Protestations en Iran et déni de service
Par Pierre CARON, mardi 23 juin 2009 à 16:58 :: General :: #315 :: rss
Depuis près d'une semaine fleurissent en différents points de la Toile des messages d'encouragement au déni de service contre des sites web iraniens ; en témoigne par exemple ce billet publié le 21 juin sur Twitter.
Cet appel à déni de service a été relayé par plusieurs centaines de profils Twitter (lien, lien, lien). Le choix de ce média par les hacktivistes était particulièrement opportun puisque des centaines d'usagers de Twitter ont relayé le message ; le message a également été diffusé indirectement sur des dizaines de sites d'actualité qui syndiquent automatiquement les "twits" à l'aide de mots-clefs liés à l'Iran, apparaissant ainsi en marge d'articles de fond sur la situation politique du pays. Cet appel au déni de service a obtenu une visibilité confortable en très peu de temps [lien].
L'outil incriminé, baptisé "Page Reboot", est un script PHP qui ouvre sur une même page plusieurs frames à destination des sites iraniens ciblés, ces frames étant rafraichies à un intervalle paramétrable. Les activistes semblaient utiliser en premier lieu le site web PageReboot.com, puis ont conçu leur propre script PHP pour un déploiement plus simple sur de nombreux sites de leur choix, comme WhereIsMyVote.info (maintenant hors ligne), assurant ainsi la persistance de l'attaque. Ainsi, le site http://91.199.0.11/ hébergé en France permettait jusqu'à aujourd'hui d'attaquer les cibles de son choix -- les cibles suivantes étant prédéfinies dans l'outil :
- http://www.Presstv.ir
- http://www.Leader.ir
- http://www.Kayhannews.ir
- http://www.farsnews.com
- http://www.farsnews.ir
- http://www.Irib.ir
- http://www.Irna.ir
- http://www.mfa.gov.ir/cms/cms/Tehran/fa/index.html
- http://www.Moi.ir
- http://www.Police.ir
- http://www.Justice.ir
- http://www.live.irib.ir
- http://www.iribnews.ir
L'outil a été mis en place par un individu identifié sous le pseudonyme Zampf, qui publie également sur son espace Twitter des détails techniques sur les technologies utilisées par les sites gouvernementaux iraniens.
Le billet blog de Dancho Danchev [lien] présente également d'autres outils pouvant être téléchargés par les activistes sour la forme d'exécutables, réalisant un déni de service sur des cibles similaires. On remarque en particulier le caractère rudimentaire de tous ces outils, assez éloignés de ceux ayant été mis en oeuvre dans les dénis de service ayant affecté l'Estonie et la Géorgie : dans le cas de l'Iran, jusqu'ici aucun botnet ne semble avoir été utilisé. Le résultat de l'attaque est d'ailleurs plutôt mitigé, certains sites restant parfaitement accessibles, d'autres accusant un temps de latence important, et enfin quelques uns affichant un message d'erreur.
De manière assez intéressante, cette campagne a débuté sur IRC, les messages mentionnés faisant référence à des canaux tels que #iran, #iranelection, #hackers, #iran09, #mousavi, #basij, #GR88, #neda (du nom de la jeune femme blessée par balle pendant une manifestation, et dont l'agonie, filmée sur un téléphone portable, a fait le tour du monde). Loin d'être parfaitement coordonnée, cette campagne connait ses contre-courants, également sur Twitter : des internautes appellent à cesser le DDoS sous différents prétextes, notamment celui qu'il serait préférable de pirater de manière ciblée les sites gouvernementaux [lien].
Quoi qu'il en soit, ces attaques illustrent assez précisément les mouvements d'opinion sur Internet, et la rapidité avec laquelle un mouvement non structuré parvient à mettre en place des outils pour se faire entendre.