L'entreprise de sécurité Imperva a publié l'analyse détaillée d'une attaque menée par Anonymous contre un de ses clients. Elle livre ainsi un éclairage sur la manière dont agit le groupe de pirates. Notamment, l'analyse souligne la nécessité de mieux surveiller la sécurité de la couche applicative. Selon le New York Times, les Anonymous ciblaient le Vatican. Mais Imperva a refusé de confirmer l'identité de son client.

L'attaque, qui n'a pas porté atteinte au site et n'a pas compromis de données utilisateurs, a été menée en trois phases. Dans un premier temps, qualifié de phase « de recrutement et de communication » dans le document d'Imperva, le groupe a sollicité des soutiens sur les sites de médias sociaux comme Facebook, Twitter et YouTube, afin de justifier son attaque. Ensuite, est venue la phase « de reconnaissance et d'attaques contre la couche d'application ». Elle a impliqué un petit nombre de hackers professionnels lesquels, avec des outils courants, ont évalué les vulnérabilités, sondé les trous de sécurité puis ont lancé des attaques par injection de commandes SQL. Le but était de parvenir à voler des données utiles pour l'attaque finale. Mais, cette tentative de vol de données a échoué, et ces pirates aguerris ont impliqué des personnes « neutres » pour mener à bien une attaque par déni de service distribué (DDoS).

Selon Amichai Shulman, co-fondateur et CTO de Imperva, l'attaque des Anonymous s'inspire très fortement de l'approche de pirates dont le but est d'extorquer de l'argent à leurs victimes. La dizaine ou quinzaine de pirates professionnels ont utilisé des outils standards comme Havij, Acunetix et Nikto pour tester les vulnérabilités et mener des attaques par injection de commandes SQL. Pour le CTO d'Imperva, il ne fait pas de doute que ces hackers sont des professionnels. Ceux-ci connaissent bien les outils de piratage et savent aussi comment masquer leur identité sur le Net en utilisant des services d'anonymat. Comme les pirates n'ont pas réussi à trouver des vulnérabilités, ils ont initié une attaque DDoS avec un logiciel accessible à tous qui permet aux utilisateurs d'attaquer des sites depuis les navigateurs mobiles.

Contrairement à d'autres attaques DDoS traditionnelles sur la couche réseau, celle-ci ciblait la couche applicative dans le but de saturer les ressources du serveur. Anonymous a créé une page web contenant un code Javascript qui tourne en continu, aussi longtemps que la page est ouverte dans un navigateur. Ce type d'attaque est communément appelée LOIC Mobile (Low orbit ion cannon). Pour participer à l'attaque, un utilisateur novice doit simplement se connecter à la page web et la laisser ouverte.

Des motivations plus criminelles que politiques

Amichai Shulman pense que si une entreprise est susceptible d'être la cible d'attaques de la part d'Anonymous, alors elle doit sécuriser sa couche applicative et se protéger contre les attaques DDoS, parce que c'est la première étape mise en oeuvre par les pirates. Cependant, la véritable motivation pour mettre en oeuvre ce type de sécurité, doit être de se protéger contre la fraude financière. « Au cours des deux dernières années, Anonymous a été plus une nuisance qu'autre chose, » a t-il déclaré. « Cependant, le groupe d'hacktivistes utilise les mêmes outils que des pirates ayant des motivations criminelles. Et c'est bien cela qui doit inquiéter les entreprises. » Imperva, qui surveille en permanence les applications d'une quarantaine de clients, affirme que une fois toutes les deux ou trois minutes, elles subissent une attaque sur la couche applicative. « C'est une menace beaucoup plus sérieuse que le piratage d'un site web par Anonymous pour manifester un point de vue politique, » a déclaré le CTO d'Imperva.

Celui-ci a ajouté que, si les attaques d'Anonymous ciblent des entreprises ou des institutions de petite taille en utilisant LOIC ou LOIC Mobile, le groupe a aussi réussi à lancer des attaques massives contre des géants de l'Internet comme American Express ou le FBI. « Dans l'opération Payback, les Anonymous ont utilisé les réseaux de zombies », a déclaré Amichai Shulman. « Ce genre d'opération ne peut pas reposer sur le volontariat. Elle nécessite des outils très différents. Il faut de la puissance de calcul, des financements et une bonne organisation. Alors, qui est derrière tout cela ? Et pour le compte de qui agissent-ils ? C'est encore un mystère. » Le CTO d'Imperva a ajouté que les cybercriminels agissant pour de l'argent sont de plus en plus nombreux à  lancer des attaques par injection de commandes SQL en utilisant des réseaux de zombies, ce qui place le problème à une autre échelle et donne aux attaquants un rayon d'action beaucoup plus large.