S’attaquer aux services de booters

Le déni de service (Denial of service [DoS]) est une attaque au cours de laquelle l’auteur de l’infraction génère une grande quantité de trafic vers les utilisateurs finaux ou le service Web, et empêche certaines ou toutes les demandes légitimes d’être satisfaites. Les services de booter ou stresser fournissent des attaques par déni de service en tant que service. Les opérateurs de booter peuvent publiciser leur service et les particuliers peuvent créer des comptes, commander des attaques et payer via PayPal ou par transfert de cryptomonnaie.

L’utilisation d’un service de booter ou l’achat d’une attaque par déni de service est illégale dans la plupart des juridictions. Ainsi, un certain nombre d’actions policières ont eu lieu ces dernières années pour lutter contre les prestations de service ou l’utilisation de booters.

Dans cet article, Brian Collier et ses collègues ont évalué les effets de différentes interventions (affaires judiciaires de grande envergure et condamnation de fournisseurs de booters, arrestations, démantèlement de sites web de booters et campagnes de message ciblant les utilisateurs) sur le nombre d’attaques de booters à l’aide de deux ensembles de données. La première base de données recense les victimes d’une attaque d’amplification UDP ­­– une technique utilisée par le booter pour amplifier les attaques par déni de service. La deuxième base de données est quant à elle constituée du nombre d’attaques par déni de service autodéclarées (soit les attaques revendiquées par les auteurs) collectées sur des sites Web de booter.

Même si les auteurs ont noté des failles dans leurs bases de données, leur analyse permet de rendre compte d’une approximation des niveaux d’attaque et des effets que différentes interventions ont sur eux. Les auteurs ont remarqué qu’il existe une cohérence entre le type d’intervention, l’effet qu’elle produit et la mesure dans laquelle ils produisent trois résultats principaux : dissuader les fournisseurs (réduire l’offre), dissuader les utilisateurs (réduire la demande) et produire des changements structurels sur le marché.

 

  • Affaire judiciaire très médiatisée : la couverture médiatique des poursuites ou des condamnations des fournisseurs de booters semble n’avoir aucun effet systématique sur le nombre d’attaques observé.
  • Démantèlement d’un booter individuel : le retrait du Webstresser, le plus important booter au moment de sa fermeture, a eu un effet profond, mais à court terme, sur le marché des services de booter. Un certain nombre de petits booters ont disparu, mais ils ont peu contribué au total des attaques.

 

  • Interventions de grande envergure : les démantèlements de grande ampleur ont eu un effet beaucoup plus durable. Ils ont affecté la structure du marché, ce qui a conduit un certain nombre de booters à quitter définitivement le marché. Les auteurs ont également remarqué une disparition de la demande de services des utilisateurs.

 

  • Campagnes de messages ciblées : la campagne ciblant les utilisateurs potentiels de booters au Royaume-Uni semble être corrélée à un changement frappant des attaques au Royaume-Uni. Cela semble indiquer que la campagne a pu avoir un effet de dissuasion sur les nouveaux utilisateurs.

 

  • Déplacement et dissuasion : bien que l’on puisse observer un déplacement vers d’autres fournisseurs de booter lorsque des démantèlements se produisent, cela est souvent limité dans le temps pour les petits fournisseurs, car l’afflux d’utilisateurs peut les submerger et conduire leurs services à cesser de fonctionner efficacement.

 

 

Les auteurs ont conclu qu’il existe trois mécanismes sous-jacents aux effets observés dans leurs données : 1) les campagnes de messages semblent supprimer la demande de services des utilisateurs en sapant la perception répandue dans la communauté des booters que leur activité est peu nuisible et essentiellement légale; 2) il semble y avoir un effet déstabilisateur des démantèlements de sites Web, qui dissuade les fournisseurs de booter et réduit l’accessibilité de ces services; 3) les démantèlements de sites Web de grande envergure semblent avoir un effet structurel sur le marché des services de démarrage en les concentrant sur des fournisseurs particuliers.

 

Citer cet article : Collier, B., Clayton, R., Thomas, D. R. et Hutchings, A. (2019). Booting the Booters: Evaluating the Effects of Police Interventions in the Market for Denial-of-Service Attacks. IMC ’19 Proceedings of the Internet Measurement Conference, 50-64.