Webstresser.org : le site à l’origine de 4 millions d’attaques informatiques a été fermé

Fermeture d’un site utilisé par les hackers pour mener leurs attaques informatiques
Magazine des tendances, buzz et sorties » high tech / 2.0 » Webstresser.org : le site à l’origine de 4 millions d’attaques informatiques a été fermé

Avril dernier, la police britannique annonçait la fermeture de webstresser.org, un site web qui aurait été à l’origine de plus de 4 millions d’attaques informatiques dans le monde. Et ceci grâce à une opération de police internationale qui aurait permis la saisie des serveurs du site que les pirates utilisaient pour mener lesdites attaques.

Webstresser : de puissantes armes au service des cybercriminels

Selon le président de la Joint Cybercrime Action Tasforce (cellule opérationnelle de lutte contre la cybercriminalité d’Europol), Jaap van Oss, le site webstesser.org mettait à la disposition des cybercriminels de puissantes armes. En effet, il s’agit d’un portail qui proposait, contre un forfait mensuel de 15 euros, un service d’attaques par déni de services distribués (DDoS). Rappelons que ce protocole se base sur une saturation de requêtes dans le seul et unique but de mette hors d’état des sites web et serveurs.

Souvenez-vous de la cyberattaque qui a été à l’origine, en 2016, de la fermeture temporaire de grands sites comme Spotify, Twitter et Reddit. Dénommée Dyn, ladite attaque a nécessité le contrôle d’un grand nombre de terminaux comme les objets connectés. Une puissance que le site webstresser.org offrait à toute personne qui était prête à payer le service. De ce fait, les criminels n’avaient plus forcément besoin d’expertise technique pour faire de nombreuses victimes à travers des attaques de masse. Ce site a lui tout seul a ainsi permis la cyberattaque de banques, de plusieurs sites de jeux, de marketplaces, de polices et même de gouvernements avant d’être fermé grâce à l’opération « Power Off ».

Grâce à la collaboration des autorités des Pays-Bas, de la Serbie, de la Croatie, du Canada en plus du soutien de la police écossaise et d’Europol, webstresser.org a pu être mis hors de service le 25 avril dernier *. Une opération qui s’est soldée par l’arrestation de supposés 4 administrateurs et de plusieurs gros clients (en Espagne, Australie, Italie, à Hong-kong et aux Pays-Bas) du site. Soulignons l’organisation criminelle disposait même d’une page Facebook. Et c’est à travers cette dernière qu’elle demandait de l’aide à des influenceurs pour la promotion du service sur le célèbre site d’hébergement de vidéos, YouTube. Tout ceci montre que la cybersécurité est l’affaire de tous et combien il est primordial que tout le monde soit sensibilisé aux bons comportements et pratiques.
La comportement habituel des hackers dans ce genre d’attaque de type DDoS consiste à pirater des sites internet (désormais aussi des objets connectés) et à les utiliser pour attaquer le ou les cibles définies. Parfois, les données sensibles des sites sont récupérées afin de les réutiliser la plupart du temps de manière illégale. Vous aurez bien compris que lorsque l’on est webmaster ou responsable d’un site internet, il faut avoir un politique de sécurité à jour afin de limiter les risques de hacking et de se faire dérober des informations confidentielles. Concernant ce dernier point, faisons un tour d’horizon des bonnes pratiques lorsque l’on crée ou détient un site internet.

Sites Internet en France : les droits et obligations

Lorsque l’on a pour projet de monter un site internet, il est primordial de réfléchir à la solution qui correspond le plus à ses attentes et surtout compétences : avoir son propre site (sur un hébergement mutualisé ou serveur) ou passer par une solution en ligne. Des Professionnels comme Wix, qui sont spécialisés dans la création de site Internet, permettent au delà du fait de gagner du temps avec une solution clef en main ergonomique et rapide à installer, de ne pas avoir à gérer l’aspect sécurité serveur et sécurité des données. En effet, sur ce type de solution SaaS, des équipes sont dédiées à la sécurisation, l’infogérance, la stabilité et la protection des sites des utilisateurs. Avec un forfait qui débute à un peu plus de 4€ / mois, l’offre est attractive. La différence entre les divers packs proposés (VIP, eCommerce, Unlimited, Combo) réside principalement au niveau des caractéristiques suivantes :

  • Bande passante
  • Capacité de stockage
  • Boutique en ligne
  • Campagne d’emailing

Vous pouvez même tester gratuitement leur solution avant de sauter le pas : certaines fonctionnalités sont réduites et Wix affichera de la publicité, mais cela permet de se faire un avis concret de leur service. Des solutions e-commerce comme Shopify existent aussi sur le même principe, avec une spécialisation sur la vente en ligne.

La gestion des données à caractère personnel

Selon la réglementation en France, tout site destiné à enregistrer des données à caractère personnel est dans l’obligation d’informer les personnes concernées au moment de leur inscription. De ce fait, l’utilisation qui sera faite des informations collectées, sans oublier la durée de leur conservation doit être mise en exergue. Ajoutons que les utilisateurs ont également le droit de demander à ce que des renseignements les concernant soient modifiés.

À cet effet, il est exigé qu’un site qui doit enregistrer des informations personnelles sur ses utilisateurs le déclare auprès de la Commission nationale de l’informatique et des libertés (CNIL). Elle se fait en ligne gratuitement et permet d’avoir des renseignements sur le type d’informations collectées ainsi que l’utilisation qui en sera faite.

Les mentions légales

Un site Internet à vocation professionnel est dans l’obligation d’avoir des mentions légales claires et explicites afin, non seulement de rassurer les internautes, mais également de garantir la conformité à la loi. À ce propos, la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 a énuméré lesdites mentions légales qui réunissent dans un format ouvert des informations :

  • concernant l’hébergeur (raison sociale, adresse, contact)
  • concernant l’éditeur du site. Pour une personne morale, on doit retrouver la dénomination ou la raison sociale, l’adresse du siège social, des informations de contact, le nom du directeur de publication ainsi que ceux des éditeurs du site. Et en ce qui concerne une personne physique, il doit être mentionné dans les mentions légales du site son nom et prénom, adresse et numéro de téléphone ainsi que le nom du directeur de publication.

Ajoutons pour finir que dans ces mentions, il est également primordial de mentionner s’il y a utilisation ou pas de cookies pour la gestion des sessions des utilisateurs. Pour cela, il faudra indiquer à ces derniers qu’ils ont la possibilité de les supprimer au niveau des préférences de leur navigateur web. Si plusieurs petits sites ne respectent pas cette disposition légale, il faut souligner le risque d’amendes qui peuvent s’élever à près de 75 000 euros.

Le droit d’auteur

En droit français et conformément aux dispositions légales du Code de la propriété intellectuelle, toute création peut être protégée.
Il n’est donc pas rare de lire qu’un site est régit par la protection par le droit d’auteur. Comme vous l’aurez compris, la réutilisation de contenu (image, vidéo, texte) ne peut se faire qu’avec l’accord de son auteur.

La responsabilité des utilisateurs

Sur certains sites, la possibilité est donnée aux utilisateurs de publier eux-mêmes du contenu (images, vidéo, articles). À cet effet, le site n’a pas à contrôler le contenu qui sera publié par les internautes et n’a pas non plus à être tenu pour responsable d’un contenu dont il n’avait pas connaissance.
Toutefois, tout contenu illicite se doit d’être immédiatement retiré dès qu’il est constaté. Et c’est dans cette optique qu’il est recommandé qu’il soit mis en place un système qui permette à chaque utilisateur de signaler du contenu choquant ou illégal.

Le droit de réponse

Sur Internet, toute personne dont le nom est mentionné dans une page dispose d’un droit de réponse qu’il peut exercer en contactant le directeur de publication du site dont il est question.
Ceci dans un délai de trois mois à partir du jour où l’article a été publié. Et sous peine d’une amende de près de 4 000 euros, le directeur est dans l’obligation de publier la réponse. Pour cela il dispose d’un délai de 3 jours.

* Source : https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-biggest-marketplace-selling-internet-paralysing-ddos-attacks-taken-down

Laisser un commentaire