Norse est une SSII américaine spécialisée dans la surveillance d’internet. L’entreprise a créé un réseau de « HoneyPots » (littéralement, des pots de miel), c’est-à-dire des serveurs ou services placés sur la Toile comme leurres dans le but d’attirer des attaques en se faisant passer pour des machines de production réelles. Grâce à l’analyse de ses attaques, les ingénieurs peuvent ainsi identifier les menaces et leurs commanditaires. La société détecte les attaques par déni de service (« Distributed Denial of Service Attack » ou DDoS) cherchant à mettre hors ligne ou à interdire l’accès à un serveur en le saturant de requêtes d’accès.
Norse a mis en ligne une carte interactive qui présente une partie des agressions provenant des bas-fonds du net. En déplaçant le curseur sur la carte, on obtient des informations sur le pays d’où est partie une attaque de déni de service et sur sa cible. On connaît aussi le type d’attaque, car le protocole est indiqué. Par exemple, « db-lsp-disc » indique une attaque menée contre la fonction LAN Sync Discovery des serveurs Dropbox. « Microsoft-ds » cible le port de partage de fichier 445. « Isakmp » vise l’Internet Security Association and Key Management Protocol, etc.
La carte ne montre qu’une petite partie des attaques DDoS repérées par Norse, mais elles sont affichées en temps réel. Pour obtenir des informations plus précises, il faut devenir client de la SSII. Précisons que le pays d’où part une attaque n’est pas toujours celui dans lequel se trouve la personne à l’origine de celle-ci. Souvent les dénis de service sont menés par des milliers de BotNet, d’ordinateurs « zombies » dont un néfaste a pris le contrôle à distance pour déclencher son DDoS.
