La presse généraliste s'empare de plus en plus du phénomène Anonymous depuis la fermeture de Megaupload.
Un parallèle est souvent fait entre les revendications d'Anonymous et des DDOS lancés sur certains sites vitrines d'organisations. Ces DDOS sont actuellement illégaux, et les auteurs risquent différentes condamnations. Je propose une légalisation de ces DDOS en les associant dans le même cadre légal qu'une manifestation physique. Une manifestation, c'est une réunion de personnes qui souhaitent faire passer un message et ces manifestations, sous conditions, sont autorisées [généralement, tant que cela ne trouble pas l'ordre public].
Explication en deux temps; tout d'abord une clarification du phénomène DDOS et une remise à plat de certaines idées reçues, ensuite un parallèle technique, financier et médiatique de ces DDOS pour aborder la question de la responsabilité.
1/ Non, le DDOS n'est pas destructif!
Un DOS, c'est rendre inaccessible un service de traitement automatisées de données (STAD). Un DDOS, c'est un DOS distribué par plusieurs auteurs, (j'y reviendrai). Je pense qu'il faut arrêter les amalgames. Aussi bien sur crimenumérique que sur le CERTA on lit que certains DOS passent par la destruction de données, ou la mise hors service de certains systèmes de traitements.
Les DDOS que l'on a vu ces derniers temps n'ont jamais été destructif, et n'ont jamais duré bien longtemps. Il s'agit du flood d'un site web. Cette distinction est à mon avis essentielle. Condamner un participant à un DDOS avec l'argument consistant à dire que les DOS sont quelquefois destructifs me parait douteux.
2/ Et si ces DDOS n'étaient que des cybermanifestations?
Ces floods, ou DDOS, ont un impact technique, financier et médiatique.
A/ Technique
Nous voyons donc des DDOS qui consistent uniquement en une innondation de requêtes un site vitrine d'une organisation. Pas de divulgation de documents, pas de destruction. Les conséquences techniques sont donc bénignes. Cela s'apparente donc à une manifestation pacifique de piétons devant le siège d'une organisation. Un encombrement passager, mais dès la fin de la manifestation, un retour en fonctionnement optimal [1].
Un DDOS par flood est donc assimilable à un slashdot effect. Un DDOS non destructif par flood ne devrait poser aucun problème technique (j'insiste) au gestionnaire du site vitrine autre que l'inaccessibilité de celui-ci.
B/ Financier
Le volet financier d'un DDOS est plus difficile à appréhender. Certains sites vitrines n'ont aucune vocation financière. hadopi.fr est un site d'information généraliste, sans publicité. Une extinction temporaire de celui-ci ne devrait donc avoir aucune conséquence financière (je ne parle pas du déficit d'image, traité au dessous).
Il est sans doute possible de calculer un déficit pour lexpress. Ils doivent conserver des statistiques de clics sur les publicités (en imaginant qu'il s'agit de leur seule source de revenus), et une mise hors service de quelques heures doit être chiffrable, si tant est que cette entrée d'argent soit significative sur une période aussi courte.
On le voit, un DDOS sur des sites vitrines et non marchands ont un impact si ce n'est faible, au moins chiffrable. [2]
Lors d'une manifestation dans le monde réel, des magasins peuvent choisir de fermer, ou vont voir leur chiffre d'affaire très fortement réduit. Il existe des mécanismes d'indemnisations [si un juriste me lit et qu'il connait l'article de loi et un exemple ou deux, ça m'intéresse].
C/ Médiatiquement
Médiatiquement, une attaque comme un DDOS est censé attirer l'attention.
Actuellement, il est difficile de soutenir qu'un DDOS est lancé pour mettre au silence un site ou une organisation. Un DDOS sert surtout à montrer du doigt une organisation et avoir ainsi une tribune de revendications.
Paradoxalement, on pourrait même dire qu'un DDOS fait de la publicité pour le site visé. Si je prends lexpress, l'attaque a fait parler d'eux, et les gens sont donc mathématiquement allé les voir.
On le voit, un DDOS par innondation de requêtes sur un site vitrine est très proche d'une manifestation physique. Il ne manque toutefois plus que le volet de la responsabilité.
3/ Et la responsabilité dans tout ça?
Une manifestation, c'est une déclaration à la préfecture, c'est un responsable nommé, c'est un certain cadre autour de celle-ci. Un DDOS, c'est effectué sur un coin d'IRC et repris par tout un tas d'anonymes, diluant ainsi la responsabilité (au contraire d'un DOS qui peut être le fait d'une personne unique). Et cette question de responsabilité pose actuellement un problème car elle n'est pas réglé. On oscille entre des faux conseils d'amis: "un DDOS c'est pas grave, joins toi à nous" et des descentes de la DCRI au petit matin.
Mon idée est donc simple: Légalisons le DDOS par une déclaration à la préfecture de manière identique à ce qui se fait pour une manifestation IRL.
Un responsable identifié indiquerait donc, non pas un parcours, mais une date de début et de fin ainsi qu'un trafic estimé, cela donnerait:
"je soussigné, XXX, va organiser un DDOS sur le site vitrine YYY; nous manifesterons de 14h à 18h à l'aide d'un débit estimé à ZZZ requêtes/ secondes[3]. Copie de cette information est fournie au gestionnaire du site visé."
Ce qui donnerait donner des déclarations intéressantes le lendemain:
-80000 requêtes/s et 200 IP différentes selon la police, 120000 et 400 IP selon les manifestants, le trafic n'a été que ralenti hier après midi sur le site YYY. Les manifestants revendiquaient pour (...)"
---
[1] Si un système informatique pâtit d'un DDOS par flood, c'est qu'il est en carton et le coupable serait donc plus celui qui a monté ce système en carton que ceux qui accèdent à ce site.
[2] Les sites "pure player" comme Paypal ne peuvent pas se permettre de subir une coupure de service. Leur solution sera donc technique, un DDOS c'est basiquement celui qui a la plus grosse. A paypal de faire ce qu'il faut pour conserver un accès au réseau. Mais c'est une histoire de coût qui doit être anticipé. Lorsque la survie d'un site dépend du net, alors des moyens doivent être mis en oeuvre pour diminuer l'impact des DDOS [qui ne sont pas forcément malveillant, cf un slashdot effect ou des cas d'écoles de la fiche du CERTA]. Un manifestant avisé peut également choisir de ne pas attaquer ce genre de site.
[3] ou tout autre procédé, hein, je ne suis pas sectaire là-dessus, voir même un ajout de l'evil bit pour pouvoir calculer facilement le volume d'impact :-)