Un juge israélien a cru bon de condamner Yarden Bidani et Itay Huri, copropriétaires de vDOS, à six mois de service communautaire, soit la condamnation la plus légère possible, rapporte notre confrère KrebsOnSecurity.

vDOS fut, jusqu’à sa fermeture en 2016, le libre-service payant le plus efficace de DDoS, ou attaques distribuées par déni de service, dans le monde.

Une attaque par déni de service (denial of service attack), est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser, en inondant les serveurs de requêtes illégitimes.

Comme les attaques sont généralement distribuées, en utilisant notamment des armées de PC et de serveurs piratés, il est remarquablement difficile de les contrer, et peu de fournisseurs de services anti-DDOS dans le monde, comme Akamai ou CloudFlare, ont des infrastructures suffisantes pour mitiger les attaques.

vDOS aurait lancé plus de 150,000 attaques en moins de deux ans.

Il offrait des attaques jusqu’à 50 Gbps, ce qui était bien supérieur à ce qui était nécessaire pour rendre inopérable tout service, sauf les mieux protégés par des services anti-DDoS vendus à prix d’or.

vDOS a également loué son API à des criminels tiers. L’un des deux inculpés était aussi accusé d’avoir échangé des photos de nus avec une fille de 14 ans. Un seul des deux défendeurs a prétendu regretter ses actes.

Le juge base sa condamnation sur le fait que les deux criminels étaient mineurs pendant une grande partie des faits reprochés, sans prendre en compte les immenses pertes économiques occasionnées aux victimes de vDOS.

Son jugement aurait peut-être été différent si la plupart des victimes avaient été israéliennes.

Lors de leur arrestation en septembre 2016, le spécialiste de la sécurité Brian Krebs estima que vDOS était à l’origine de plusieurs dizaines « d’années DDoS », soit la comptabilisation du temps perdu ; Comme plusieurs attaques contre plusieurs cibles ont souvent lieu simultanément, le temps total perdu est largement supérieur au temps écoulé.

Le juge leur inflige une « petite amende » parce qu’on a saisi 175 000 $ de leurs activités. Or on sait que les deux ont empoché plus de 618 000 $ en deux ans. Leurs crimes leur ont donc rapporté au minimum 443 000 $ net de condamnation. Et comme vDOS était en service depuis 2012, les propriétaires ont certainement gagné beaucoup plus.

On savait que le crime paie. On a confirmation que le cybercrime ne fait pas exception, et l’on peut se demander si les jeunes ne prendront pas ce verdict comme une invitation à une vie très rentable de cybercrime.