Une attaque par saturation menée cette semaine par un hébergeur néerlandais contre un groupe de lutte antispam, néerlandais également, mais dans des proportions et selon un procédé technique apparemment jamais atteints, a suffi pour relancer le débat sur les risques d’écroulement du réseau Internet.
Elle a mis du temps à sortir mais lorsqu’elle a été connue, la nouvelle n’a pas tardé à faire un grand buzz sur la Toile. La mèche a été allumée quand le quotidien américain le New York Times a écrit la semaine passée que le groupe hollandais de lutte contre le spam Spamhaus était victime d’une attaque par déni de service (DDoS) d’une intensité jamais vue, venue d’un hébergeur hollandais Cyberbunker, non content que l’hébergeur l’ait mis sur la liste noire de l’organisation. Le quotidien est vite cité par la BBC et la nouvelle a fait le tour du monde.
Alors que Cyberbunker se vante d’héberger n’importe quel contenu « à l’exception de la pornographie enfantine et toute activité liée au terrorisme », écrit le site www.atlantico.fr, Spamhaus affirme de son côté que Cyberbunker est un repaire de virus, d’activités criminelles et autres spams.
De son côté, Sven Olaf Kamphuis, porte-parole de Cyberbunker, a indiqué que Spamhaus abusait de sa position et ne devrait pas être autorisé à décider « ce qui va et ne va pas sur Internet » « A la suite de la mise au ban de Cyberbunker, Spamhaus a subi la plus grosse attaque informatique de tous les temps. »
D’après des experts cités par des sources différentes, les flux de données aurait atteint 300 Gbit/seconde, « supérieurs à la bande passante de certains pays », lit sur le site www.usinenouvelle.com qui cite certains spécialistes selon lesquels « l’attaque se serait étendue aux serveurs DNS (Domain Name system) racines, ceux qui gèrent la correspondance entre noms de domaine et adresse IP, rendant impossible toute riposte. De quoi ralentir l’internet mondial. ».
Sur le site technet.microsoft.com, des explications techniques sont données sur le serveur DNS, chargé de la résolution de noms des réseaux TCP/IP. « En d’autres termes, peut on y lire, il permet aux utilisateurs d’ordinateurs clients d’adopter des noms à la place des adresses IP numériques pour identifier les hôtes distants. Un ordinateur client envoie le nom d’un hôte distant à un serveur DNS, lequel répond avec l’adresse IP correspondante. L’ordinateur client peut alors envoyer des messages directement à l’adresse IP de l’hôte distant. »
Lorsque le serveur DNS n’a pas une entrée dans sa base de données pour l’hôte distant, il peut répondre au client avec l’adresse d’un serveur DNS qui a plus de chances de posséder des informations sur cet hôte distant, ou il peut interroger l’autre serveur DNS. Ce processus peut intervenir de manière récursive jusqu’à ce que l’ordinateur client reçoive l’adresse IP, ou jusqu’à ce qu’il soit établi que le nom interrogé n’appartient pas à un hôte dans l’espace de noms DNS spécifique. « Nous tenons le coup (…) Nos ingénieurs font un énorme travail, a déclaré Steve Linford, patron de Spamhaus, cité sur le site www.atlantico.fr. « Ce type d’attaque aurait neutralisé plus ou moins n’importe quel autre site. » Poursuit-il. Sur les colonnes du New York Times, le PDG de CloudFare Matthew Prince a été alarmiste : « Ces choses [les attaques DDoS] sont comme des bombes nucléaires », avant de renchérir sur le blog de Cloudfare : « L’attaque DDoS qui a presque cassé l’Internet… Chez CloudFlare, un de nos objectifs est de faire que les DDoS deviennent des choses que vous ne découvrirez que dans les livres d’histoire. Nous sommes fiers de la façon dont notre réseau a résisté à une attaque aussi massive et nous travaillons avec nos pairs et nos partenaires pour nous assurer que l’Internet global soit capable de résister à de telles menaces. » Il est vrai que l’attaque révélée cette semaine porte de nouvelles caractéristiques susceptibles de dévoiler des faiblesses dans l’architecture du réseau des noms de domine internet. Le site www.01.net a décortiqué cette « attaque par déni de service consiste à envoyer tellement de requêtes sur un serveur qu’il sature et tombe dans les choux. » Habituellement, ce genre d’attaque part des nœuds d’un réseau botnet, ce qui permet de rendre beaucoup plus nombreuses les sources de requêtes ; d’où le phénomène de « déni de service distribué. » Mais cette technique est elle capable d’atteindre une puissance de 300 Gbit/s ? Pour cela, explique le site « l’attaquant de Spamhaus s’est appuyé sur une faille bien connue des serveurs DNS, ces machines qui sont réparties un peu partout sur Internet et qui traduisent les noms de domaine en adresses IP routables. » Les relais zombies de l’attaquant ont diffusé une demande concernant le domaine « ripe.net » à toute une série de serveurs DNS. « Mais , selon 01.net, « en leur faisant croire que cette demande provenait de Spamhaus (par une technique dite d’usurpation d’adresse). Résultat : tous les serveurs DNS ont envoyé leurs réponses vers les serveurs de groupe antispam. L’intérêt, pour le cybercriminel, c’est que les réponses envoyées sont beaucoup plus grandes que les requêtes. » Alors que la demande DNS envoyée par les PC zombies ne faisait que 36 octets de long, la réponse du serveur DNS transmise à Spamhaus était de 3.000 octets. On a donc une amplification par un facteur 100 ! L’attaque bénéficie également du fait que, les serveurs DNS disposent généralement d’une meilleure bande passante que les PC zombies d’un botnet. « Grâce à cet effet de levier, un botnet de petite ou moyenne taille suffisait pour générer le puissant flot numérique qui s’est déversé sur le groupe antispam » estime CloudFlare cité sur le même site. D’autres titres, notamment européens ne tarderont pas à prendre le relai pour tempérer les impacts supposés de cette attaque. A commencer par l’agence AFP, citant deux organismes supervisant le trafic internet, pour qui « Aucun pic de trafic ou de saturation d’internet n’a été observé en Europe lors de la cyberattaque d’ampleur ciblant une entreprise européenne, » « Nous n’avons observé aucun changement ou pic de trafic par rapport à la normale ces dernières 48 h », a par ailleurs déclaré à l’AFP la société Neo Telecoms, deuxième opérateur IP (Internet protocol) en France et qui est présente sur les principaux points d’échanges internet européens. « Parmi nos 600 clients européens qui sont des acteurs de l’internet, nous n’avons eu aucune remontée d’informations à ce sujet », lui a indiqué Neo Telecoms. Dans un papier intitulé « La plus grosse cyber-attaque de l’histoire d’Internet n’était qu’un mensonge », le site usinenouvelle.fr, relate les interrogations de Gizmodo.fr, webzine axé sur la vie numérique, troublé par le fait que la société CloudFare qui a signalé l’attaque, soit en même temps le fournisseur de la solution de sécurité à la société attaquée : « A-t-on vraiment constaté un ralentissement d’Internet ? Pourquoi l’attaque n’est dévoilée que maintenant ? Pourquoi personne ne se plaint de problèmes sur Netflix comme le rapporte le NYT et la BBC ? Pourquoi l’Internet Traffic Report ne montre aucune trace du conflit sur ses graphes ? » Pour étayer ses questionnement, rapporte ce site, « Gizmodo poursuit son enquête auprès d’un opérateur et d’une société demonitoring du trafic internet. Aucune trace de perturbations au niveau mondial. Sur les tableaux de bord du cloud Amazon qui gère un trafic conséquent sur Internet, tous les indicateurs sont au vert, même en Europe où le conflit se déroule. » D’autres appelleront à noter le caractère nouveau de cette attaque, même sil elle s’inscrit dans un procédé technique déjà usité. « La stratégie employée, en particulier, inquiète » affirme le journal en ligne www.lesinrocks.com, qui ajoute que « ce n’est pas la première fois qu’on entend parler de ce genre d’attaques, dites « de déni de services » (« DoS »), ce spécimen-ci diffère par son procédé. Et son ampleur » Erreur ! Référence de lien hypertexte non valide., cette attaque a fait « beaucoup de bruit, pas pour rien ! », car, il est vrai, écrit il « Internet n’a pas été gravement menacé et les désagréments causés sur certains sites sont relativement mineurs », mais il souligne un fait important pour le devenir du réseau, car, poursuit il « l’attaque qui a visé SpamHaus remet en lumière la vulnérabilité du réseau et en particulier le système DNS. » Faisant appel à plusieurs experts, et remontant la chronologie de la littérature spécialisée sur la question, le site confirme que « le descriptif met en lumière la fragilité du système DNS (30 ans d’âge) telle que révélée en 2008 par Dan Kaminsky qui travaille aujourd’hui au sein de la société i/o active » Il fait ensuite référence au blog news threatPost de l’éditeur de solution de sécurité russe Kaspersky citant les travaux du consultant américain en sécurité et réseaux informatiques Jared Mauch qui travaille sur le projet Open DNS Resolver Project. Pour ce dernier, il existe une base de données de 27 millions d’adresses dites Open DNS Resolvers aptes à l’utilisation pour des attaques DDOS utilisant l’amplification DNS. « Dans le cas de l’attaque contre SpamHaus, écrit le site, CloudFlare indique que le botnet s’est appuyé sur 30 000 DNS resolvers uniques pour faire tomber le site Spamhaus.org, avant de poursuivre « Nul besoin d’être un génie des mathématiques pour voir que 1/900 de ces ressources déficientes ont été utilisées. Dans le cas où quelqu’un sera capable d’utiliser les 27 millions de DNS resolvers qui sont ouverts et donc vulnérables à une attaque de type IP Spoofing (usurpation d’identité IP), « le risque existe effectivement de faire tomber l’Internet car ce volume de données serait alors de pratiquement 300 Tbis/sec, soit largement de quoi faire tomber la plupart des infrastructures. » conclut le site.
R. M.
