Le but des raccourcisseurs d’URL est de permettre aux messages de passer moins de caractères lorsqu’ils sont publiés. Sur Twitter, par exemple, ils sont très utiles puisque la limite par tweet est de 140 caractères. Mais un raccourcisseur d’URL spécifique est utilisé dans un autre but. Créé par le programmeur Ben Schmidt, il utilise le navigateur de l’utilisateur qui clique sur le lien comme un outil d’attaque DDoS.
D0z.me fonctionne de manière intéressante, malgré son objectif potentiellement illégitime. En cliquant sur un lien raccourci avec ce service, l’utilisateur ouvrirait la page qui a été raccourcie dans une iframe, tandis qu’un code JavaScript s’exécuterait en arrière-plan. Ce code est basé sur les spécificités du HTML5 (web workers et requêtes croisées), qui provoque l’envoi de plusieurs requêtes (environ 3 à 4 mille par minute) à un site. Celui qui contrôle l’adresse qui sera attaquée est le créateur du lien, d’où son potentiel illégitime : il peut servir à la fois d’outil de test et pour les attaques planifiées.
Ben Schmidt laisse un avertissement sur la page d’accueil de D0z.me disant qu’il n’est pas responsable de la mauvaise utilisation de l’outil et qu’il a été créé “juste comme une démonstration des conséquences en série de l’utilisation des raccourcisseurs d’URL sur Internet”. Il avertit également dans un article sur son blog personnel qu’il ne l’a pas créé dans le but de participer aux attaques pro-WikiLeaks mais comme “preuve de concept pour quelque chose qu’il a trouvé intéressant et décidé de développer”.
