Un développeur qui dirigeait un "empire" DDoS-for-Hire critique Cloudflare pour avoir protégé l'industrie DDoS,
tout en vendant des services pour atténuer de telles attaques

Cloudflare a suscité la polémique après avoir publié un billet de blog expliquant les circonstances dans lesquelles les sites Web abusifs sont éligibles à ses services. Son PDG Matthew Prince et sa vice-présidente Alissa Starzak ont tenté de clarifier pourquoi l'entreprise modère parfois le contenu abusif et parfois non. C'est dans ce contexte qu'un développeur qui fournissait des booters a critiqué Cloudflare pour avoir protégé cette industrie. Dans le monde de la sécurité informatique, un booter est un type de service qui fournit des attaques par déni de service distribué (DDoS) aux clients.

Le 27 février 2019, un homme d'Orland Park, dans l'Illinois, a plaidé coupable à un chef d'accusation de complot en vue de causer des dommages à des ordinateurs connectés à Internet pour son rôle dans la possession, l'administration et le soutien de booters qui ont lancé des millions d'attaques DDoS contre les systèmes informatiques des victimes aux États-Unis et ailleurs. Les services illégaux comprenaient ExoStress.in (« ExoStresser »), QuezStresser.com, Betabooter.com (« Betabooter »), Databooter.com, Instabooter.com, Polystress.com et Zstress.net.

Selon les informations criminelles, Sergiy P. Usatyuk, 20 ans à l'époque, s'est associé à un co-conspirateur pour développer, contrôler et exploiter un certain nombre de booters et de sites Web liés aux booters d'environ août 2015 à novembre 2017 qui ont lancé des millions d'attaques DDoS qui ont perturbé les connexions Internet des ordinateurs des victimes ciblées, ont rendu les sites Web ciblés lents ou inaccessibles et ont interrompu les opérations commerciales normales. Par exemple, au 12 septembre 2017, ExoStresser a annoncé sur son site Web (exostress.in) que son booter à lui seul avait lancé 1 367 610 attaques DDoS et causé 109 186,4 heures d'indisponibilité du réseau aux systèmes informatiques des victimes ciblées.

Les "Booters" ou "Stressers" sont une classe de services Web accessibles au public qui permettent aux cybercriminels de lancer des attaques par déni de service distribué, ou DDoS, qui submergent un système informatique cible avec un trafic non sollicité, moyennant des frais relativement minimes ou sans frais du tout. Pour lancer une attaque DDoS à l'aide d'un booter, un cybercriminel n'a souvent besoin que d'un navigateur Web et d'un outil de paiement en ligne pour s'abonner à un fournisseur, fournir des instructions pour attaquer un système informatique victime et effectuer le paiement.

Les attaques DDoS lancées par les booters ont également nui à des systèmes informatiques qui n'étaient pas directement ciblés. Par exemple, selon les informations criminelles, en novembre 2016, un abonné Betabooter a lancé une série d'attaques DDoS contre un district scolaire de la région de Pittsburgh, en Pennsylvanie, qui a non seulement perturbé les systèmes informatiques du district scolaire, mais également affecté les systèmes informatiques de 17 organisations qui partageaient la même infrastructure informatique, y compris d'autres districts scolaires, le gouvernement du comté, les centres de carrière et de technologie du comté et un diocèse catholique de la région.

Sergiy P. Usatyuk répondait à plusieurs pseudonymes comme “Rasbora” et “Mr. Booter Master"

Cloudflare sous les feux des projecteurs avec le forum Kiwi Farms

La société de sécurité technologique Cloudflare a annoncé qu'elle abandonnait le site Web de Kiwi Farms en raison du « danger imminent » posé par les campagnes de harcèlement en ligne et les menaces provenant du site. Cette décision intervient quelques jours seulement après que le directeur général de Cloudflare, Matthew Prince, a initialement soutenu la décision de l'entreprise de protéger le site après qu'il ait été lié à des campagnes de harcèlement réelles. Le site, connu comme un forum permettant aux harceleurs d'organiser des campagnes contre leurs cibles, a été lié à au moins trois suicides. Samedi, Prince avait fait marche arrière, déclarant au Washington Post : « Nous pensons qu'il y a un danger imminent, et le rythme auquel les forces de l'ordre sont capables de répondre à ces menaces que nous ne pensons pas être assez rapide pour suivre ». Il a noté que les contributeurs du forum affichaient les adresses personnelles des personnes et demandaient qu'elles soient abattues. Les visiteurs du site sont désormais accueillis par le message suivant : « En raison d'une menace imminente et urgente pour la vie humaine, l'accès au contenu de ce site est bloqué via l'infrastructure de Cloudflare ».

La perspective d'un développeur anciennement black hat sur les services Cloudflare

Ce qui va suivre provient du billet de Rasbora.

Aujourd'hui, CloudFlare est sous les projecteurs pour sa décision de révoquer l'accès à un site Web derrière son réseau, une décision qui intervient seulement 3 jours après avoir publié un billet de blog discutant de ses politiques en matière d'abus et faisant la déclaration suivante :

« Certains affirment que nous devrions mettre fin à ces services au contenu que nous jugeons répréhensible afin que d'autres puissent lancer des attaques pour le mettre hors ligne. C'est l'argument équivalent dans le monde physique selon lequel les pompiers ne devraient pas répondre aux incendies dans les maisons des personnes qui n'ont pas une moralité suffisante ».

Je suis d'accord avec l'analogie de CloudFlare, le service d'incendie devrait répondre à un incendie dans n'importe quelle maison, peu importe qui y vit. Cependant, cet exemple du monde réel n'est pas une représentation précise de la situation présentée par CloudFlare. En tant qu'opérateur du plus grand empire DDoS-for-Hire de l'histoire d'Internet, j'ai une perspective unique sur la situation dans laquelle se trouve CloudFlare.

« Éviter » un abus de pouvoir

En tant que fournisseur d'infrastructure pour plus de 20 % de tout le trafic www traversant Internet aujourd'hui, CloudFlare est en mesure d'appliquer ses convictions à l'échelle mondiale. La plupart du temps, ce n'est pas un problème, de nombreux sites Web malveillants tentent de profiter des services offerts par CloudFlare et sont à juste titre éjectés. Les problèmes surviennent dans une petite catégorie de sites Web qui brouillent la ligne. Est-il acceptable de révoquer l'accès à un site Web faisant la promotion de discours de haine et de violence ? Qui interprète ce qui est qualifié de discours de haine ? Un seul message sur un forum dans une mer de milliers devrait-il disqualifier un site Web entier ? Qui décide de la manière dont ces critères sont définis ?

Les réponses de CloudFlare à ces questions ont toujours été : rien. Ils n'ont cessé de répéter que parce qu'ils sont un utilitaire Internet, ils restent neutres sur ces sujets et laissent aux hébergeurs le soin de répondre à ces questions. Cependant, CloudFlare n'est pas un service public neutre, c'est une société cotée en bourse et a des actionnaires à qui rendre compte, n'importe quel service d'incendie dans le monde peut-il en dire autant ?

En tant que jeune cyber-mécréant, j'ai exploité des dizaines de services booter ("DDoS-for-Hire") tout au long de mon adolescence, et chacun d'entre eux a utilisé CloudFlare pour protéger mes sites Web contre les attaques DDoS concurrentes. Sans les offres de services de sécurité "neutres" de CloudFlare, je n'aurais pas pu faciliter des millions d'attaques DDoS. Il est difficile de souligner à quel point CloudFlare est déterminant dans le succès d'une opération de services de booter, les booter qui n'étaient pas protégés par CloudFlare ne resteraient pas en ligne très longtemps.

Il semble que peu de choses aient changé au fil des ans, tout comme j'ai profité des services de CloudFlare il y a de nombreuses années, le premier résultat sur Google pour le terme de recherche "booter" fait la même chose aujourd'hui. Tant que CloudFlare n'intervient pas dans le fonctionnement de ces sites, ils "évitent" un abus de pouvoir, n'est-ce pas commode ?

En tant que personne qui a déjà justifié ses actions en disant "Je ne cause pas directement de préjudice, la responsabilité coule en aval vers mes utilisateurs finaux", je peux vous dire que c'est au mieux une défense fragile. La situation serait différente si CloudFlare n'était pas au courant des sites Web de booter auxquels ils offrent une protection, mais ce n'est pas le cas. CloudFlare sait qui ils protègent et choisit de continuer à le faire, étant pleinement conscient du résultat final que leurs actions auront. Parlons de ce résultat final parce que l'hypocrisie de tout cela pique comme une gifle au visage pendant que je tape ceci.

CloudFlare est responsable du maintien en ligne et de l'exploitation des sites Web de booter, les mêmes sites Web dont le seul but est d'alimenter le propre modèle commercial de CloudFlare, en vendant une protection DDoS. Cher lecteur, veuillez prendre un moment pour réfléchir à la dernière phrase.

CloudFlare est un service d'incendie qui se targue d'éteindre les incendies dans n'importe quelle maison, quelle que soit la personne qui y vit, ce qu'ils oublient de mentionner, c'est qu'ils allument activement ces incendies et gagnent de l'argent en les éteignant !

Je me souviens d'une histoire similaire publiée par mon journaliste préféré il y a de nombreuses années : Répandre la maladie et vendre le remède.

Nom : legal.png
Affichages : 2685
Taille : 114,4 Ko

Le propre tableau de responsabilité de CloudFlare nous indique qu'ils estiment qu'ils n'ont aucune obligation de prendre des mesures contre les services de booter florissant sous leur réseau, même si le résultat final de leur inaction signifie qu'ils auront plus de clients achetant leurs services de sécurité et que l'Internet dans son ensemble sera infesté par plus de trafic DDoS qu'il ne le serait autrement. Si votre entreprise éteint des incendies, il peut être dans votre intérêt de vous assurer qu'un feu constant continue d'être allumé.

Dans mon cas ou celui de CloudFlare, nous sommes tous les deux à quelques échelons détachés sur l'échelle qui se termine finalement par une attaque DDoS et nous sommes tous les deux financièrement motivés pour ne pas casser cette échelle. C'est une chose d'être sur cette échelle en tant qu'adolescent avec des aspirations erronées et une autre d'être une entreprise avec une capitalisation boursière de 20 milliards de dollars se cachant derrière une ruse de ne pas vouloir censurer la liberté d'expression.

Indépendamment de l'interprétation des lois sur la responsabilité de la facilitation de ces attaques, il n'y a aucun argument contre le fait que si CloudFlare intervenait et éjectait les services booter de leur plate-forme (hah), le besoin de leurs services de protection payants diminuerait.

Réflexions finales

Malgré mes critiques de CloudFlare, ils offrent un service public incroyable au monde. Je suis un utilisateur de CloudFlare depuis l'âge de 14 ans et je continue d'approuver leurs services. J'ai utilisé CloudFlare de nombreuses façons au fil des ans et mon opinion d'aujourd'hui a été écrite de manière totalement objective. En tant qu'entreprise dont la mission est d'aider à construire un meilleur Internet, elle n'est pas alignée sur cet objectif alors que ces sites Web sont autorisés à prospérer sur leur réseau.

Le PDG de CloudFlare, Matthew Prince, a montré qu'il était prêt à intervenir quand il le jugeait nécessaire. Si Matthew lisait ceci, je lui demanderais, ne pensez-vous pas que vous établiriez un précédent positif en inversant le cours de votre politique de booter ? Il n'y a pas de liberté d'expression ou de considérations relatives aux droits de l'homme ici, il n'y a que le bon choix et le mauvais.

Source : Rasbora

Et vous ?

Quelle lecture en faites-vous ?
Un fournisseur de service web a-t-il, selon vous, le devoir moral de choisir ses clients ? Dans quelle mesure ?
Est-il acceptable de révoquer l'accès à un site Web faisant la promotion de discours de haine et de violence ?
Qui interprète ce qui est qualifié de discours de haine ?
Un seul message sur un forum dans une mer de milliers devrait-il disqualifier un site Web entier ? Qui décide de la manière dont ces critères sont définis ?
« CloudFlare est un service d'incendie qui se targue d'éteindre les incendies dans n'importe quelle maison, quelle que soit la personne qui y vit, ce qu'ils oublient de mentionner, c'est qu'ils allument activement ces incendies et gagnent de l'argent en les éteignant ! » Que pensez-vous de cette affirmation ?
Partagez-vous l'avis du développeur selon lequel Cloudflare répand la maladie et vend le remède ?

Voir aussi :

Après Cloudflare, Kiwi Farms est abandonné par la société russe DDoS-Guard et est désormais inaccessible. Le propriétaire du forum de harcèlement en ligne y voit une « attaque organisée »
Cloudflare bloque Kiwi Farms en raison du « danger imminent » posé par les campagnes de harcèlement et les menaces provenant du forum après avoir expliqué qu'elle n'avait pas l'intention de le faire