Power Off : voilà le nom qui a été donné à l’opération d’envergure conduite à la fin avril par plusieurs unités de police pour mettre hors d’état de nuire ce qui est présenté par Europol comme « le plus gros service commercialisant des services d’attaque DDOS au monde ». L’action des forces de l’ordre a permis de neutraliser le site web avec la saisie de son nom de domaine, et d’interpeller plusieurs suspects.
une attaque par déni de service distribuée consiste à submerger un serveur par un très grand nombre de requêtes, de sorte qu’il ne puisse plus les traiter correctement. Les sites hébergés par le serveur deviennent alors inaccessibles pendant un temps, tant que l’attaque dure ou jusqu’à ce qu’arrivent des contre-mesures.
Conduite par les forces de l’ordre néerlandaises et britanniques, l’opération Power Off a impliqué des agents allemands, américains, australiens, canadiens, croates, espagnols, hongkongais, italiens et serbes,
C’est au Canada, en Croatie, au Royaume-Uni et en Serbie que l’interpellation des administrateurs présumés a eu lieu, tandis que la saisie du nom de domaine est survenue aux USA. Quant à l’infrastructure elle-même, le communiqué de presse précise que des perquisitions ont été menées en Allemagne, aux Pays-Bas et en Amérique.
L’adresse en question utilisait en effet une adresse se terminant avec l’extension .org, qui est gérée par Public Interest Registry, une structure sise aux États-Unis. Armées d’un mandat validé par la justice américaine, les autorités ont donc pu procéder à la prise de contrôle de l’URL (webstresser.org), dont la page d’accueil a été modifiée par la police de façon à expliquer que le site est désormais inopérant.
Le principe schématisé d'une attaque DDOS
Source : Nasanbuyn
Selon Europol, WebStresser comptait plus de 136 000 utilisateurs enregistrés et a servi à mener plus de 4 millions d’attaques. « Les attaques orchestrées visaient des services essentiels offerts par les banques, les institutions gouvernementales et les forces de police, ainsi que l’industrie du jeu vidéo », ajoute le bureau de coopération policière en Europe.
Le succès de WebStresser s’explique en partie par son coût d’accès relativement bon marché : pour 15 euros par mois, ce qui est à peine plus cher qu’un abonnement à un service de streaming ou de jeu vidéo en ligne, des particuliers n’étant pas dotées de connaissances techniques particulières avaient la possibilité de lancer des attaques DDOS contre la cible de leur choix.
Lourdes sanctions en France
En France, l’attaque DDOS peut avoir de graves conséquences judiciaires. Le Code pénal, à travers son article L323-2 , prévoit jusqu’à 5 ans de prison et 150 000 euros d’amende pour toute personne entravant le fonctionnement d’un système de traitement automatisé de données. Et quand elle vise un système de l’État, les sanctions passent à 7 ans de prison et 300 000 euros d’amende.
Ces sanctions n’incluent évidemment pas les dommages et intérêts que les victimes de l’attaque pourraient réclamer, au titre du préjudice, notamment matériel.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
