Attaques en série contre les banques américaines
Des hackers ont piraté les systèmes informatiques de Wells Fargo, US Bancorp, PNC Financial Services Group, Citigroup, Bank of America et JPMorgan Chase. Prolexic, spécialisée dans la prévention des attaques par déni de service, a mis en garde contre une menace croissante d'attaques sophistiquées.
La vague de cyberattaques qui a frappé une demi-douzaine de banques américaines a diminué au cours de la semaine, mais cette démonstration de force montre qu'un affinage prudent de ces techniques destructives pourrait continuer à leur causer bien du tracas.
En attendant, les frappes lancées contre des institutions comme Wells Fargo, US Bancorp, PNC Financial Services Group, Citigroup, Bank of America et JPMorgan Chase ont provoqué la colère des clients qui tentaient de se connecter à leurs sites pour utiliser leurs services bancaires habituels.
« Les sites web utilisés par les clients représentent une petite partie des systèmes bancaires très complexes, parfois constitués de milliers d'applications de back-office qui sont la proie des attaquants », a déclaré Scott Hammack, PDG de Prolexic, une entreprise basée en Floride, spécialisée dans la prévention des attaques par déni de service distribué (DDOS).
« Les assaillants ont bien fait leur travail contre ces grandes entreprises », a-t-il ajouté. « Ils ont trouvé de nombreux points faibles, et leurs attaques sont très axées sur les maillons faibles ».
6 à 8 différents types d'attaques
Prolexic est dans une position idéale pour observer ces actes de piratage. Les institutions financières hackées la semaine dernière sont ses clients, bien que des accords de confidentialité passés avec eux empêchent l'entreprise de les nommer directement, a déclaré Stuart Scholly, son président.
Les attaques ont consommé jusqu'à 70 Gbps de bande passante, bien au-delà des circuits de 1 Gbps à 10Gbps que les grandes entreprises ont tendance à louer. « Il y a très peu d'entreprises qui peuvent se permettre d'acheter ce type de bande passante », a-t-il précisé.
Quelques minutes après le début de l'attaque, les systèmes des noms de domaines (DNS -Domain Name System) et le protocole BGP (Border Gateway Protocol) qui sert de table de routage pour différents équipements ont été utilisés , puis redirigés dans les centres de calcul de Prolexic à Londres, Hong Kong, San Jose (en Californie) et à Ashburn (Virginie).
Le trafic corrompu a été épuré, tandis que celui-ci non hacké a été transmis aux clients. Ainsi que l'ont montré les incidents de la semaine dernière, cela ne signifie pas dans tous les cas qu'un site soit immédiatement rétabli. Les pirates utilisent entre six à huit différents types d'attaques provenant de petites armées d'ordinateurs infectés.
Les botnets sont souvent situés aux États-Unis et en Chine, des pays qui comptent un grand nombre d'ordinateurs sans mises à jour des correctifs, ce qui les rend vulnérables et permet aux pirates d'installer des boîtes à outils DDOS.
Des difficultés pour bloquer les hackers
Dans un communiqué récent Prolexic a mentionné l'un de ces outils qu'il a baptisé « itsoknoproblembro », en refusant de dire si cette boîte avait été utilisée dans les attaques de la semaine dernière. Les pirates prennent des mesures pour faire en sorte que chaque attaque informatique par botnets soit différente.
Prolexic tente d'identifier un ordinateur attaquant avec sa «signature» ou un ensemble de caractéristiques qui en font quelque chose d'unique. Mais si ces paramètres varient au fil du temps, il est plus difficile de bloquer une attaque.
La vaste gamme d'adresses IP utilisées par les banques renforce la difficulté des systèmes de défense, alors que les pirates essaient différentes techniques d'attaque contre les applications et les ports, le test de latence, ou le temps qu'il faut aux systèmes bancaires pour répondre.
« Ce n'est pas comme si l'on protégeait sa mère ou le magasin ABC avec une seule adresse IP et une paire de ports », a estimé le patron de Prolexic. Les dirigeants de la firme ne veulent pas spéculer sur les motivations des attaques ou sur ce que le groupe de hackers a fait, mais Scott Hammack indique qu'il se sent «frustré quand les utilisateurs déclarent que c'est une attaque muette réalisée par un gamin dans un appartement de Brooklyn ».
