Depuis quelque temps maintenant, les PME américaines subissent une nouvelle forme de chantage de la part des pirates. Les responsables d'entreprises reçoivent des emails leur demandant de payer une somme de l'ordre de quelques centaines de dollars en bitcoins immédiatement, sans quoi une attaque DDoS sera menée sur leurs services web.
Nos confrères du New York Times ont eu vent d'une nouvelle tendance en matière de cybercriminalité frappant les PME américaines : le DDoS contre rançon. Le principe en est très simple, des pirates contactent leurs cibles quelques minutes avant d'opérer et leur réclament l'équivalent de quelques centaines de dollars à payer en bitcoins. En cas de refus, les serveurs de l'entreprise visée croulent soudainement sous un grand nombre de requêtes et c'est le drame.
C'est notamment arrivé à Meetup, une entreprise américaine dont le site propose d'organiser des rassemblements de personnes en fonction de leurs centres d'intérêt. Scott Heiferman, le cofondateur de la société, et Gary Burns, son responsable technique, ont été avertis par email que leur site allait tomber dans quelques minutes s'ils ne versaient pas immédiatement l'équivalent de 300 dollars en bitcoin à leur maître chanteur. Très exactement quatre minutes plus tard, les serveurs de Meetup ont enregistré un volume de requêtes 40 fois supérieur à la normale avant de tomber. Le service ne sera entièrement rétabli que le lundi suivant, causant des pertes non négligeables à l'entreprise.
Si la somme réclamée pour éviter les problèmes semble faible au regard des conséquences, selon d'autres sociétés touchées, ayant souhaité garder l'anonymat, il ne s'agirait en fait que d'un leurre. Le montant demandé ne fait qu'augmenter avec le temps et a pu dans certains cas atteindre la barre des 30 000 dollars.
D'autres entreprises plus importantes ont également été visées par de telles attaques, comme Vimeo, Shuttershock, ou encore Bit.ly. Si bien que le FBI enquête actuellement sur ces affaires, l'agence gouvernementale pense d'ailleurs que toutes pourraient être liées aux mêmes contrevenants. Les quelques sociétés ayant cédé au chantage ayant réglé leur dette en bitcoins, les autorités ne pouvant pas reconstituer le cheminement de l'argent, leur enquête risque d'être assez compliquée.
Commentaires (68)
#1
Le chantage, plus tu acceptes et plus on te demande, c’est un classique…
#2
On voit à quoi est utilisé le BitCoin, à spéculer et à acheter des services illégaux…
#3
avec la valeur du bitcoin qui chute ….
#4
Cela a toujours été : céder à un quelconque chantage est inacceptable, peut importe ce qui est en jeu, ni la rançon demandée.
Celui qui cède a perdu. A vie.
#5
#6
#7
Ne jamais cédé car ça revient à payer sans arrêt chaque nouvelle demande.
#8
#9
En passant je fait un peut de HS mais il en sont où OVH avec leur protection anti DDOS ça marche bien ?
#10
" />
deux possibilité soit c’est cloudflare pour forcer les pme a prendre un abonnement chez eux
soit c’est OVH " />
#11
#12
#13
#14
#15
#16
Même technique que les impots: soit tu paies (en euros), soit on t’envoie un huissier! " />
#17
#18
N’empêche, c’est une idée de génie pour ce faire de l’argent sans (du moins en limitant les risques) se faire choppé. Après ça va surtout servir d’excuse aux détracteurs de cet monnaie.. " />
#19
#20
Il y a des solution anti-DDoS plutôt performante mais ça coûte cher. Pour une PME ça va coûter trop cher par rapport au risque.
Le problème c’est aussi les routeurs des opérateurs qui laissent passer des requêtes avec des IP source en 192.168.x.x ou même pire en 127.0.0.1….
#21
Personne n’a posé LA question importante, alors je vais le faire :
où est Harou ?" />
Y’avait une bonne occasion de mettre une photo " />
#22
À part le paiement en bitcoins, en quoi c’est nouveau ? " />
Le chantage DDOS/rançon c’est un peu le b.a.-ba du pirate non ? " />
#23
#24
#25
#26
#27
C’est bizarre, je pensais que le DDoS c’était juste une forme de manifestation pacifiste numérique.
(J’ai le droit c’est dredi)
#28
Mr Burns a refusé de payer
Excellent !
#29
#30
#31
#32
#33
#34
Je croyais que justement avec le bitcoin tout est tracable ?
Si tel est le cas les auteurs vont se faire choper c’est une question de temps.
Apres je pense que c’est important pour l’exemple qu’on les pende par la peau des coui
#35
#36
Avec l’arrêt du support d’XP et 25% des PCs sur cet OS le 8 avril, ça va être la fête pour nos amis maîtres-chanteurs " />
#37
#38
sinon, chez ovh ils ont ça :https://www.ovh.com/fr/anti-ddos/
#39
Comment fait-on un paiement en Bitoins en quelques minutes si on a pas de bitcoins a priori (ce qui est probablement le cas de la plupart des gens contactes)?
#40
À la limite, je trouve que c’est intéressant : comme toujours on voit les dérives des extrêmes. Tout sécuritaire, plus de vie privée ; anonymat quasi absolu, facilité d’actions illégales…
Finalement, on espère tous (je pense) qu’ils vont se faire choper, c’est-à-dire une faille dans l’anonymat. Or l’anonymat est quand même un point fondamental de la monnaie, c’est un peu comme espérer une faille de bitcoin tel qu’il est pensé aujourd’hui. À voir si d’autres crypto-monnaies peuvent pallier ces apparents défauts.
Les usages illicites des monnaies classiques reposent aussi sur un type d’anonymat ou d’habillage des transactions ; on se rend bien compte que le seul fait d’obliger les banques à ne plus protéger toutes les données des comptes complique les usages illicites (sous réserve coopération bancaire, qui est censée être acquise dans le cas des bitcoins).
Je ne sais pas si l’on peut en tirer une conclusion sur bitcoin, mais je trouve ce point assez intéressant…
#41
#42
Voilà où mènent vos Bitcoins de " /> dont on entend parler partout maintenant. Monnaie inutile purement spéculative, mais qui rend des “braves” types prêts à tout pour tenter se faire du fric.
Vivement que ça se casse la gueule et qu’on en parle plus, d’ici 2 ans ça sera probablement tombé aux oubliettes.
#43
#44
#45
#46
#47
De ce que j’ai compris, tous les bitcoins sont traçable. Donc on peut savoir quel portefeuille a récupéré la rançon et surveiller les mouvements de celui-ci. Ensuite depuis ce portefeuille on peut tracer toutes les interactions qui ont lieu après la demande de rançon, même si le portefeuille dilue son capital dans plein d’autres portefeuilles, qui eux-même dispatch leur argent dans plein d’autres, il est techniquement possible de reconstituer le maillage complet (et je ne doute pas de la capacité de traitement des US pour réaliser ça…#NSApointGodwin).
Il “suffirait” donc d’attendre que l’un de ces portefeuilles soit utilisé pour faire une interaction avec le réel (échange en dollars/achat de biens) et tenter de faire lever l’anonymat via un enquête classique. Mais bon, je suppose que Western Union + intermédiaire du prince nigérien + mule de pays de l’est vont permettre de brouiller les pistes.
Concernant la protection DDOS, ce n’est effectivement pas à la porté de n’importe qui. Les solutions techniques existent mais demande de très grosse capacité de traitement en temps réel hors de porté d’une PME. Un simple serveur/cluster de front end peut difficilement le faire. Quand tu payes du 1Gb/s de bande passante pour ton serveur et que le mec en fasse peut envoyer du 40-50Gb/s, t’as beau avoir du matériel tu peux pas luter rien que par la capacité de tes tuyaux. Et s’ils sont capable de menacer des grosses structures comme Vimeo, ils ont certainement une très grosse capacité pour du DDOS.
Le coup de bannir les IP ne sert à rien, les IP sources sont généré aléatoirement (ou si l’attaquant est pas con, il va utiliser des IP de DNS ou de routeur en espérant justement que le serveur bannisse ces IP pour se “scier la branche”).
#48
#49
#50
#51
Le bitcoin étant en soit un dérapage …
un dérapage en appelle … des autres !
(on ne sait plus quoi inventer : c beau)
#52
#53
#54
#55
#56
#57
#58
Les gars, on avait dis qu’on attendait la dernière maj d’xp avant de commencer… " />
#59
#60
#61
#62
#63
#64
#65
#66
#67
#68
Interesting, but Bitcoin is just the tip of the iceberg in the crypto-currency world. You should do a piece on an alternative coin, like Zetacoin. They are about to become one of the major mobile payment solutions around Africa, lead developers are in meetings right now to make it happen. You can get Zetacoin on most major coin exchanges Bter/Cryptsy/Mintpal. As of today Zetacoin are 1,000 times cheaper than Bitcoin. They will be all over the news in the next few weeks! Do a research piece on Zetacoin for people who don’t know what alternative coins are, or want to get on the bandwagon before they get to \(100 per coin. Right now they're only about \)0.01 each