Une approche commerciale innovante dans son secteur
Le service n'est pas nouveau en soi. Ce qui est frappe de prime abord c'est que celui-ci a pignon sur Internet (pas besoin d'aller sur un obscur forum ou un canal IRC) et qu'il s'adresse clairement à tout le monde.... enfin à ceux qui parlent le chinois.... et qui ont la volonté d'attaquer un site Internet.
Contact direct avec le service client de IMDDOSPour aller plus loin, nous avons contacté le service commercial de cette société.
Le contact a été établi via le système de conversation online "QQ Chat" très utilisé en Chine. La réponse a été immédiate et courtoise, notre interlocuteur (nous diront il pour simplifier) se présentant comme appartenant à l'équipe du service client.
Pas de questions sur notre identité ni nos motivations
Aucune question ne nous est posée sur qui nous sommes, ou nous sommes localisés et quelles sont les raisons de notre intérêt pour un service de ce type. Quand vous allez à la pompe avec un jerricane, personne ne vous demande si c'est pour mettre dans la tondeuse ou pour mettre le feu à la maison du voisin ? Ici, c'est pareil ! L'important c'est de passer à la caisse en sortant.
Niveaux de service
Sont proposés 3 niveaux de services, dont un gratuit "pour tester", la facturation est effectuée en fonction de la durée de souscription. Les prix qui nous ont été communiqués sont les suivants :
- 35€ pour 1 mois
- 130€/an pour un an
- 200€ pour un accès permanent "illimité"
Des fonctions d'attaques classiques
Dans tous les packs, il vous est possible de lancer différents types d'attaque dont les classiques du genre que sont les (SYN Flood, TCP/UDP Flood et paquets "RAW") avec d'autres types plus obscurs : DK et NB...
Pour piloter son attaque, un tableau de bord "online" est fourni : Il permet de suivre son attaque. En plus, il faut installer un logiciel sur sa machine pour configurer l'attaque (adresse IP de la cible, numéro de port, ...)
Puissance d'attaque : L'unité est la "poule"
Concernant la puissance même de l'attaque (bits/s, paquets/s), la personne sur service client nous indique que celle-ci est fonction du nombre de poules que vous avez. Sur le moment, on se dit "on a pas bien capté"....
Mais oui, vous avez bien lu : Ils utilisent le terme de "poule" pour baptiser une machine utilisée pour lancer les attaques. Effectivement, c'est plus "sympathique" que des termes à connotation négative comme "zombie" ou "bot".... Y'a de la recherche marketing derrière. :-)
Si vous avez souscrit à l'un des packs alors vous avez d'office 2000 de ces "poules" pour lancer votre attaque. Dans le cas du service de test, il faudra se contenter de 100 "poules" uniquement. Un botnet de 2000 machines peut paraitre "petit" comme ça, mais cela peut tout à faire mail : Le botnet que j'ai cartographié en faisait environ 2300 et je vous garanti que l'on a sentit les choses passer...
Un kit d'élevage est proposé
Ou les choses deviennent "originales", c'est qu'en plus d'intégrer un nombre de "poules" donné dans les packs, le service inclut en standard ce qu'il faut pour développer son réseau de machines ! Parmi les "produits" livrés on retrouve en effet :
- Un outil permettant de créer un virus (appelé "petit trojan") pour obtenir les "poules".
- Un outil (mis à jour toutes les semaines) pour rendre son "petit trojan" indétectable aux antivirus
- Un outil supplémentaire pour intégrer le virus dans le fichier (jpg, txt, ...)
Sites Chinois exclus du contrat de service
Notre interlocuteur nous indique que nous pouvons attaquer les sites que nous voulons à l'exclusion des sites gouvernementaux chinois ainsi que certains sites Internet Chinois. Faut-il voir ici en filigrane une attitude passive de certaines autorités locales ou que des "alliances" on été mise en place ? A chacun de spéculer.
Autre idée en passant : Ceux qui paient un service de protection sont de facto dans la liste des sites qui ne peuvent être attaqués.
Pas de références mais des conseils
Parmi les questions posées, nous leur avons demandé combien de "poules" était nécessaires pour lancer des attaques. Il nous a été répondu que 100 "poules" étaient suffisantes pour un petit site, 1000 pour un moyen et enfin 10.000 pour un très grand site.
Quand on demande si ils ont des "références" (d'attaques précédentes), la réponse est "non". C'est vrai que l'on ne badine pas avec la confidentialité des échanges commerciaux. ;-)
Le mot de la fin
Comme j'ai pu l'écrire dans mon bulletin du 12 septembre sur l'utilisation qui était faite des attaques en DDoS pour lutter contre la diffusion de contenus piratés en Inde, le marché du DDoS est effectivement en pleine évolution : Après plusieurs années de "marché noir" celui-ci semble passer, du moins en partie, dans une zone ou le commerce fait la loi. Il semblerait qu'une page vienne de se tourner avec IMDDOS.
Fort heureusement, l'offre commerciale est pour le moment loin d'être abondante mais il se pourrait qu'elle se développe rapidement dans les années à venir. Les cartes du jeu sont en train de changer de mains et les acteurs de la sécurité sur Internet se doivent de suivre le jeu et d'y participer !
Crédit: Je tiens à remercier Junfeng Meng, actuellement en stage dans mes équipes pour son aide : C'est grâce à lui que nous avons pu rentrer en contact avec les personnes d'IMDDOS et collecter toutes ces informations.
Jeu de briques
Snake
Pacman
Bubble