Vous connaissez le principe de l'attaque par déni de service (DoS) ? Des clients envoient vers un serveur un maximum de requêtes, jusqu'à ce qu'il s'effondre sous la charge.
 
 Ce style d'attaque, au principe simple et efficace, a une faiblesse : il nécessite une large base de clients pour attaquer efficacement un serveur. D'où le besoin pour l'attaquant de disposer d'un botnet (réseau de robots) : des machines qu'il contrôle, en général sans que leur propriétaire en soit conscient, lui servent à élargir son attaque.
 
 Une approche intéressante consiste à intégrer les attaques dans les liens d'une page web. Celle-ci peut en effet inclure des éléments pointant vers un autre serveur ; on peut multiplier ces éléments quasiment à volonté grâce au JavaScript -- de nombreux sites s'en servent pour charger des éléments de pages à la volée, notamment pour l'affichage de publicités, mais aussi pour la gestion d'un panier de réservation sur un site marchand, par exemple.
 
 Si un attaquant crée une page lançant une série de requêtes vers un serveur donné, il peut donc arriver à ses fins. Toute la difficulté est de convaincre un grand nombre d'internautes d'aller sur la page infectée, et d'y rester suffisamment longtemps pour être extrêmement nombreux à envoyer en même temps les attaques.
 
 Le réseau antisocial
 
 En Grèce, à l'Institut d'études informatiques (ICS) de la Fondation pour la recherche et la technologie Hellas, des chercheurs ont trouvé une solution : les réseaux sociaux. Ils réunissent des millions d'utilisateurs, lesquels restent souvent plusieurs minutes pour relever leurs messages, prendre des nouvelles ou jouer en ligne.
 
 Ils ont utilisé Facebook pour leur démonstration. La première étape est de créer une application que les utilisateurs du réseau pourront ajouter à leur page d'accueil.
 
 L'application de test, sans avoir fait de publicité particulière, a été installée par près d'un millier d'utilisateurs en cinq jours. Une application hautement populaire peut espérer plusieurs millions d'installations, et plusieurs centaines milliers d'utilisations quotidiennes ; or, le code permettant de créer une requête est très simple et peut sans soucis être intégré à n'importe quel type d'application.
 
 Selon les auteurs de ce document, une application disposant de deux millions d'utilisateurs quotidiens pourrait causer un flot de donnée représentant 23 Mbps de bande passante au serveur victime de l'attaque.
 
 En l'état, cela demande donc la création (ou l'infection) d'une ou plusieurs applications très populaires. Sans doute les attaquants potentiels obtiennent-ils de meilleurs résultats en profitant de la naïveté de ceux qui cliquent sur des liens reçus dans un spam.
 
 Néanmoins, l'approche demeure intéressante par son apparente simplicité. Verrons-nous donc des «réseaux antisociaux» dans la vraie vie ?
 
 > Transformer un réseau social en botnet, sur le site de l'ICS (PDF en anglais)

News parue sur Les Numériques