Depuis quelque temps maintenant, les PME américaines subissent une nouvelle forme de chantage de la part des pirates. Les responsables d'entreprises reçoivent des emails leur demandant de payer une somme de l'ordre de quelques centaines de dollars en bitcoins immédiatement, sans quoi une attaque DDoS sera menée sur leurs services web.
Nos confrères du New York Times ont eu vent d'une nouvelle tendance en matière de cybercriminalité frappant les PME américaines : le DDoS contre rançon. Le principe en est très simple, des pirates contactent leurs cibles quelques minutes avant d'opérer et leur réclament l'équivalent de quelques centaines de dollars à payer en bitcoins. En cas de refus, les serveurs de l'entreprise visée croulent soudainement sous un grand nombre de requêtes et c'est le drame.
C'est notamment arrivé à Meetup, une entreprise américaine dont le site propose d'organiser des rassemblements de personnes en fonction de leurs centres d'intérêt. Scott Heiferman, le cofondateur de la société, et Gary Burns, son responsable technique, ont été avertis par email que leur site allait tomber dans quelques minutes s'ils ne versaient pas immédiatement l'équivalent de 300 dollars en bitcoin à leur maître chanteur. Très exactement quatre minutes plus tard, les serveurs de Meetup ont enregistré un volume de requêtes 40 fois supérieur à la normale avant de tomber. Le service ne sera entièrement rétabli que le lundi suivant, causant des pertes non négligeables à l'entreprise.
Si la somme réclamée pour éviter les problèmes semble faible au regard des conséquences, selon d'autres sociétés touchées, ayant souhaité garder l'anonymat, il ne s'agirait en fait que d'un leurre. Le montant demandé ne fait qu'augmenter avec le temps et a pu dans certains cas atteindre la barre des 30 000 dollars.
D'autres entreprises plus importantes ont également été visées par de telles attaques, comme Vimeo, Shuttershock, ou encore Bit.ly. Si bien que le FBI enquête actuellement sur ces affaires, l'agence gouvernementale pense d'ailleurs que toutes pourraient être liées aux mêmes contrevenants. Les quelques sociétés ayant cédé au chantage ayant réglé leur dette en bitcoins, les autorités ne pouvant pas reconstituer le cheminement de l'argent, leur enquête risque d'être assez compliquée.
