Une cyberattaque majeure, c’est ce que viennent de subir les plus grands sites de la planète. Après le moteur de recherche Yahoo mardi, d’autres serveurs réputés sont venus allonger la liste des victimes: CNN.com, e-Trade (transactions boursières), la librairie Amazon.com et le supermarché en ligne Buy.com.
Les serveurs sont tombés pendant quelques heures, assez longtemps pour perdre des millions en revenus publicitaires et en marges de vente, avant de redémarrer plus ou moins normalement. Le FBI enquête sur ces attaques, dont on soupçonne qu’elles proviennent d’un groupe organisé.
Pour faire flancher les serveurs, les pirates utilisent une technique classique: il s’agit de submerger la machine de requêtes qui ne peuvent être satisfaites. Dans le cas précis, c’est la commande Ping, bien connue des utilisateurs d’Unix, qui a été employée.
En fonctionnement normal, Ping s’utilise pour tester si une machine répond, autrement dit si elle est «vivante» sur le réseau. Un petit paquet de données est envoyé à la cible, qui renvoie à son tour un autre petit paquet à l’expéditeur en guise de confirmation, façon tennis de table.
La ruse consiste à envoyer un Ping en falsifiant l’adresse de l’expéditeur. L’ordinateur ou le routeur contacté va ensuite essayer à plusieurs reprises de répondre à une adresse inexistante, ce qui va générer un retard (on parle de «latence») dans le traitement des informations.
Pour surcharger la victime, il suffit de multiplier les signaux Ping non-identifiés par un facteur énorme. Les latences cumulées vont alors ralentir considérablement le serveur – ou le routeur qui le relie au réseau -, tandis que les paquets de tests feront saturer la ligne de connexion.
Les adresses de provenance des signaux étant falsifiées, il est très difficile d’identifier l’origine de l’attaque. Les ingénieurs de Yahoo ont expliqué à la presse que la quantité impressionnante de requêtes fictives sont arrivées si rapidement qu’il leur a été impossible de rediriger le trafic vers un autre serveur. Le diagnostic est le même pour les autres serveurs. Les entreprises visées ont cependant pu rétablir la situation en quelques heures.
Les informaticiens du FBI sont à pied d’oeuvre. Ils connaissent bien le dossier: le site du bureau d’investigation fédéral américain avait lui-même été attaqué de la même manière en automne dernier.