Second-Life : Des joueurs impliqués à leur insu dans une attaque en DDoS ?

Publié le 24 août 2010 par Orangebusinessservices
Des joueurs au monde virtuel Second-Life ont été pris à partie dans le cadre d'une vengeance numérique. Certains d'entre-eux ont été utilisés à leur insu pour lancer des attaques en déni de service à l'encontre d'un site web Internet.
Afin d'accéder à Second-Life, un joueur doit installer un logiciel sur sa machine : Outre les clients (ou "Viewers") distribués par Lindens Labs ; société ayant développé Second-Life ; il est possible d'utiliser des Viewers développés par des société tierces.
C'est justement au niveau de l'un de ces clients tiers que le problème est survenu.
Le client "Emerald Viewer"
Ce client alternatif appelé "Emerald Viewer", est semble-t-il particulièrement utilisé par les joueurs de Second-Life. Ce logiciel est développé par la société Modular Systems qui semblerait liée d'une façon ou d'une autre avec Linden Labs, société à l'origine de Second-Life.
Selon les informations présentes sur le site du Alpha Ville Herald, un site dédié à l'analyse des comportements dans les monde virtuels comme Second-Life, tout aurait commencé par des suspicions de diffusion d'informations personnelles pour les personnes utilisant le ce client "Emerald Viewer".
Ce serait suite à ces allégations, qu'une personne de Modular Systems ait décidé de modifier la page d'accueil affiché lors de la connexion au "Emerald Viewer" de façon à générer un très grand nombre de requêtes HTTP à l'encontre de l'oiseau de la personne ayant proféré ces accusations.
Attaque via du code HTML modifié
Toujours selon les screenshots (ici et ici) publiés dans cet article du site "Alpha Ville Herald", il est assez clair que le code HTML de la page d'accueil a été modifié de façon à ce que tout joueur se connectant va génèrer automatiquement 32 requêtes web vers le site http://iheartanime.com/. En 3 jours, près de 16 millions de requêtes auraient ainsi été générées.
Le tout est bien évidemment caché aux yeux des joueurs agissant à l'insu de leur plein gré : tout est masqué via des techniques html standard (balise iframes intégré à une balise div invisible de 1 pixel sur 1 pixel).
Explications assez floues de la part de Modular Systems
Les explications données par Modular Systems sur ces évènements sont assez floues. Ce que l'on sait pour c'est que l'un des principaux développeurs (connu sous le pseudonyme de Fractured Crytal) aurait reconnu, dans ce post sur le blog de Modular Systems, être l'auteur de la modification de la page d'accueil et qu'il a décidé de se retirer du projet en le confiant aux autres personnes. Par ailleurs, il indique ne pas avoir au comme la volonté de provoquer un DDoS.
Ce que j'en retiens c'est que cette histoire n'est pas claire du tout...
Que faut-il en retenir ?
Toute société ayant un site Internet pour lequel le nombre de visites est important, peut être une cible intéressante. En effet, si un attaquant est en mesure de modifier le code des pages, il aura ainsi à sa disposition un système d'amplification naturel à sa disposition.
Bien sur, l'attaquant pourra utiliser à d'autres fins cette capacité de modifier le code des pages afin d'en modifier le contenu, de diffuser des codes d'attaques ou tout autre attaque de son choix.
La mise en place d'un système de surveillance de l'intégrité de ses pages web est donc à considérer. Certains services en ligne permettent de superviser cela à distance, on peut aussi le faire facilement via un petit script.
Comment détecter que l'on est victime d'une attaque de ce type ?
Le premier mécanisme de détection est assez simple : Un nombre anormalement élevé de de requêtes est un signe annonciateur que quelque-chose se trame. Mais les faux positifs sont possibles.
Un système plus fiable s'appuierait sur une analyse des logs du serveur web afin de détecter un nombre de hits trop important provenant d'un seul et même "referrer".