Europol fait peser la pression sur les acheteurs de DDoS

Les forces de l’ordre européennes ont ouvert une nouvelle phase dans leur campagne contre les opérations de déni de service distribué à louer, en allant au-delà des démantèlements d’infrastructures pour contacter directement les clients présumés. Dans une action coordonnée annoncée par Europol, les autorités ont indiqué avoir envoyé des courriels et des lettres d’avertissement à plus de 75 000 personnes soupçonnées d’avoir payé des services utilisés pour mettre des sites hors ligne.

L’opération, menée sous la bannière PowerOFF, a également inclus quatre arrestations, 53 saisies de domaines et 24 mandats de perquisition. L’ampleur compte en soi, mais la méthode est peut-être le signal le plus important. Plutôt que de se concentrer uniquement sur les personnes qui exploitent les services dits booter ou stresser, les enquêteurs utilisent désormais les données de serveurs saisis pour identifier les utilisateurs enregistrés derrière ces attaques.

Cela fait de cette dernière offensive répressive bien plus qu’une simple opération de nettoyage. C’est aussi une campagne de dissuasion visant le côté demande de l’économie du DDoS, où de faibles barrières à l’entrée ont longtemps contribué à maintenir ces services en vie.

Pourquoi les services de DDoS à louer restent difficiles à éradiquer

Les attaques DDoS ne sont pas nouvelles, mais elles restent attractives parce qu’elles sont relativement faciles à lancer et souvent très perturbatrices. Un client n’a pas besoin de compétences avancées en intrusion, de sa propre infrastructure de botnet ou de connaissances techniques approfondies. Moyennant paiement, un service peut offrir la capacité d’inonder une cible de trafic et de saturer les systèmes jusqu’à rendre un site web, une application ou un service en ligne indisponible.

Cette facilité a contribué à la résilience du marché, même si les forces de l’ordre ont à plusieurs reprises démantelé des opérateurs. Europol a indiqué que la dernière action a été rendue possible parce que les autorités ont perquisitionné et saisi des serveurs liés à ces services, donnant aux enquêteurs accès à des registres pouvant servir à identifier les utilisateurs. C’est cette preuve côté serveur qui a permis une campagne de sensibilisation inhabituelle auprès d’un si grand nombre de clients présumés.

La tactique reflète une vérité pratique de la lutte contre la cybercriminalité : l’infrastructure peut être reconstruite, les domaines peuvent être remplacés et les opérateurs peuvent réapparaître sous de nouvelles marques. Mais si la clientèle commence à percevoir ces plateformes comme peu sûres, le modèle économique devient plus difficile à maintenir.

Photo illustration of Dario Amodei of Anthropic.
More in News

Anthropic dépose confidentiellement pour lancer le processus d’introduction en bourse

Anthropic indique avoir soumis une ébauche de déclaration d’enregistrement à la Securities and Exchange Commission des États-Unis, lançant ainsi le processus vers une cotation publique.

Read article

Un message conçu pour renchérir l’abus opportuniste

Les avertissements directs semblent viser un segment important du marché du DDoS à louer : des personnes qui ne se considèrent peut-être pas comme des cybercriminels au sens conventionnel. Ces services ont souvent été utilisés dans des campagnes de harcèlement, de représailles, de conflits liés aux jeux vidéo et de perturbations peu sophistiquées. Leur attrait a toujours reposé en partie sur la distance. L’acheteur clique, paie et traite le résultat comme une mauvaise plaisanterie externalisée plutôt que comme une infraction traçable.

La démarche d’Europol vise à réduire cette distance perçue. En contactant individuellement les utilisateurs présumés, les autorités disent en substance qu’une saisie de plateforme n’expose pas seulement les opérateurs. Elle peut aussi exposer les clients.

Cela importe, car l’effet dissuasif peut dépasser les 75 000 personnes contactées. Le public plus large est constitué de quiconque pourrait être tenté d’utiliser un service DDoS commercial parce qu’il semble facile, anonyme et peu risqué. L’opération suggère que ces hypothèses sont de plus en plus dépassées.

Le contexte plus large de la cybersécurité

L’action des autorités intervient dans un contexte de croissance continue de l’ampleur des incidents DDoS. L’annonce d’Europol a cité une catégorie de menace qui reste courante car elle peut provoquer une perturbation immédiate avec relativement peu d’efforts. La pression sur les défenseurs n’a cessé d’augmenter. L’an dernier, Cloudflare a déclaré avoir atténué ce qu’elle a décrit comme la plus grande attaque DDoS jamais enregistrée, avec un pic à 29,7 térabits par seconde.

Ce chiffre souligne la nature duale du paysage DDoS. D’un côté, il y a les attaques massives impliquant des déferlements de trafic à l’échelle industrielle. De l’autre, des services commercialisés qui rendent la capacité d’attaque accessible à des clients beaucoup moins sophistiqués. Ces derniers ne génèrent pas toujours des volumes records, mais ils élargissent le nombre de personnes capables de transformer la perturbation en arme.

Pour les organisations qui protègent des infrastructures accessibles au public, cela signifie que la menace ne se limite pas à des acteurs d’élite. Elle inclut aussi un marché de masse rendu possible par des services d’attaque bon marché et packagés.

I put my smart TV setup behind a router-based VPN and never looked back - here's why
More in News

L’usage d’un VPN sur les Smart TV devient un enjeu de sécurité du réseau domestique

Un VPN basé sur le routeur pour les Smart TV est présenté non seulement comme un moyen d’accéder au streaming, mais aussi comme une façon de réduire l’exposition des données sur l’ensemble des appareils connectés du foyer.

Read article

Une étape d’une campagne plus longue

PowerOFF n’est pas une action isolée. Le FBI et d’autres agences ont mené plusieurs opérations contre des services de DDoS à louer ces dernières années, et la dernière annonce d’Europol s’inscrit dans ce schéma de pression transfrontalière soutenue. Le défi récurrent est que ces plateformes se situent à l’intersection d’un hébergement standardisé, de canaux de paiement, de domaines jetables et d’une clientèle potentiellement répartie dans le monde entier.

C’est pourquoi la coordination internationale reste essentielle. Un service peut être administré dans un pays, hébergé dans un autre, commercialisé via des domaines enregistrés ailleurs et utilisé par des clients dans des dizaines de juridictions. Une réponse fragmentée laisse trop de brèches. La dernière action montre que les autorités continuent de combler ces lacunes par des enquêtes conjointes et des démantèlements synchronisés.

Ce que l’opération change

Le résultat le plus notable n’est peut-être pas le nombre d’arrestations ni le nombre de domaines saisis, bien que les deux soient importants. Il peut s’agir du précédent de la notification à grande échelle. Saisir une infrastructure est perturbateur. Avertir des utilisateurs identifiés est à la fois une mesure psychologique, juridique et stratégique.

  • Elle indique aux acheteurs présumés que leurs activités sont peut-être déjà connues des autorités.
  • Elle accroît le risque réputationnel et juridique d’utiliser ces services à l’avenir.
  • Elle signale que les enquêtes s’étendent des opérateurs de plateformes à des écosystèmes entiers.

Reste à savoir si cela réduira sensiblement la demande. Les marchés de la cybercriminalité ont l’habitude de s’adapter. Mais l’opération montre que les forces de l’ordre s’adaptent elles aussi, en utilisant les renseignements tirés des saisies non seulement pour poursuivre les organisateurs, mais aussi pour fragiliser la confiance des clients qui fait vivre le marché.

Pour les entreprises, institutions et plateformes en ligne qui continuent de subir des inondations de trafic perturbatrices, ce changement mérite d’être surveillé. La lutte contre les abus de DDoS ne consiste plus seulement à mettre des services hors ligne. Elle vise de plus en plus à convaincre les clients potentiels que commander une attaque n’est ni privé ni sans conséquence.

Cet article s’appuie sur un reportage de TechCrunch. Lire l’article original.

NVIDIA
More in News

NVIDIA dévoile RTX Spark pour pousser les PC IA encore plus loin sur Windows

NVIDIA a présenté RTX Spark, une puce Windows basée sur Arm qui, selon elle, peut offrir jusqu’à 1 petaflop de performances IA pour les ordinateurs portables et les bureaux compacts.

Read article

Originally published on techcrunch.com