160
Commentaires

@si et l'attaque des machines zombies

@si attaqué par des pirates ! Mercredi 24 juin, entre 17h10 et 00h15, notre site a été rendu totalement indisponible par une attaque informatique en règle. Il a fallu sept longues heures pour que tout rentre dans l'ordre. Comment ? Pourquoi ? Récit.

Derniers commentaires

Où en sont les investigations ?
Pour l'instant rien de divulguable. Bien souvent dans ce genre de cas, on ne remonte pas jusqu'à la source, ou les soupçons ne peuvent être étayés de preuves. Mais si on a du nouveau, ça sera mis en commun. Cordialement.
L'intention de nuire a @si est évidente, c'est ciblé maintenant quand a savoir qui et pourquoi, vous n'êtes pas encore devenu a ce point génants, c'était un test peut-être ? ou un moyen d'introduire des trojans juste avant sans que l'admin n'y prete attention etant donné les problêmes plus grave survenu ensuite...

Ca devient interessant si y'en a qui vous en veulent ... j'ai deux fois plus envie qu'@si continue ;)
C'est moi uniquement, ou ce matin les chroniques et les vite-dits ne sont pas accessibles ?
Bienvenue au club. :(
braaaaains !
Le site Mediapart.fr est inaccessible à l'heure qu'il est. Subit il également le même type d'attaque ?

serdan
J'ai pu constater (comme administrateur de machines et de gros sites) que la fin des épreuves du bac et de l'année universitaire coïncidait souvent avec une vague d'attaques, ces dernières années. L'oisiveté est mère de tous les vices ! Mais c'est peut-être une coïncidence, une sorte d'illusion d'optique - on manque un peu de statistiques publiques (volume, fréquence, ciblage, etc.) sur les attaques, spécialement par DDOS, du fait du rouge qui monte aux joues des administrateurs quand ils doivent reconnaître qu'ils ont été victimes malgré leurs diplômes, leur compétence, etc.
Mais tout cela ne veut peut-être rien dire pour @si

Par rapport aux habituels débats sur l'équipement truc ou machin, l'essentiel reste que l'absence de vigilance est mauvaise, que sa cause soit l'excès de confiance ou l'ignorance. C'est vrai aussi hors de l'informatique.
Mais je ne dis pas que tous les équipements se valent
Une attaque de zombies , mmmh vous pensez que ça a un rapport avec la mort de Mickael Jackson ? ;)
Une attaque ? C'est certainement les anti-Guetta, ça.
Il faudrait peut-être demander son avis à l'@sinaute Nicolas Princen...

Comme le dit Fandasi pour clavier, pas hésiter à Kärcheriser son ordi avec Spybot S&D ...
mais aussi avec Malwarebytes A.M. , A-Squared free..
et comme le préconise Stéphane Grégoire plus haut, un très bon outil de diagnostic, Hijackthis, mais aussi Winpatrol qui est aussi multi-usage (contrôle du démarrage, des services, des processus, ...).
Avec un bon antivirus gratuit comme Antivir ou AVG par exemples.
Comme pare-feu, comme le dit constant gardener, on peut choisir Zone Alarme... ou encore Kerio Sunbelt, mais aussi Comodo firewall .

Avec enfin un bon navigateur comme Firefox, avec une boite mail comme Thunderbird ... avec, comme je le disais il n'y a pas longtemps, un bloqueur de scripts: Noscript le bien-nommé. Avec un soupçon d'un antipub efficace comme Adblock plus, on peut naviguer de manière à peu près sûre, et éviter plus facilement les écueils.

Ajouter à cela un nettoyeur comme Ccleaner ou encore Regcleaner pour les plus expérimentés...

.. et les chances d'avoir un ordinateur zombie sont infiniment plus minces qu'un internaute lambda qui préfère le confort à la sécurité. Elles sont toujours possibles, mais peu probables si on fait gaffe à où l'on va et aux logiciels qu'on installe.

Surtout, les ingrédients de la recette ci-dessus sont 100% tous gratuits, à consommer sans modération.

Je laisse le soin à d'autres @sinautes ou à Thomas Scotto de compléter la présente liste. Bon surf !

Et bonne nuit :-)
Inutile de préciser sous quel système d'exploitation se trouvaient les machines zombies. Voilà une des conséquences d'un monopole. Mais les autorités de la concurrence ne font rien pour le briser. Vive Linux, BSD, OpenSolaris (et dans une moindre mesure MacOsX) et vive l'environnement graphique KDE4.

Pensez-vous que Morandini soit dans le coup?
"Nous avons sans doute eu affaire à des "machines zombies", des ordinateurs de simples particuliers, contrôlés à distance et à leur insu par un logiciel pirate"
Question d'un meskeskidi (copyright Eolas) : est-ce qu'installer un pare-feu comme Zone Alarm empêche l'ordinateur de devenir un zombie?
A qui s'adresse-t'on au fait pour porter plainte contre ce genre d'action ?
En tout cas, pour ceux qui souhaitent ne pas être des machines zombies : Ubuntu est votre ami.
Ouahou quel suspens sur @si !

Encore un coup de ce gredin de Morandini, j'en suis sur !

On l'aura !
Bonjour,

Je crois que la stratégie de defense choisie ne fonctionneras pas en cas d'attaque majeur du site.
En effet contre des attaques de ce type,une reponse au niveau du serveur Web n'est pas adaptée,la bataille est deja perdue!!!
La solution doit venir du Garde Barriere (Firewall),qui lui est capable d'analyser les attaques de type "deny of service" et de bannir ponctuellement les machines Zombies sans impact sur le trafic reseau et le serveur Web.

Cordialement

Francois
Comment ça s'appelle ,votre truc là ? Le serveur est (Mor)en déni de service?
P..., j'ai horreur d'avoir raison ! :(((

Anne
Fallait pas m'embêter Daniel, la prochaine fois, c'est tous les ordis de la rédaction qui y passe, compris !

:-)
Décidément je vais finir par croire que je porte la poisse. Ou me mettre à parler de complot.

Toutes mes tentatives pour accéder au site Le Post.fr m'envoie sur la même page que me réservait hier @si.

Mais que se passe t'il donc?
Le DDOS, un grand classique. Si c'était ciblé ils reviendront, vraisemblablement "en force".

Était-ce une attaque du genre classique remis voici peu au goût du jour par Slowloris (ne pas confondre avec Slowlaris)? Avec Apache (si votre lighttpd en frontalise un(?)) essayer, pour commencer, le module 'defensible' (un .deb existe :-) ).

Machines arretsurimages.net chez OVH: ARG! Le plus gros complice de spammeurs francophones agissant à partir de la France! Leur service 'abuse' ne répond jamais, même après plainte circonstanciée pour spam, et les fautifs reviennent inlassablement à la charge grâce aux "services" d'OVH! Honte :-( Haro!
Si j'ai bien compris, ça peut encore arriver et être pire :-s En plus maintenant qu'il y a un mode d'emploi de l'attaque de nom de domaine sur le site j'imagine que les non geeks pourront se faire les dents aussi même si j'imagine que depuis vous avez pris des mesures. C'est un article très pédagogique, merci.

Mine de rien l'incipit de cet excellent whodunit (j'entends le générique des Experts et d'Arabesque dans ma tête) et les posts du forum donnent déjà des indices. Nous cherchons un geek donc très vraisemblablement une homme de moins de 75 ans un peu scolioseux ou en surpoids et entre le banal et le moche (parce que s'il était beau gosse il irait faire le joli coeur) comme sur l'excellent dessin du post d'Huluberlu. Ce n'est pas un "gros". Ce n'est pas un fan d'ASI (s'il est abonné, ce n'est pas depuis longtemps). Il a voulu faire porter le chapeau à Morandini et à Sarkozy (qui, comme chacun sait est en permanence devant les caméras, il a un alibi). Il n'est pas intéressé par l'argent (là ça restreint nettement l'éventail des coupables potentiels) puisqu'il n'y a pas eu de chantage. C'est un crime passionnel. Ca ne m'étonnerait pas que comme dans l'Affaire Caius on se rende compte que c'est un haut personnage de l'Etat auquel on ne pense jamais, le coupable.

Le motif : la vengence d'une cibles de vos articles ou la jalousie (ça serait marrant que ce soit une histoire de fesses "tu m'as quitté pour travailler 24h/24 sur ASI alors je vais régler son compte à cette saleté de site internet" mais je pense à de la jalousie professionnelle).

Les suspects : Dan Israel, parce qu'il voulait arrêter de travailler un peu, DS pour faire de la pub à ASI, Paul Amar car son émission marche moins que le site, Yannick G parce que d'habitude il a toujours quelque chose à dire et là il est trop silencieux pour être honnête alors qu'un comm' d'utilité publique s'adresse à lui et que judith a posté.

le coupable : Eric Besson ! ben oui ! c'est évident : tel un Severus Snape faussement déloyal il a en fait dupé Sarkozy car son coeur a toujours été à Aubry. Lors de sa nomination au secrétariat à l'économie numérique, il a appris comment pirater. De simple mortel, il est devenu geek. Son dos s'est vouté, son teint a blanchi. Il a préparé son coup de longue date : bousiller un site internet qui ne fait pas de cadeau à Sarko. immédiatement tout le monde penserait que soit le Président est coupable, soit il a commandité. Et c'est ce qui s'est passé. Exit Sarko. Et sa bien-aimée déclarée reine des Français. Le site a détruire était Le Journal d'un avocat mais comme il a reçu un prix Busiris, on l'aurait soupçonné. Il fallait improviser une cible : ASI. Il a frappé juste assez pour que l'intention de nuire soit claire mais pas trop car il aime bien ce site.

Ben oui, on m'a privé d'Allostreaming donc de Grissom et Buffy contre les Vampires alors forcément, ça cogite pas mal. To be continued.
Incroyable "Cyber Bling Bling" a frappé !!!!
La riposte des "Boys du KarachiGate" !!!
"Le Meilleur des Mondes" VS "1984" !!
"La Matrix" à E. Balladur le transfuge de la Sublime Porte !!!
"Le Corrézien Déchainé" ect.......
Bon j'ai eu peur , j'avoue mais vous êtes tous revenu !!
Allelouia Daniel is Back ou Daniel 2 "Le Retour" !!!
Et maintenant ca va chi......... !!!!
Ouf... je pensais que ça venait de "moi" car depuis deux semaines, je ne peux plus accéder au site www.pensee-unique.fr .
Comme @si, ce genre de site semble être victime de cons qui ne peuvent pas supporter qu'on puisse critiquer, analyser, débattre, penser différemment... penser tout court. Mais attention à ne pas tomber dans la connerie par la théorie du complot... ( à moins que ce soit encore l'œuvre des sionistes... ou des francs-maçons ^_^ ) En tout cas, ça fait plaisir !
bon OK perso j'ai rien remarqué d'attaques de clones ou autres zombies.... mais pour moi il n'y a toujours eu qu'un seul coupable : Le concombre masqué !!!!
çà fait peur! Il est donc possible qu'un "parti" au pouvoir bloque , par une opération technique de ce genre, toute contestation, muselle tout espace de libre discussion ? en définitive, est ce qu'internet n'est pas très fragile ? à la merci de tout pouvoir - étatique ou autre ?
Rassurez-nous !
Au fait , Dan , vous dites :"Chaque ordinateur envoyant des centaines de messages a reçu des centaines de réponses. Soit les machines zombies n'ont pas résisté....etc" Mais si les ordinateurs zombies sont des ordi de tout un chacun piratés à leur insu par un logiciel espion , ça veut dire qu'ils sont H.S maintenant ,Kaput , cassés ,fichus ? Doivent pas être contents les proprios d'être utilisés à leur insu et détruit à cause de ça !

PS : au cas où , pour ceux qui vraiment ne savent pas , il y a un excellent logiciel gratos qui détecte et détruit les logiciels espions (spyware) et qui est mis à jour très fréquement c'est Spybot Search and Distroy téléchargeable entre autre ici
Pour les non-spécialistes comme moi je signale ce très bon documentaire visible sur dailymotion, Cyber Guerilla - guerres secrètes, qui aborde la dimension potentiellement géopolitique de ce type d'attaque.

Première partie
Deuxième partie
Troisième partie
Quatrième partie
Merci pour la communication - moi, j'ai reçu le mail @si/DS 23 secondes avant de tenter de me connecter.
Et ce soir tout remarche : j'avais confiance en top-@si ; j'ai eu raison.
@si, une valeur sûre. continuez !
raison de plus d'être fan.
Sincèrement vos commentaires chers asinautes sont à se tordre de rire, je ne m' en lasse pas.

Et pour le récit de cet épisode...ah si je savais raconter aussi bien ce que l'on fait au quotidien dans ma boite (grand acteur du web dans notre beau pays)
C'est très curieux, mon modeste forum a fait l'objet d'une attaque tout à fait comparable (échelle mise à part) il y a exactement un an, jour pour jour...

En voici les traces informatiques

L'attaque étant retombée d'elle même en trois jour je n'ai pas porté plainte, d'autant qu'il n'y avait pas de préjudice économique...

Ce qui est très étrange c'est la coïncidence de date !

le-pg-express

***
BIEN RAISON PUR L'ATTAQUE CONTRE X ! CONTINUEZ. Parce qu'i serait bien de savoir ce qui s'est passé et nous a "embrouillé"
@+ à vous
Et "on" persiste et signe
Il faut mettre Sherlock sur le coup. Mais bon sang mais c'est bien sûr , c'est Zonbyfutée...
En tout cas 1000 bravos à @si d'avoir tenu bon et trouvé une solution. J'espère qu'il est techniquement possible de savoir d'où vient l'attaque , mais le ou les commenditaires , ça me semble plus dur , non ?
et Rachida?
elle était ou à ce moment là?
à Doha?
ouarf!ouarf!
Merci pour ce compte rendu de l'attaque des zombies (je conseille fortement ce film, d'ailleurs: un des meilleurs Romero)

J'ai d'ailleurs une piste sur les zombies qui vous ont attaqué: ce sont des personnes ayant eu affaire de près ou de loin aux enquêtes d'@si: mes soupçons portent principalement sur lui, lui, lui, lui, lui, elle ou lui...

Sinon, pour vous aider dans votre lutte contre les zombies, ce petit programme pourrait vous permettre de vous entraîner

Et pour conclure, une définition de zombie
Première attaque DDOS sur @si, bof ça arrive tous les jours, c'est généralement pas mal intentionné, c'est du domaine de l'espièglerie et y a pas grand chose à faire pour se défendre si le nombre de machines pilotées pour l'attaque est suffisant. Soufflez un bon coup, vous venez d'être bizutés rien de plus.
Bon, je m'y colle encore une fois pour un indice : le coupable de cette attaque est geek.

Ne me remerciez pas, c'est naturel chez moi.
Mon hypothèse est que l'attaque est liée au passage de Daniel Schneiderman au journal (Arte infos je crois- avant-hier soir je crois) à propos des images que l'on reçoit d'Iran, qu'on ne peut pas vérifier et qui peuvent correspondre à une immense propagande.
Cela promet ... Entre l'Iran et Le Karachigate, cela va être explosif cette année.
On comprend maintenant pourquoi il a été viré de France 5.
Je venais juste de me taper l'émission sur "les forçats du web" que j'ai trouvé peu intéressante,
voire un tantinet ennuyeuse, et voilà que je tombe sur cet article qui me remet la pêche !
Non pas que je sois heureux de cette mésaventure, mais la lecture du compte-rendu associé
à son formidable titre a quelque chose de revigorant, et de profondément cinématographique !
En tous cas, bravo au webmaster. ;-)
Ca fait très nuit des morts vivants, votre histoire.

http://anthropia.blogg.org
Comment, que lis-je sous la plume de Dan Israel ?
"Jusqu'à présent, les soucis avaient toujours été résolus"
Vous arrivez à "résoudre des soucis", vous ? Bravo ! Moi j'ai déjà du mal à résoudre des problèmes, alors des soucis...
Allez, attention au "linguistiquement correct" !
Et bon courage !
La seule solution pérenne pour se protéger de ce type d'attaque est de faire appel à un service de Content Delivery Network (CDN) type Akamai pour répartir la charge lorsque cela se produit.


Une question cependant, ce type d'attaque est souvent précédée d'une demande de rançon de la part de l'attaquant. Cela a t il été le cas pour @SI?
La facture de bande passante étant calculée sur le 95° percentile, ils vous ont défoncé votre facture d'hébergement du coup vu le pic lors de la résolution du problème ?!?
Y a vraiment des mecs qui ont du temps à perdre.
Heureuse de vous revoir, je suis addict moi aussi.
Merci pour les explications et le courriel qui m'a informée de la panne hier soir.

Bravo à l'équipe pour avoir déjouer les zombies.
Peut être que de nombreux lobotomisés ont pensé qu'il y aurait des soldes sur @si!

Plus sérieusement, @si est un site engagé et de nombreux groupuscules d'extrême droite -ou pire des fans de Morandini - auraient pu se concerter pour l'attaque, ils n'ont pas besoin de pirater des ordis pour cela, il suffit d'utiliser tor pour avoir une adresse IP différente!

En tout cas bravo à notre Dr house à nous:Thomas Scotto :-)
Tiens, marrant ça, je ne connaissais pas la technique de faire tomber les machines zombies elles-mêmes...
Merci d'avoir tout réparé vite fait en tout cas.
« Pas d'écran noir, mais tout comme. » Un écran c'est bleu, voyons !
http://fr.wikipedia.org/wiki/%C3%89cran_bleu_de_la_mort

« L'intention de nuire, quel qu'en soit l'auteur, étant plus que probable, @rrêt sur images a décidé de porter plainte contre x. Nos abonnés, bien entendu, seront tenus au courant des suites de cette plainte. DS. »

Bon courage.
Thomas contre les pirates, espérons que ce ne soit pas la saga de l'été...
Merci des infos et surtout bravo à Thomas Scotto
Perso, je pensais plutôt que c'était ce problème là, les heures correspondant avec la taille du problème, chez OVH, où la situation c'est encore dégradée aujourd'hui pour info.
Bon ok j'avoue tout, voilà, hier soir, privé d'@si, j'ai senti durement mon addiction à ce site. Vous m'avez tous manqué, j'ai bien dit TOUS... même YG...
c'est vous dire la loque humaine qui vous parle ! Enfin bon, là ça va mieux depuis ce matin, j'ai eu le temps de me refaire une "santé".

;-)))

Bravo à Thomas le débuggueur en chef, merci à Dan pour la clarté pédagogique et la précision de ses explications, merci à Daniel, le capitaine du navire, pour sa volonté de totale transparence. Et bravo à @si tout entier qu'est un site de décryptage médias tellement qu'il est bon que ça commence à faire des jaloux. Ouh que c'est vilain pas beau la jalousie !!!
Bon sang, mais c'est bien sûr !
Les chinois du FBI iranien sont à l'origine de l'attaque, financée par Morandini via une société écran de Berlusconi.
C'est surprenant que vous ayez mis autant de temps à découvrir l'attaque DOS, c'est en règle générale la première chose à laquelle on pense et ce type d'attaque est très facile à identifier. Reste que pour contrer une attaque de ce type, y'a pas grand chose à faire si ce n'est attendre que ça passe (identifier les attaquants des utilisateurs normaux est quelque chose d'extrêmement compliqué).

Mais il est vrai que la plainte risque de ne pas aboutir à grand chose de concret, même si vous arrivez à identifier après coups les bots responsables de l'attaque, vous pourrez être certain qu'il est impossible de savoir qui est le donneur d'ordre de l'attaque.

Mais réjouissez vous, maintenant avec Hadopi2, ça sera le propriétaire de l'adresse ip en bout de chaine qui sera responsable, vous pourrez faire condamner madame Michu pour défaut de sécurisation de son accès internet parce que son pc a été zombifié par son mari qui passe ses journées à télécharger du porn sur internet.
Pour les techos: je conseille fortement haproxy pour se protéger contre ce genre d'attaques.
J'ai eu une de ces trouilles .... Pour moi le message était le suivant la connexion a été interrompue pendant le chargement de la page, quelque chose comme ça "réessayer", j'ai réessayé, réessayé en vain, et vers 23 heures la Gazette m'a fichu encore plus les jetons, d'autant plus que je n'y connais rien à toutes ces techniques .... Tout ce que je sais, c'est qu'il assez facile d'acheter les services de hackeurs de pirates du web pour nuire partout sur la toile. (Envoyé Spécial d'il y a quelques semaines)

Ce matin ouf, ma hantise était que nous ayons perdu des contenus.

Nous pouvons être fiers d'emmerder certains. Nous continuerons.

Merci de nous tenir au courant, grand merci à Thomas Scotto.
Bonjour @si

j'espère aussi que ce ne sont pas des gros qui vous en veulent... c'est effectivement très difficile de lutter contre ce genre d'attaque...

Peut être créer des alias différents et informer en cas d'attaque, par mail, vos abonnés qu'il faut temporairement changer d'url pour atteindre le site.

Des urls du type www.arretsurimages2.net ...

Bon courage
La solution ? Twitter.

Le compte Twitter du site a lui très bien marché hier (forcément ...) et nous tenait informé de toutes les modifications. (@arretsurimages pour ceux s'intéressant un peu à la "chose").
Voilà qui explique pourquoi je n’ai pas pu me connecter hier soir, malgré mes tentatives aussi multiples que vaines !

Voici quel était le diagnostic réseau de Windows qui apparaissait à chaque fois, et sans doute n’étais-je pas le seul alors à être concerné, contrairement à ce que je croyais jusqu’alors :
« Windows a confirmé que www.arrêtsurimages.net est en ligne mais ne répond pas aux tentatives de connexion. Ceci signifie généralement qu’un pare-feu situé entre les deux ordinateurs bloque « Service Web (http) ». Windows a vérifié le Pare-feu Windows sur cet ordinateur qui est correctement configuré et permet cette connexion. Il est possible, cependant, qu’un pare-feu distant bloque votre connexion. »

Mais à qui profite le crime ?...
Et qu’encourt-il s’il est démasqué ?


Juste une précision, je viens de poster à l'instant une seconde fois pour voir figurer mon message sur ce forum, la première fois il n'y était pas, il y a eu un renvoi sur le sommaire des forums. (?)

Ce message a été supprimé suite à la suppression du compte de son auteur

Ce message a été supprimé suite à la suppression du compte de son auteur

Il faut lire bien sûr dans l'article que l'attaque a eu lieu MERCREDI 24 juin (et non jeudi) - à moins que l'attaque ait occasionné un bug dans le continuum spatio-temporel... En tout cas, c'est flippant, comme un bon thriller, et Thomas en héros qui mène l'enquête, déduit, induit, tatonne et conclut en mettant l'adversaire KO, c'est juste totalement jubilatoire. Chapeau !

Question aux spécialistes : ça peut déboucher sur un truc concret, la plainte contre X, ou c'est juste pour dire qu'on est très énervés ?
J'imagine bien Morandini se payer les services d'un hacker, il aurait passé sa soirée a cliquer sur "arretsurimages" avec un rire démoniaque.
"Mouhaha t'a voulu me test Daniel mouhaha je trafique peut-être mes stat mais moi au moins je suis accessible PTDR"
Waouh un vrai roman digne des maîtres espions !!!
Et j'y suis plongé moi-même !
Je pencherais pour Morandini comme coupable !
Fichus pirates ! Vivement Hadopi 2 !
C'est la gloire, c'est la célébrité !
Longue vie à ASI qui vient de se faire bizuther !!!
Mais qui donc peut bien en vouloir à @si ?

C'est parti pour une litanie de théories toutes plus fumeuses les unes que les autres :)
Personnellement, je dirais que c'est


Error 404, le posteur de ce message n'existe plus.
Error 404, le posteur de ce message n'existe plus.
Error 404, le posteur de ce message n'existe plus.
Error 404, le posteur de ce message n'existe plus.
Error 404, le posteur de ce message n'existe plus.
Error 404, le posteur de ce message n'existe plus.
...

DÉCOUVRIR NOS FORMULES D'ABONNEMENT SANS ENGAGEMENT

(Conditions générales d'utilisation et de vente)
Pourquoi s'abonner ?
  • Accès illimité à tous nos articles, chroniques et émissions
  • Téléchargement des émissions en MP3 ou MP4
  • Partage d'un contenu à ses proches gratuitement chaque semaine
  • Vote pour choisir les contenus en accès gratuit chaque jeudi
  • Sans engagement
Devenir
Asinaute

5 € / mois
ou 50 € / an

Je m'abonne
Asinaute
Généreux

10 € / mois
ou 100 € / an

Je m'abonne
Asinaute
en galère

2 € / mois
ou 22 € / an

Je m'abonne
Abonnement
« cadeau »


50 € / an

J'offre ASI

Professionnels et collectivités, retrouvez vos offres dédiées ici

Abonnez-vous

En vous abonnant, vous contribuez à une information sur les médias indépendante et sans pub.