Les dessous techniques de la cyberattaque géante
Hacktivistes ou cybercriminels. Le profil précis des attaquants à l'origine de la plus vaste attaque informatique mondiale jamais réalisée jusqu'alors n'est pas connu. Mais les principaux acteurs au cœur de cette affaire, eux, le sont.
D'un côté, Spamhaus, fournisseur de listes noires contenant des milliers d'adresses d'expéditeurs identifiés comme spammeurs. De l'autre, Cyberbunker, un hébergeur situé aux Pays-Bas, revendiquant héberger les sites web de toute nature, à l'exception de ceux à caractère pédopornographique ou terroriste, ni plus, ni moins.
Or, l'inscription de ce dernier sur une liste noire du premier, a provoqué un mouvement de rétorsion (sans que l'on sache réellement si Cyberbunker en est à l'origine) ayant visé Spamhaus via une attaque par déni de service (DDoS) d'une ampleur sans précédent (jusqu'à 300 Gbps).
100 000 serveurs DNS utilisés sur 21,7 millions présentant des problèmes de sécurité
"Les attaquants s'en sont pris aux serveurs web de Spamhaus il y a quelques jours, mais constatant une certaine résistance du fournisseur Cloudfare chargé de sa sécurité, ils ont fini par s'attaquer à des éléments clés de l'infrastructure d'Internet", explique Gérôme Billois, consultant sécurité chez Solucom.
"Les attaquants ont lancé des attaques réflectives par déni de service consistant à faire envoyer par des serveurs, en usurpant l'adresse source, des requêtes très légères à l'envoi mais générant un énorme volume de données", précise le consultant sécurité. "C'est un peu comme envoyer 1 million de demandes du catalogue de La Redoute, demandant d'expédier à une adresse usurpée le catalogue papier. Ce qui a bien sûr pour effet de provoquer une engorgement monstre".
Dans le cadre de cette attaque, plusieurs soucis majeurs ont pu être identifiés. Tout d'abord, les faiblesses de sécurité ou de mauvaise configuration au niveau des serveurs DNS qui n'ont pas été capables de démasquer les usurpations d'identité des adresses IP. En cause : l'absence de solutions d'anti-spoofing au niveau de ces serveurs DNS. Dans le monde 21,7 millions de serveurs présenteraient ainsi des problèmes de sécurité ou de configuration selon The Open Resolver Project. Sachant que dans le cadre de cette attaque Web, "seulement" 100 000 serveurs DNS auraient été utilisés.
Une attaque qui sonne comme un avertissement
"Grâce à son système de répartition de charge permettant de répartir le trafic web sur plusieurs destinations, Cloudfare a résisté dans un premier temps. Mais les attaquants sont passés un cran au-dessus en s'attaquant aux points de transit du trafic Internet, c'est-à-dire au niveau des points d'interconnexion Internet ou IX", fait savoir Gérôme Billois.
Si le Web mondial a pu trembler, certains sites ou services ont connu des lenteurs voire des indisponibilités sans en connaître cependant leur nombre, il est en revanche loin d'avoir été mis à terre. Même si cela aurait pu être bien pire.
"Absorber un trafic de 300 Gbps pour des points d'interconnexion qui savent gérer et router en moyenne 2,5 Tb de trafic par seconde est largement à leur portée. Du moins en théorie, car cela aurait été beaucoup moins facile à gérer si les requêtes des attaquants avaient ciblé une seule interface de connexion", poursuit Gérôme Billois.
A l'heure actuelle cependant, le gros des attaques semble être derrière. Mais le risque de voir se renouveler une attaque d'une même - voire d'une plus grande - ampleur est loin d'être à exclure. "Cette attaque est plutôt symbolique et sonne comme un avertissement auprès du monde de l'internet car ses conséquences n'ont pas été catastrophiques. Elle est également un signal pour les entreprises qui doivent se poser la question de savoir ce que leur coûterait une telle attaque et des moyens qu'elles doivent mettre en place en termes de gestion des risques", conclut Gérôme Billois.