Des joueurs au monde virtuel Second-Life ont été pris à partie dans le cadre d'une vengeance numérique. Certains d'entre-eux ont été utilisés à leur insu pour lancer des attaques en déni de service à l'encontre d'un site web Internet.
Afin d'accéder à Second-Life, un joueur doit installer un logiciel sur sa machine : Outre les clients (ou "Viewers") distribués par Lindens Labs ; société ayant développé Second-Life ; il est possible d'utiliser des Viewers développés par des société tierces.
C'est justement au niveau de l'un de ces clients tiers que le problème est survenu.
Le client "Emerald Viewer"
Ce client alternatif appelé "Emerald Viewer", est semble-t-il particulièrement utilisé par les joueurs de Second-Life. Ce logiciel est développé par la société Modular Systems qui semblerait liée d'une façon ou d'une autre avec Linden Labs, société à l'origine de Second-Life.
Selon les informations présentes sur le site du Alpha Ville Herald, un site dédié à l'analyse des comportements dans les monde virtuels comme Second-Life, tout aurait commencé par des suspicions de diffusion d'informations personnelles pour les personnes utilisant le ce client "Emerald Viewer".
Ce serait suite à ces allégations, qu'une personne de Modular Systems ait décidé de modifier la page d'accueil affiché lors de la connexion au "Emerald Viewer" de façon à générer un très grand nombre de requêtes HTTP à l'encontre de l'oiseau de la personne ayant proféré ces accusations.
Attaque via du code HTML modifié
Toujours selon les screenshots (ici et ici) publiés dans cet article
du site "Alpha Ville Herald", il est assez clair que le code HTML de la
page d'accueil a été modifié de façon à ce que tout joueur se
connectant va génèrer automatiquement 32 requêtes web vers le site
http://iheartanime.com/. En 3 jours, près de 16 millions de requêtes
auraient ainsi été générées.
Le tout est bien évidemment caché aux
yeux des joueurs agissant à l'insu de leur plein gré : tout est masqué
via des techniques html standard (balise iframes intégré à une balise
div invisible de 1 pixel sur 1 pixel).
Explications assez floues de la part de Modular Systems
Les
explications données par Modular Systems sur ces évènements sont assez
floues. Ce que l'on sait pour c'est que l'un des principaux développeurs
(connu sous le pseudonyme de Fractured Crytal) aurait reconnu, dans ce post
sur le blog de Modular Systems, être l'auteur de la modification de la
page d'accueil et qu'il a décidé de se retirer du projet en le confiant
aux autres personnes. Par ailleurs, il indique ne pas avoir au comme la
volonté de provoquer un DDoS.
Ce que j'en retiens c'est que cette histoire n'est pas claire du tout...
Que faut-il en retenir ?
Toute
société ayant un site Internet pour lequel le nombre de visites est
important, peut être une cible intéressante. En effet, si un attaquant
est en mesure de modifier le code des pages, il aura ainsi à sa
disposition un système d'amplification naturel à sa disposition.
Bien
sur, l'attaquant pourra utiliser à d'autres fins cette capacité de
modifier le code des pages afin d'en modifier le contenu, de diffuser
des codes d'attaques ou tout autre attaque de son choix.
La mise en
place d'un système de surveillance de l'intégrité de ses pages web est
donc à considérer. Certains services en ligne permettent de superviser
cela à distance, on peut aussi le faire facilement via un petit script.
Comment détecter que l'on est victime d'une attaque de ce type ?
Le
premier mécanisme de détection est assez simple : Un nombre
anormalement élevé de de requêtes est un signe annonciateur que
quelque-chose se trame. Mais les faux positifs sont possibles.
Un
système plus fiable s'appuierait sur une analyse des logs du serveur web
afin de détecter un nombre de hits trop important provenant d'un seul
et même "referrer".