Un jury en Californie a rendu aujourd’hui un verdict de culpabilité dans le procès de Matthieu Gatrel, un homme de St. Charles, dans l’Illinois, accusé en 2018 d’avoir exploité deux services en ligne permettant à des clients payants de lancer de puissantes attaques par déni de service distribué (DDoS) contre des internautes et des sites Web. La condamnation de Gatrel intervient environ deux semaines après que son co-conspirateur a plaidé coupable à des accusations criminelles liées à la gestion des services.

L’interface utilisateur pour Downthem[.]org.
Les procureurs du district central de Californie ont inculpé Gatrel, 32 ans, et son partenaire commercial Juan « Severon » Martinez de Pasadena, en Californie, avec l’exploitation de deux services DDoS à louer ou « booter » – vers le bas[.]org et ampnoeud[.]com.
Bien qu’il ait admis aux agents du FBI qu’il dirigeait ces services de démarrage (et qu’il ait fourni de nombreuses preuves incriminantes dans le processus), Gatrel a choisi de porter son cas en justice, défendu tout le temps par des défenseurs publics. Face à la perspective d’une lourde peine s’il est reconnu coupable au procès, Martinez a plaidé coupable le 26 août à un chef d’accusation d’altération non autorisée d’un ordinateur protégé.
Gatrel était condamné sur les trois chefs d’accusation de violation de la loi Computer Fraud and Abuse Act, y compris complot en vue de commettre une altération non autorisée d’un ordinateur protégé, complot en vue de commettre une fraude électronique et altération non autorisée d’un ordinateur protégé.
Les enquêteurs affirment que Downthem a aidé quelque 2 000 clients à lancer des attaques numériques débilitantes sur plus de 200 000 cibles, dont de nombreux sites Web gouvernementaux, bancaires, universitaires et de jeux.
Les procureurs ont allégué qu’en plus de gérer et de commercialiser Downthem, les accusés vendaient d’énormes listes d’adresses Internet continuellement mises à jour liées à des appareils qui pourraient être utilisés par d’autres services de démarrage pour rendre les attaques beaucoup plus puissantes et efficaces. En outre, d’autres services de démarrage ont également tiré la puissance de feu et d’autres ressources d’Ampnode.
Les services de démarrage et de stress permettent aux clients de choisir parmi une variété de méthodes d’attaque, mais presque universellement, la plus puissante de ces méthodes implique ce que l’on appelle une «attaque d’amplification réfléchissante». Dans de telles agressions, les auteurs exploitent des serveurs de noms de domaine (DNS) non gérés ou d’autres appareils sur le Web pour créer d’énormes inondations de trafic.
Idéalement, les serveurs DNS ne fournissent des services qu’aux machines d’un domaine de confiance, comme la traduction d’une adresse Internet à partir d’une série de chiffres en un nom de domaine, comme example.com. Mais les attaques par réflexion DNS reposent sur des routeurs grand public et professionnels et d’autres appareils équipés de serveurs DNS qui sont (mal) configurés pour accepter des requêtes de n’importe où sur le Web.
Les attaquants peuvent envoyer des requêtes DNS usurpées à ces serveurs DNS, falsifiant la requête de sorte qu’elle semble provenir du réseau de la cible. De cette façon, lorsque les serveurs DNS répondent, ils répondent à l’adresse usurpée (cible).
Les méchants peuvent également amplifier une attaque réflexive en élaborant des requêtes DNS afin que les réponses soient beaucoup plus importantes que les requêtes. Par exemple, un attaquant pourrait composer une requête DNS de moins de 100 octets, provoquant une réponse 60 à 70 fois plus volumineuse. Cet effet « d’amplification » est particulièrement prononcé si les auteurs interrogent simultanément des dizaines de serveurs DNS avec ces requêtes usurpées.
Le gouvernement a accusé Gatrel et Martinez d’analyser constamment Internet à la recherche de ces appareils mal configurés, puis de vendre des listes d’adresses Internet liées à ces appareils à d’autres opérateurs de services de démarrage.
La condamnation de Gatrel est prévue pour le 27 janvier 2022. Il encourt une peine maximale légale de 35 ans de prison fédérale. Cependant, compte tenu du résultat des poursuites engagées contre d’autres opérateurs de services de démarrage, il semble peu probable que Gatrel passe beaucoup de temps en prison.
L’affaire contre Gatrel et Martinez a été intentée dans le cadre d’une répression généralisée des services de démarrage en décembre 2018, lorsque le FBI s’est joint à des partenaires chargés de l’application de la loi à l’étranger pour saisir 15 domaines de services de démarrage différents.
Les procureurs fédéraux et les experts DDoS interrogés à l’époque ont déclaré que l’opération avait trois objectifs principaux : éduquer les gens sur le fait que l’embauche d’attaques DDoS est illégale, déstabiliser l’industrie florissante des booters et, en fin de compte, réduire la demande de services de booters.
Le jury ne sait toujours pas si l’un de ces objectifs a été atteint avec un effet durable.
La plainte originale contre Gatrel et Martinez est ici (PDF).