Attaques sur les banques américaines, une offensive iranienne ?

Selon le New York Times, les banques américaines ont fait l’objet de nombreuses attaques en déni de service commanditées par l’Iran. Selon James A. Lewis, «ancien officiel des ministères d’Etat et du Commerce et expert en sécurité informatique au Centre d’études internationales et stratégiques à Washington», il ne fait «aucun doute pour le gouvernement américain que l’Iran est derrière ces attaques ». Et d’affirmer que les volumes de trafic utilisés pour noyer les services en ligne des banques américaines sont de «nombreuses fois supérieurs» à ceux qui avaient été utilisés en 2007 pour paralyser les systèmes d’information en Estonie. Carl Herberger, vice-président de Radware, affirme quant à lui que «l’échelle, le périmètre et l’efficacité de ces attaques n’ont pas d’équivalent». 

Pas question toutefois, ici et une fois de plus, d’avancer de preuve des accusations. Toutefois, selon nos confrères, le «niveau de sophistication» et le fait que l’attaque vise plus l’indisponibilité de service que l’argent sont «des signes d’attaques commanditées par un état ». Ce qui ne manque pas de faire tiquer Dan Kaplan, de l’équipe éditoriale de SC Magazine : pour lui, l’article de nos confrères du New York Times «a l’air de n’être rien de plus qu’une fabrication de l’appareil de relations publiques massif du Pentagone [...] de la propagande fabriquée pour faire peur ». Et la question lui apparaît d’autant plus importante que l’on parle là de l’Iran : «il semble qu’aucune leçon n’a été retirée depuis le moment où, il y a dix ans, les médias se sont joints au Président Bush et à la plupart des parlementaires pour affirmer qu’il fallait envahir l’Irak parce qu’il disposait d’armes de destruction massive.» 

Des remarques qui n’enlèvent toutefois rien à l’originalité de l’opération. Dans un billet de blog, Ronen Atlas, d’Incapsula, explique avoir trouvé plus ou moins par hasard l’une des machines compromises utilisées dans le cadre de ces attaques en déni de service : «un site Web britannique, de nos clients, petit et d’intérêt général, apparemment inoffensif.» Mais celui-ci a soudain été l’objet de «nombreuses requêtes avec une charge utile comportant du code PHP ». Des requêtes qui n’étaient autres que des «tentatives d’activation d’une porte dérobée pour utiliser le site Web comme un bot ». De fait, les opérateurs du botnet utilisée pour les attaques auraient exploité du code PHP conçu pour «lancer des attaques flood en HTTP et UDP contre de nombreuses banques américaines, dont PNC, HSBC, et Fifth Third Bank ». L’analyse du code a montré l’intégration de fonctionnalités de partage du temps, «ce qui nous a conduit à penser que nous étions en train de surveiller les activités d’un botnet ouvert à la location », explique Ronen Atlas. 

Pas une surprise en soi, mais «le code de déni de service est conçu pour se multiplier et tirer profit des pleines capacités du serveur» et la porte dérobée «a été contrôlée en utilisant une API utilisant l’environnement PHP du serveur pour injecter du code d’attaque dynamique, ce qui permet à l’attaquant de s’adapter très rapidement aux changements de la sécurité du site Web ». Derrière, Incapsula est remonté jusqu’au site Web d’un designer Web turc qui semble avoir été compromis et utilisé comme centre de contrôle du botnet.