Des attaques par déni de service d’une ampleur inégalée secouent le web

Certains d’entre vous se souviennent sûrement de la fameuse attaque contre Spamhaus en mars dernier. A l’époque, certains estimaient qu’il s’agissait de la plus grosse attaque par déni de service distribué (DDoS) depuis l’existence de l’Internet. Ce record – si s’en était un – vient d’être battu. En début de semaine, une vague d’attaques DDoS a déferlé sur la Toile, impactant des réseaux aussi bien en Europe qu’aux Etats-Unis.

Chez CloudFlare, société spécialisée dans la sécurité, le compteur est monté à plus de 400 Gbit/s, ce qui est nettement plus que les 300 Gbit/s de mars dernier. « Quelqu’un s’est doté d’un nouveau gros canon d’artillerie. On va passer quelques sales moments », explique Matthew Prince, le dirigeant de CloudFlare, sur Twitter.

En France, l’attaque a été confirmée par l’hébergeur OVH, qui a subi un débit dépassant « largement 350 Gbps… durant des heures », souligne le PDG Octave Klaba, sur Twitter. Mais l’hébergeur ne s’affole pas pour autant. Il a investi récemment dans un bouclier de protection anti-DDoS (baptisé « VAC » pour « vacuum cleaner » ou aspirateur) et celui semble pouvoir absorber le choc. D’autres fournisseurs de service ont également été impactés, tels que l’opérateur réseau alternatif Gitoyen.

La puissance de ces attaques est, en tous les cas, exceptionnelle. « Plusieurs centaines de Gbits, c’est équivalent au trafic généré par un pays de taille moyenne. C’est suffisant pour faire disparaître un opérateur ou un hébergeur de la carte l’Internet », explique Matthieu Texier, ingénieur-conseil sécurité chez Arbor Networks, qui a également détecté ces attaques sur ses radars, et bien d’autres encore ces dernières semaines. « On assiste à une véritable recrudescence de ce type de malveillance », souligne-t-il.

Mais comment les attaquants ont-ils pu atteindre un tel débit ? Ils ont procédé à des attaques dites « par réflexion » ou « par amplification », en utilisant non pas des serveurs DNS (comme pour l’attaque Spamhaus) mais des serveurs Network Time Protocol (NTP). Ces derniers sont utilisés par n’importe quels ordinateurs et serveurs pour connaître l’heure et pouvoir se synchroniser.

Le problème, c’est que ces serveurs sont souvent mal protégés. Il est relativement facile de se faire passer pour quelqu’un d’autre (usurpation de l’adresse IP cible) et de leur envoyer plein de requêtes. Les serveurs NTP vont alors transmettre leurs réponses à l’adresse IP cible. L’astuce, c’est qu’une réponse NTP est plus grande que la requête, d’où l’effet d’amplification. Selon Stéphane Bortzmeyer, ingénieur réseau, avec un paquet de 234 octets, il est possible d’obtenir « des dizaines de milliers d’octets en réponse, donc un facteur d’amplification qui dépasse largement celui du DNS », qui est « aux alentours de 45 ».

Par ailleurs, les attaques récentes sont loin d’être improvisées, car il a fallu au préalable référencer un grand nombre de serveurs NTP vulnérables. « Ce n’est pas compliqué, mais cela prend du temps », souligne Matthieu Texier. Reste à savoir quel est le but de toute cette opération malveillante. « Les attaques par déni de service peuvent avoir plusieurs raisons d’être : le vandalisme, l’activisme, l’extorsion, etc. Dans le cas présent, il est probable qu’il s’agissait d’une démonstration de force », ajoute l’ingénieur conseil. L’année 2014 sera peut-être celle du déni de service distribué. 

Source:

Articles de Bortzmeyer sur le facteur d’amplification DNS et les attaques DDoS par NTP

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.