquants ont alors plusieurs stratégies. La première est d’interroger la page d’administration. Ne connaissant pas le mot de passe, ils vont essayer les identifiants les plus classiques : admin/admin, admin/123456, …
En parallèle, ils essaient d’exploiter des faiblesses connues. Un classique est d’interroger une interface de développement. Cela peut fonctionner si l’administrateur est très distrait. Les lamers et les script kiddies lancent donc des scripts de failles connues. Sur un malentendu, ça peut passer.
La conséquence
Devant le trop grand nombre de demandes, le serveur ne peut plus répondre. Le postier ne peut se cloner à l’infini pour traiter chaque demande. Le service n’est alors plus rendu pour les requêtes légitimes.
Des failles de sécurité peuvent apparaître dans certains cas. Ainsi, il est possible d’obtenir les droits d’administrateurs sur le serveur lorsqu’il s’écroule. Une autre utilisation est de se faire passer pour le serveur légitime qui lui est paralysé et récupérer les informations de ses clients.
La raison
Dans le cas de mon site, les attaquants ne cherchent pas à le faire tomber. Non, ils veulent juste trouver une faille pour l’exploiter à leur compte. Plus un site attire du public et plus son propriétaire sera à même de payer pour en retrouver le contrôle.
Dans le cas de sites de commerce, l’attaque a des conséquences économiques pour l’entreprise. C’est donc un moyen de se débarrasser de la concurrence ou de réclamer des rançons plus élevées.
Les parades
Il est difficile pour un professionnel de suivre l’ensemble des failles existantes et leurs correctifs. Alors pour un amateur, cela m’est impossible. Pourtant, ils n’ont jamais atteint leur but, pour l’instant.
Et la raison est simple. Il existe un minimum de logiciels à installer pour limiter ce type d’attaques. Il faut aussi penser à mettre à jour tous les logiciels. Cela tient de l’hygiène numérique. Le pirate numérique ou le covid, même combat.
Une autre parade est le firewall. De bonnes règles bloqueront ce type d’attaque. Mais cela peut ne pas suffire. Dans ce cas, mon hébergeur propose la mitigation. Le principe est identique au firewall mais sur une machine bien plus puissante. Les attaquants ne peuvent alors passer ce nœud en amont du serveur attaqué.
Et pour mon site
Je reste cependant prudent. Un jour, ils prendront peut-être le contrôle de ce blog et feront la promotion des néo-nazis turcs. Au mieux, pour l’instant, ils ont réussi à faire régresser mon logiciel de gestion du blog. Cela m’a obligé à le réinstaller.
Bravo les champions, vous avez récupéré mon adresse électronique et vous pouvez désormais me bombarder de spams. En fait, mon adresse est publique, et je reçois quotidiennement des messages d’arnaques. J’ai bien vu passer votre complément.
Ce qui m’étonne le plus est cet acharnement à chercher à pénétrer un site peu connu. Vous avez bien vu que je ne stocke aucune donnée client. Il s’agit d’un simple Blog. Alors pourquoi continuer quotidiennement ?
Je suppose que Minus et Cortex recommenceront demain. Il va falloir que j’investisse dans un piège à rongeur plus efficace.