La semaine du 7 février restera dans les annales. A quelques jours d’intervalle, une dizaine de gros sites comme Amazon, Yahoo! ou CNN tombent sous les coups de boutoir d’une attaque plutôt classique. Une attaque dite ” par saturation “, ou ” denial of service ” en anglais. Son principe : bombarder un serveur de requêtes pour le saturer et l’empêcher de répondre aux internautes.
L’affaire fait grand bruit. On crie au loup. Sentant l’aubaine, les fournisseurs d’outils de sécurité s’engouffrent dans la brèche. Et les communiqués alarmants se multiplient. Mais les responsables des sites concernés, loin de minimiser les risques, ne veulent pas céder à la psychose. “Il faut savoir contre quoi l’on se prémunit. Un commerçant doit-il se garantir contre un pavé dans sa vitrine ?, interroge Damien Basselier, responsable des systèmes d’information de Bol. fr. Ce qui nous intéresse, c’est la sécurité du consommateur, du client. Si le site tombe, c’est gênant. Mais pas autant que si les données sensibles sont détériorées ou volées.”
Un bouclier souvent étanche
Or, il n’y a eu aucun piratage. Juste des nuisances. Les conséquences économiques sont restées faibles. Ces attaques ont, en général, bloqué les sites pendant plusieurs minutes, le temps de s’en rendre compte et de rediriger le trafic. Car les outils de détection de pics de trafic existent. Mais encore faut-il savoir si l’on a affaire ou non à une attaque. “Une fois, nous avons cru à une attaque par saturation, raconte Emmanuel Parody, rédacteur en chef adjoint de ZDNet. C’était simplement un utilisateur qui aspirait notre site pour son intranet. Comme nos pages sont dynamiques, les requêtes n’en finissaient pas.” Et pour compliquer encore la gestion, ces outils augmentent les temps de réponse du site. Alors, les entreprises préfèrent bien sûr se concentrer sur la qualité de service et le c?”ur du métier.
Techniquement, les responsables des sites s’estiment suffisamment armés… A la nuance près que l’attaque finit toujours par dépasser la défense. “Le projectile est toujours plus fort que le bouclier. Sur Internet, on a vocation à être ouvert. On est donc sujet aux attaques “, poursuit Emmanuel Parody.
En revanche, ils s’estiment totalement démunis sur les aspects humains. “On manque d’informations sur le droit et les recours. Dès que l’on coince un pirate, par exemple, on aimerait pouvoir l’assigner en justice vite et bien pour lui ôter l’envie de recommencer “, explique Henri Moissinac, directeur technique de iBazar. Or, il n’existe déjà pas de jurisprudence sur les intrusions. Alors, comment condamner les attaques ? La traçabilité aussi est importante. Une attaque par saturation est en effet très facile à réaliser – il suffit d’utiliser les outils de tests de charge. Le plus difficile c’est de ne pas se faire repérer. Les responsables de sites verraient donc d’un bon ?”il la diffusion d’IPV6 ou de ses capacités d’authentification. D’aucuns militent aussi pour la certification des hébergeurs. “Mais seuls les assureurs peuvent définir des critères qui feraient référence sur la sécurité d’un prestataire “, note Damien Basselier, de BOL. Au-delà du battage médiatique, l’affaire des attaques par saturation aura donc eu le mérite de sortir le débat du terrain technique
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.