Les administrateurs de la plateforme webstresser.org, qui facturait des prestations d’attaques DDoS (la plus petite prestation coûtait 15 € le mois), ont été arrêtés le 24 avril 2018 à la suite d’une opération au nom de code Power Off. Elle était le résultat d’une enquête complexe menée par la police néerlandaise et la National Crime Agency du Royaume-Uni avec le soutien d'Europol et d'une douzaine d'agences d'application de la loi. Les administrateurs se trouvaient au Royaume-Uni, en Croatie, au Canada et en Serbie.
Des mesures supplémentaires ont été prises contre les principaux utilisateurs de ce marché aux Pays-Bas, en Italie, en Espagne, en Croatie, au Royaume-Uni, en Australie, au Canada et à Hong Kong. Le service illégal a été fermé et ses infrastructures saisies aux Pays-Bas, aux États-Unis et en Allemagne.
Selon Europol, Webstresser.org était considéré comme le plus grand marché au monde pour les prestations d’attaques DDoS, avec plus de 136 000 utilisateurs enregistrés et à son actif plus de 4 millions d'attaques ‘(données d’avril 2018). Les attaques orchestrées ciblaient les services en ligne critiques offerts par les banques, les institutions gouvernementales, les forces de police, mais également l'industrie du jeu.
La coopération policière internationale a été au cœur du succès de cette enquête lancée par l'Unité nationale néerlandaise de lutte contre la criminalité technologique et la National Crime Agency du Royaume-Uni étant donné que les administrateurs, les clients, les infrastructures critiques et les victimes étaient dispersés dans le monde entier.
Le Centre européen de lutte contre la cybercriminalité (EC3) d'Europol et le groupe de travail conjoint sur la lutte contre la cybercriminalité (J-CAT) ont soutenu l'enquête dès le début en facilitant l'échange d'informations entre tous les partenaires. Un poste de commandement et de coordination a été installé au siège d'Europol à La Haye le jour de l'action.
WebStresser a été lancé en 2015. Au départ, il était un service de petite envergure, mais il a évolué au fil des ans. Il a commencé à proposer une multitude d'attaques DDoS et a même publié une application mobile à partir de laquelle les utilisateurs pouvaient lancer des attaques s'ils se trouvaient éloignés de leur PC. Comme mode de financement, ils ont accepté le paiement via PayPal et Bitcoin et promu agressivement leur service sur les forums dans le Dark Web. Une formule gagnante pour le service qui est extrêmement populaire.
WebStresser tenait également une page Facebook très activement où il demandait régulièrement aux utilisateurs de poster des critiques positives sur le site sur YouTube, avis qui seraient récompensés par un accès gratuit au service pendant un mois. Et le nombre de personnes ayant joué le jeu sur YouTube est allé grandissant, il suffit de taper le mot clé « webstresser » et de voir le nombre de résultats retournés sur YouTube.
La page Facebook contenait également des messages des administrateurs de WebStresser, annonçant les temps d'arrêt ou les opérations de maintenance. Dans de nombreux messages, les administrateurs de site ont fait l'erreur de révéler les noms de leurs hébergeurs. Par exemple, une publication sur Facebook a révélé que WebStresser hébergeait des serveurs au Deutscher Commercial Internet Exchange (DE-CIX), un centre de données allemand bien connu situé à Francfort. Précisons qu'Europol a déclaré avoir saisi des serveurs en Allemagne.
« Nous avons observé une tendance où la sophistication de certains pirates informatiques professionnels pour fournir des ressources permet aux individus, expérimentés ou non, de mener des attaques DDoS et autres activités malveillantes en ligne », a déclaré Steven Wilson, chef du European Cybercrime Center d'Europol. « C'est un problème croissant, et nous le prenons très au sérieux : les criminels collaborent très bien, faisant des victimes par millions dans le monde entier. Aussi, nous devons collaborer aussi bien qu'eux avec nos partenaires internationaux pour renverser la situation et mettre fin à leurs cyberattaques. »
« Les sites web Stresser constituent des armes puissantes entre les mains des cybercriminels », a déclaré Jaap van Oss, le président néerlandais du groupe de travail conjoint sur la lutte contre la cybercriminalité (J-CAT). « Les forces internationales de l’ordre ne vont pas tolérer ces services illégaux et vont continuer de poursuivre aussi bien les administrateurs que les clients. Cette opération conjointe est un autre exemple réussi de l'effort international continu contre ces cyberattaques destructrices. »
En France, l’attaque DDOS peut avoir de graves conséquences judiciaires. Le Code pénal, à travers son article L323-2 , prévoit jusqu’à cinq ans de prison et 150 000 euros d’amende pour toute personne entravant le fonctionnement d’un système de traitement automatisé de données. Et quand elle vise un système de l’État, les sanctions passent à sept ans de prison et 300 000 euros d’amende.
Ces sanctions n’incluent évidemment pas les dommages et intérêts que les victimes de l’attaque pourraient réclamer, au titre du préjudice, notamment matériel.
Malgré l'élimination de la plus grande et de la plus visible plateforme de prestation d'attaques DDoS, il existe de nombreux autres services similaires disponibles en ligne, beaucoup accessibles à tous ceux qui souhaitent exécuter une requête de recherche Google.
Sources : Europol, page Facebook Webstresser, code pénal
Voir aussi :
Une attaque DDoS memcached établit un nouveau record avec une amplitude de 1,7 Tbps, quelques jours seulement après l'attaque contre GitHub Un Britannique arrêté pour avoir utilisé un bot de 9000 zombies afin de lancer des attaques DDoS contre Google et Skype