Dans certains pays, on a compris que le déni de service pouvait faire taire les opposants. L’actualité nous offre deux exemples intéressants à mettre en perspective :
- le 2 novembre dernier, la presse se faisait l’écho d’une attaque contre un site web de défenseurs des droits de la tribu des Papous, en Indonésie. Le site venait juste de mettre en ligne une vidéo qui montrait des soldats indonésiens perpétrer des actes de torture sur des Papous. Sous l’effet de cette attaque, le site a été rendu indisponible pendant au moins 5 jours ;
- le 3 novembre, SecureWorks révélait l’existence d’un botnet prenant systématiquement pour cible les sites web d’opposants au régime communiste vietnamien. Ce botnet, qui serait constitué d’environs 15.000 machines, serait basé sur le cheval de Troie Vecebot, et réaliserait des attaques contre les forums et les blogs d’opposants au régime. Un groupe de hackers pro-communistes aurait revendiqué les attaques, selon Joe Stewart.
Le déni de service politique, commandité par un Etat, semble donc en voie de banalisation. Une alternative intéressante lorsque le contenu à censurer échappe aux infrastructures informatiques sous l’autorité du censeur. Ce constat est d’autant plus préoccupant qu’un chercheur en sécurité affirme avoir découvert une nouvelle méthode de déni de service contre les serveurs Web : fonctionnant à peu de choses près comme l’outil Slowloris, qui avait à l’époque fait beaucoup de dégats, ce procédé s’appuie sur l’envoi très lent de données dans une requête POST. Le chercheur déclare même que contrairement à Slowloris, les serveurs d’équilibrage de charge ne pourront cette fois rien faire pour repousser l’attaque ; c’est, dit-il, le protocole HTTP lui-même qui est cassé.
En attendant que ce chercheur dévoile les détails de son attaque lors de la très prochaine conférence de l’OWASP, les dénis de service ont encore de beaux jours devant eux.