Cette nouvelle campagne de l’opération PowerOff aura-t-elle un impact sur la période des fêtes de fin d’année, traditionnellement propice aux attaques par déni de service distribué (DDoS) ? C’est le vœu (pieux ?) formulé mercredi par l’agence Europol, qui annonce la conclusion d’une première salve d’investigations dans le cadre d’une procédure visant à restreindre l’accès aux services en ligne facilitant la mise en œuvre de ces attaques.

27 sites hors ligne : « stressers » et « booters »

Au terme d’une enquête menée dans quinze pays, Europol annonce avoir saisi et placé hors ligne 27 sites hébergeant des outils susceptibles d’alimenter un déni de services. Plusieurs de ces sites avaient pourtant pignon sur rue, à l’image de ZDStresser.net, qui revendiquait près de 50 000 utilisateurs enregistrés et affichait très ouvertement ses statistiques d’utilisation.

Comme son nom le suggère, ce site appartient (ou appartenait) à la catégorie des « stressers », des services en ligne officiellement conçus pour des usages licites en cybersécurité. En l’occurrence, le test de résistance ou de résilience d’une infrastructure informatique, notamment face à un afflux soudain de requêtes, comme dans le cadre d’une attaque par déni de service.

En août dernier, ZDStresser affirmait avoir permis la réalisation de 5,7 millions d’attaques, à partir d’une infrastructure constituée de 21 serveurs. Le site commercialisait sur abonnement la mise à disposition de ses outils – permettant de choisir la méthode de l’attaque, la couche du modèle OSI visée et, bien sûr, l’intensité de la vague.

S’il est légitime d’utiliser un tel outil pour tester sa propre infrastructure, il est sans surprise illégal, dans la plupart des pays, de l’employer en direction d’un site tiers. Une utilisation que facilitaient pourtant 18 des sites saisis par les forces de l’ordre d’après Europol. Ceux-ci sont rangés dans la catégorie des « booters », des intermédiaires qui, en simplifiant, louent des capacités informatiques (qu’elles émanent de services cloud ou de botnets, des machines individuelles infectées par un malware) pour lancer des attaques par déni de service.

Outre les trois administrateurs arrêtés, en France et en Allemagne, Europol indique que l’opération a permis d’identifier 300 utilisateurs ayant recouru à l’un ou l’autre des services DDoS proposés.

« La période des fêtes est depuis longtemps une période de pointe pour les hackers qui lancent certaines de leurs attaques DDoS les plus perturbatrices, causant de graves pertes financières, des atteintes à la réputation et un chaos opérationnel pour leurs victimes », commente l’agence européenne. Elle avance des motivations diverses, « allant du sabotage économique et du gain financier aux raisons idéologiques, comme le démontrent des collectifs hacktivistes tels que Killnet ou Anonymous Sudan ».

Une campagne de prévention

La démarche européenne présentée ici s’inscrit dans le cadre d’un plus vaste programme de lutte contre les outils facilitant la réalisation d’attaques DDoS. Baptisé Operation PowerOff, il associe les forces de l’ordre nationales et européennes, mais aussi le FBI américain et plusieurs grands acteurs spécialisés dans l’hébergement comme Akamai ou Cloudflare.

Cette action coordonnée avait été mise au jour en 2018, au terme d’une première salve d’arrestations qui avait permis de mettre hors ligne, aux États-Unis, une cinquantaine de sites spécialisés dans les attaques DDoS, avant de conduire à des poursuites judiciaires en 2022.  

Au terme de cette nouvelle opération, les forces de l’ordre annoncent qu’elles entreprennent, en parallèle de leurs investigations, une campagne de prévention visant à alerter les internautes enclins à tester les outils dédiés aux DDoS des risques inhérents à ce genre de pratiques.

« La campagne met en évidence les conséquences des attaques DDoS et ciblera les contrevenants potentiels là où ils sont les plus actifs : en ligne », indique Europol. Le budget consacré à cette campagne, qui sera diffusée sous la forme de publicités sur Google et YouTube, n’a pas été communiqué.