Les applications BitTorrent utilisées par des centaines de millions d’utilisateurs à travers le monde pourraient être détournées pour participer à des attaques en déni de service distribuées (DDoS), ce qui pourrait considérablement amplifier le trafic ainsi généré. Quatre chercheurs d’universités britannique (City University London) et allemande (Mittelhessen University of Applied Sciences à Friedberg) et de la firme PLUMgrid ont analysé les protocoles utilisés par les clients BitTorrent les plus populaires. Dans un article présenté la semaine dernière sur l’atelier Workshop on Offensive Technologies (WOOT 2015), lors de la conférence Usenix, ils ont montré comment des programmes tels que uTorrent, Vuze ou le client BitTorrent d’origine (Mainline) pouvaient aider des attaquants à amplifier jusqu’à 50 fois le trafic DDoS. Quant au protocole BitTorrent Sync (BTSync), également utilisé pour la synchronisation de fichiers peer-to-peer, il peut être exploité avec un facteur d’amplification allant jusqu’à 120. Même les clients moins utilisés comme Transmission ou LibTorrent sont vulnérables, mais leur facteur d’amplification est beaucoup plus faible (4% et 5%).

Des pare-feux dotés de fonctions DPI

Exploiter les protocoles BitTorrent à ces fins est dans bien des cas plus efficace que de passer par des serveurs DNS ou NTP car il y a assez peu de serveurs DNS ou NTP vulnérables qui soient accessibles sur Internet, alors qu’il y a des dizaines de millions d’ordinateurs utilisant des programmes BitTorrent susceptibles de prêter le flanc à de tels détournements. En outre, ces serveurs ont généralement un numéro de port fixe, il est donc facile de filtrer le trafic malveillant à travers ces protocoles. Mais BitTorrent se sert de plages de ports dynamiques. Pour détecter et bloquer une attaque, il faut donc des pare-feux spécialisés dotés de fonctionnalités DPI (deep packet inspection) performantes, ont pointé les chercheurs. De plus, les attaquants peuvent se servir d’une extension au protocole BitTorrent appelée MSE (Message Stream Encryption) qui est supportée par la plupart des clients BitTorrent pour chiffrer le trafic. L’amplification DDoS utilisant MSE serait d’autant plus difficile à filtrer, ont ajouté les chercheurs.

Filtrer les entrées réseau

Cela dit, il existe selon eux différentes parades pour prévenir de telles attaques. L’une d’elles nécessite que les fournisseurs d’accès Internet mettent en place certaines pratiques de sécurité, comme le filtrage des entrées réseau pour prévenir l’usurpation d’IP (spoofing) sur Internet de façon générale. Selon Spoofer Project, environ 24% des préfixes d’adresses IP routés publiquement dans le monde peuvent être usurpées.

Une autre parade pourrait être la mise en oeuvre, dans le protocole uTP utilisé par les clients BitTorrent, d’un mécanisme de type TCP three-way handshake pour la connexion au réseau. Toutefois, cela représenterait un changement important qui nécessiterait une longue période d’adaptation et créerait une incompatibilité avec les clients plus anciens. Finalement, les programmes BitTorrent pourraient limiter les messages qu’ils incluent dans leur premier packet uTP à un destinataire, ce que font déjà quelques clients. Cela n’empêcherait pas l’attaque, ais réduirait à 4 ou 5 le facteur d’amplification, selon les chercheurs.