Les contestataires Iraniens, nous apprend un billet du Sans, seraient, outre des amateurs d’attaques en déni de service aux méthodes artisanales, de consciencieux lecteurs des blogs de sécurité. En effet, peu de temps après la publication des travaux de Rsnake, il semblerait que les attaques visant les principaux sites web Iraniens pro-Ahmadinejad utiliseraient Slowloris, une preuve de faisabilité capable d’ouvrir des sessions de longue durée et d’étouffer peu à peu le serveur visé par saturation de sa capacité d’accès. Dans ce même article, le Sans signale la disponibilité d’un correctif non officiel destiné aux serveurs Apache, et raccourcissant par un « time out » plus restrictif la durée de chaque session en fonction de la charge http. Comme l’exemple des activistes Iraniens risque d’être suivi par quelques script-kiddies en direction de cibles non nécessairement Iraniennes, un téléchargement au cas où du fichier diff peut s’avérer nécessaire.
Pierre Caron, du Cert Lexsi, revient également sur ces séries d’attaques, et se penche plus particulièrement sur l’usage du script « Page Reboot » et son évolution au fil du temps. Il s’attache aussi à l’étonnante efficacité dont fait preuve ce mouvement de protestation apparemment dépourvu d’organisation, d’unité de pensée, de ligne politique précise (exception faite de l’opposition à Ahmadinejad) et de leader déclaré.
Toujours à propos de ce cyber-conflit totalement asymétrique (l’un des premiers du genre, faut-il le rappeler), Jim Cowie, le patron technique de Renesys, se fait interviewer par nos confrères de Foreign Policies et explique comment les attaques en déni de service des anti-Ahmadinejad affectent la bande passante générale de l’infrastructure Internet d’Iran, et par conséquent limite à son tour les possibilités de communication des opposants tentant de communiquer depuis l’intérieur du pays. Situation d’autant plus critique que les instances gouvernementales seraient elles aussi à l’origine d’une restriction de bande passante au niveau des principaux points d’accès et backbones nationaux. Les fournisseurs d’accès secondaires voient leurs possibilités d’acheminement diminuées proportionnellement, phénomène accentué par le déluge de requêtes http provenant des internautes du monde entier qui tentent d’accéder aux contenus des blogs et sites webs personnels des opposants au régime en place.
A ces considérations générales, Cowie ajoute quelques constatations personnelles sur le Blog de sa société. L’on y apprend notamment que les internautes Iraniens partent en chasse du moindre serveur proxy capable de les désenclaver de ce siège numérique qui entrave les communications avec le monde extérieur.