Alors que les entreprises dépensent pour se protéger des attaques par déni de service, de l’autre côté, il y avait des gens qui recevaient beaucoup d’argent. Deux jeunes israéliens, responsables du service vDOS, ont récolté au moins 600 000 euros au cours des deux dernières années. Ils gagnaient des centaines de euros par mois grâce à chaque personne intéressée par la suppression de serveurs dans le monde entier.
Le montant a été découvert par Krebs on Security après que vDOS ait été piraté ( !) par une vulnérabilité qui permettait d’accéder à toutes les bases de données et les fichiers de configuration du service. Itay Huri, 18 ans, et Yarden Bidani, les Israéliens, qui ont été désignés comme les propriétaires de vDOS, ont été arrêtés jeudi (8) ; ils faisaient l’objet d’une enquête du FBI.
Les chiffres de la vDOS sont très voyants. Le paiement a été effectué au moment de l’attaque, en quelques secondes. Entre avril et juillet 2016, ils ont vendu plus de 277 millions de secondes de DDoS, soit l’équivalent de près de neuf ans d’attaques. Plus de 150 000 attaques ont été lancées, avec des pics allant jusqu’à 50 Gb/s, un trafic que peu de serveurs peuvent gérer.
Ces dernières années, vDOS n’acceptait que les bitcoins, mais depuis quelques années, les paiements pouvaient également être effectués par PayPal. De toute évidence, cela va à l’encontre des conditions d’utilisation de PayPal. Les propriétaires ont donc eu recours à une escroquerie pour se mettre en travers de la route : ils ont recruté des personnes ordinaires, avec un compte PayPal vérifié, qui ont reçu les paiements ; puis l’argent a été transféré sur le compte vDOS.
Et le gros problème avec vDOS était que n’importe qui pouvait engager le service pour démanteler des sites web: en fonction du trafic DDoS que la partie intéressée voulait générer, les plans commençaient à seulement 19,99 euros par mois. D’après les enregistrements de la base de données vDOS, on sait que les propriétaires ont reçu 618 000 euros en bitcoins et en PayPal depuis juillet 2014 ? comme le service existe depuis quatre ans, il est probable que le montant réel a déjà dépassé 1 million de euros.
