Fin avril, la police espagnole interpellait « SK » présenté comme le principal coordinateur de l’attaque DDoS visant les infrastructures de The Spamhaus Project.
L’organisation internationale de lutte anti-spam, basée entre Genève et Londres, avait enregistré le 18 mars dernier une attaque importante par déni de service distribué (DDoS en anglais).
On parle régulièrement d’un pic record de 300 Gigabits par seconde (Gbps en anglais).
Lors d’une table ronde organisée le 24 avril dans les locaux parisiens de Neo Telecoms (opérateur télécoms français de transit IP) intitulée « Plongée au coeur des attaques DDoS », Jérôme Fleury, Responsable technique France-IX, est revenu sur cette assaut visant Spamhaus.
Dans sa présentation de slides, il a expliqué que cette attaque basée sur amplification DNS a nécessité l’utilisation d’adresses sources « spoofées » (modifiées).
Et qu’elle avait la particularité d’avoir exploité une faille dans la jonction réseau entre un fournisseur de solutions CDN (CloudFlare en l’occurrence) et un point d’échange Internet (GIX, relais de trafic entre opérateurs), en l’occurrence le LINX basé à Londres.
Et ce, afin de toucher sa cible finale Spamhaus.
A son insu, ce GIX a servi de relais aux assaillants. Mais, pour une question de configuration spécifique réseau, on aurait pu éviter cette opération de déstabilisation.
(Interview réalisée le 24 avril)
ITespresso.fr : Dans quelle mesure l’attaque DDoS sur Spamhaus a débordé sur le front des points d’échange Internet ?
Jérôme Fleury : Les pirates ont voulu toucher Spamhaus par l’intermédiaire du CDN CloudFlare. Ils se sont concentrés sur un point précis d’infrastructure : l’adresse CloudFare sur le point d’échange Internet du LINX (un GIX basé à Londres). En considérant qu’au lieu d’attaquer un réseau qui est déjà exploité en mode distribué (le réseau CDN de CloudFlare), il valait mieux se concentrer sur une partie ciblée de son infrastructure. Celle qui faisait la jonction avec le LINX. Il est possible que cette attaque ait débordée sur le fonctionnement de ce point d’échange Internet mais c’est principalement CloudFlare qui a été impacté.
ITespresso.fr : CloudFlare n’avait pas suffisamment blindé ses liens avec LINX ?
Jérôme Fleury : Dans ce cas précis, le problème a plutôt été résolu du côté du LINX. En fait, cette attaque n’aurait pas dû se produire : le point d’échange de peering est censé être accessible qu’aux membres du LINX. Or une configuration spécifique réseau du côté du LINX a débouché sur une ouverture avec le monde extérieur (Internet). CloudFare a juste demandé au LINX d’isoler cette passerelle réseau pour stopper l’assaut DDoS. C’est un choix technique de la part du point d’échange Internet qui a permis à l’attaque DDoS de se produire. On peut contester l’approche initiale. Mais voilà, c’était comme cela.
ITespresso.fr : Cette affaire Spamhaus a provoqué des débats dans la communauté des points d’échange Internet…Un mal pour un bien ?
Jérôme Fleury : Les GIX se sont remis dans une discussion assez productive pour évaluer les bonnes pratiques [en particulier BCP 38, ndlr] et pour éviter que ce genre d’incident se reproduise. Il existe des débats annexes sur les dimensions d’ouverture et d’isolement mais, globalement, on aboutit à un consensus sur les best practices afin d’empêcher que les attaques DDoS passent par les points d’échange Internet.
ITespresso.fr : Les points d’échanges Internet constituent-ils un maillon essentiel pour endiguer les attaques DDoS ?
Jérôme Fleury : Normalement, un point d’échange est neutre. Il doit presque transporter tous les paquets sans un droit de regard. Légitimes ou non. On n’est pas là pour faire la police. Mais, les attaques DDoS, c’est l’affaire de tous. Nous devons apporter notre pierre à l’édifice et nous comporter de manière responsable. La sécurité IT est une priorité mais il faut délimiter notre intervention. Faut-il aboutir au filtrage des contenus ? En l’état actuel, les points d’échange Internet se l’interdisent. On se contente d’émettre des recommandations mais elles sont importantes.
—————————–
Quiz : Hacking, phishing, spamming? La sécurité sur internet n’a pas de secret pour vous ?
——————————
(Credit photo : Shutterstock.com – Copyright : Sergey Nivens)
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…