Bittorrent est arrivé sur le web en 2002. A la base, ce protocole visait à simplifier les échanges entre les ordinateurs, et entre les internautes. Il a tout de suite séduit les pirates. Oui, et à présent, il pourrait tout à fait trouver sa place dans le coeur et dans l’arsenal des hackers. Enfin, des hackers et de tous ceux qui adorent lancer des attaques DDoS de temps à autres…
Quatre chercheurs en sécurité issus d’une université anglaise (City University London) et d’une université allemande (Mittelhessen University of Applies Sciences) ont effectivement fait une étonnante découverte en décortiquant certains clients comme uTorrent, Vuze ou même Transmission.
Ils se sont effectivement rendus compte qu’il était très facile de les détourner et de les utiliser pour amplifier des attaques par déni de service distribuées (DDoS).
Tous les clients Bittorrent sont vulnérables
Si vous n’êtes pas familiers de la chose, alors sachez que ces attaques visent à inonder un réseau pour empêcher son fonctionnement. L’idée, c’est par exemple de surcharger un site en balançant une tonne de paquets afin de le faire tomber.
Pour être efficaces, elles s’appuient sur de nombreuses machines zombies et certains petits malins se sont même spécialisés dans ce business florissant.
Mais revenons-en plutôt au sujet de cet article. D’après nos quatre chercheurs, la plupart des clients Bittorrent peuvent être détournés pour amplifier le trafic généré durant des attaques de ce type. Ils parlent même d’un coefficient multiplicateur de 50 et le plus drôle reste à venir car le protocole Bittorrent Sync est lui aussi concerné, avec un coefficient multiplicateur pouvant atteindre 120.
Amusant, mais ce n’est pas fini car Bittorrent pourrait aussi rendre ces attaques beaucoup plus dangereuses. Il faut effectivement rappeler que le protocole utilise des plages de ports dynamiques pour faciliter les échanges entre les machines. Pire, il comporte aussi une extension (MSE) permettant de chiffrer les données.
Grâce à ces particularités, les attaques DDoS amplifiées avec ce système pourraient être plus difficiles à détecter… et donc à filtrer.
La bonne nouvelle, c’est qu’il existe des solutions pour limiter la portée de ces attaques, comme filtrer les entrées réseau ou modifier le protocole uTP à la source pour limiter les paquets émis par les clients. Le problème, c’est que ces modifications pourraient poser des problèmes de compatibilité avec les clients les plus anciens.
Quoi qu’il en soit, si le sujet vous intéresse, alors sachez que l’article complet est disponible au format PDF par l’intermédiaire de ce lien.