DDOS sans précédent contre Spamhaus : Internet va bien, merci pour lui

L'organisation de lutte contre le spam Spamhaus aurait déclenché l'ire d'une équipe de pirates après avoir pris la décision de placer sur liste noire les adresses liées au très permissif hébergeur Cyberbunker. Il en résulte une attaque par déni de service sans précédent, qui court depuis une dizaine de jours. On parle de flots de données représentant jusqu'à 300 Gb/s. De quoi retourne-t-il vraiment, et y'a-t-il, comme le laissent entendre certains, risque de congestion du réseau mondial ?

Au commencement était Cyberbunker (CB3ROB), un hébergeur dont les infrastructures présentent la particularité d'être installées dans un bunker anti-atomique, perdu dans une forêt des Pays-Bas. Au nom de la neutralité du Net - ainsi sans doute que de son chiffre d'affaires, Cyberbunker s'est fait une spécialité d'accueillir tout type de clients, sans discrimination, affirmant ne refuser que les contenus et sites à caractère pédopornographique ou faisant l'apologie du terrorisme. De ce fait, le bunker est soupçonné d'abriter bon nombre de sites et organisations spécialistes du spam, l'envoi massif de courriers électroniques non sollicités.


Cette permissivité a valu à Cyberbunker l'opprobre de Spamhaus, une organisation internationale chargée de la lutte contre le spam, qui a fini par placer l'hébergeur sur sa liste noire des adresses et prestataires notoirement connus pour leur propension à diffuser des contenus frauduleux. Celle-ci est notamment utilisée par les fournisseurs d'accès du monde entier pour tenter de lutter contre la propagation du spam.

Le déni de service au nom de la neutralité du Net ?

Sven Kamphuis, cofondateur de Cyberbunker, n'a pas franchement goûté cette mise au pilori. « Personne n'a jamais confié à Spamhaus la mission de savoir ce qui doit ou ne doit pas circuler sur Internet. Ils ont eux même brigué cette position en prétendant lutter contre le spam », s'insurge l'intéressé, cité par le New York Times.

Quel que soit le bien fondé de la démarche de Spamhaus, l'organisation a dû faire face, à partir du 19 mars dernier, à une riposte de nature technologique : une attaque par déni de service, visant à mettre à mal ses infrastructures. Spamhaus indique qu'il s'agit de la plus virulente jamais constatée à son encontre, tout en affirmant réussir à la contenir grâce à l'aide de ses prestataires, dont le spécialiste de la sécurité et de la mise en cache des contenus Cloudflare.

Jeudi, Cyberbunker confirme, via un entretien avec la télévision Russia Today, que l'attaque est bien la conséquence de la décision de Spamhaus. Sven Kamphuis en défend le bien fondé (en anglais) dans la vidéo ci-dessous.



Rapidement, l'attaque prend toutefois des proportions sans précédent, et s'étend bien au delà des simples équipements de Spamhaus. Victime lui aussi, directement ou par ricochet, Cloudflare indique le 26 mars qu'un opérateur de niveau 1 (chargé des liaisons Internet qui courent dans le monde entier) rapporte jusqu'à 300 Gb/s de trafic associé à cette attaque sur ses propres infrastructures. Si le chiffre est avéré, il est près de trois fois supérieur à celui enregistré lors de l'attaque par déni de service fomentée par Anonymous fin 2010 à l'encontre des spécialistes du paiement en ligne (Paypal, Visa, Mastercard) lorsque ceux-ci avaient décidé de ne plus accepter les transactions associées à Wikileaks (voir par exemple la chronologie des grandes attaques établie par ArborNetworks).

En théorie, il serait surtout suffisant pour engorger les équipements chargés de router le trafic Internet au niveau mondial. En théorie toujours, une telle attaque peut donc avoir des répercussions sur le réseau lui-même, entraînant ralentissements et interruptions de service Internet partout dans le monde. D'après Cloudflare, les effets de cette congestion auraient été sensibles en Europe ces derniers jours, notamment au niveau des grands points d'échange de trafic.

En acceptant d'encaisser la charge pour Spamhaus, Cloudflare indique s'être dans un premier temps placé comme la cible primaire de l'attaque. L'américain affirme toutefois avoir pu contenir cette dernière, notamment grâce à son dispositif de type Anycast, capable de répartir les requêtes sur l'ensemble de ses serveurs en fonction de la disponibilité de ces derniers. Les attaquants auraient alors décidé de passer à la vitesse supérieure, en ne ciblant plus directement Cloudflare mais les opérateurs réseau avec lesquels l'intéressé entretient des liens, puis les principaux points d'échange de trafic européens. L'américain, dont le métier est de vendre des solutions de sécurité, n'hésite d'ailleurs pas à parler de l'attaque qui a « failli casser Internet ».

Internet est-il vraiment en danger ?

La mayonnaise médiatique prend en début de semaine, avec quelques articles à la titraille alarmiste. « L'Internet mondial a été ralenti suite à ce que les experts en sécurité considèrent comme la plus importante cyber-attaque de l'histoire dans sa catégorie », attaque par exemple la BBC mercredi.

Parmi les experts, du réseau cette fois, on tient tout de même un discours légèrement différent. Sans contester la portée exceptionnelle de l'attaque, on rappelle que le « coeur » du réseau mondial et les fameux points d'échange invoqués sont de taille à digérer quelques centaines de Gb/s non sollicités. « Une attaque de ce type submergerait aisément un centre d'hébergement moyen mais pas un composant coeur d'Internet. Par exemple, le DECIX, point d'échange allemand basé à Francfort, gère régulièrement des pics de trafic de l'ordre de 2,5 Tb/s », tempère par exemple un représentant de Renesys interrogé par Gizmodo.

Le français Cedexis, spécialiste des problématiques de routage et de distribution pour des sites Web à fort trafic, confirme n'avoir constaté aucun problème particulier sur le périmètre de ses clients. « De ce que nous pouvons observer, l'attaque n'a pas eu d'impact pour l'utilisateur final », indique Nicolas Guillaume, son porte-parole.

On lira ailleurs, sur une liste de diffusion spécialisée, qu'aucune réelle congestion n'a été enregistrée sur les points d'échange européens pendant la durée de l'attaque. Cloudflare aurait-il joué la corde du fameux FUD (Fear, uncertainty and doubt) pour se faire mousser ? Pour Gizmodo, la réponse ne fait guère de doute. « L'apocalypse Internet est un mensonge », fulmine le fameux blog américain.

Chacun peut d'ailleurs se faire son propre avis en consultant les statistiques des points d'échange mentionnés par Cloudflare (ici pour Amsterdam par exemple, avec des courbes qui ne révèlent aucun phénomène hors norme sur la période concernée).


Stéphane Bortzmeyer, architecte réseau au sein de l'Afnic, abonde en ce sens. « Cloudflare a peut-être un peu rapidement dévié d'une perturbation sur sa propre infrastructure à une perturbation qui concernerait Internet », nous indique-t-il. « D'ailleurs, on a ici le témoignage de Cloudflare, à qui il n'y a priori pas de raison de ne pas faire confiance, mais à la différence d'un accident d'avion, aucune enquête indépendante ne permet de confirmer ce qui s'est réellement passé dans ce genre de situation », avertit-il encore.

En admettant que l'initiative menée contre Spamhaus puis contre Cloudflare soit avérée, reste à savoir tout de même si des attaques de ce type, voire des initiatives encore plus ambitieuses, auraient le potentiel de compromettre les infrastructures qui sous-tendent Internet. « Des attaques encore plus volumineuses sont en théorie possibles, mais l'impact sur le réseau au global ne serait que modéré. Internet est par définition très distribué, les conséquences restent donc en général assez localisées », nous répond Stéphane Enten, vice-président Services chez Cedexis. « On observe en permanence des phénomènes de saturation et des ralentissements sur Internet, c'est le quotidien d'un opérateur réseau que de les gérer », ajoute-t-il.

DNS reflection, source inépuisable de DDOS ?

Dans son long billet d'explications, Cloudflare étudie la méthode employée par les attaquants en soutien à Spamhaus. Si la portée de l'attaque sur les grands Internets - dont la résilience tient à la structure même - doit être relativisée, il reste tout de même que l'attaque est probablement d'une envergure sans précédent dans l'histoire : à ce titre, l'analyse ne manque pas d'intérêt.

Il existe en effet plusieurs façons de déclencher une attaque par déni de service. L'une d'elles consiste à mobiliser de nombreux participants, comme l'a fait à plusieurs reprises le courant Anonymous, ou à exploiter des machines infectées à l'insu de leur propriétaire pour déclencher de très nombreuses requêtes individuelles.

Une autre, plus ambitieuse, consiste à tirer parti des « résolveurs DNS », ces logiciels (eux même capables d'interroger les vrais serveurs gérant l'adressage des noms de domaine) qui jouent les intermédiaires entre l'application cliente (par exemple le navigateur) et le serveur qu'elle souhaite atteindre (la machine qui héberge Clubic.com). Les résolveurs DNS les plus couramment utilisés sont ceux de votre fournisseur d'accès à Internet, mais il en existe d'autres, publics, comme OpenDNS et consorts.

A ces résolveurs publics, généralement bien protégés, s'ajoutent de très nombreuses instances mises en place par des particuliers (serveur Web personnel) ou des professionnels (entreprise qui gère elle même son réseau par exemple).

Un résolveur bien configuré n'acceptera que les requêtes émanant du périmètre qu'il estime devoir couvrir (un FAI ne prendra par exemple que les machines connectées à son réseau) et rejettera les demandes suspectes, mais bon nombre d'entre eux sont ouverts, ce qui signifie qu'ils ne filtrent pas les adresses IP qui tentent de leur parler. Les attaquants mettent à profit cette ouverture : dans un premier temps, ils usurpent l'adresse IP de leur victime puis envoient au serveur une requête dont la réponse occupe une taille (numérique) nettement supérieure à celle de la question initiale. Cette technique, connue depuis des années, est baptisée « amplification DNS » ou « DNS reflection ». En la mettant en oeuvre, l'attaquant qui arrive à générer 1 Gb/s de requêtes peut obtenir une réponse jusqu'à 30 fois supérieure à sa demande initiale, souvent produite à l'aide d'un botnet.

C'est sans doute là que réside la vraie menace : comme le mentionne Cloudflare, il existe des listes qui référencent ces résolveurs ouverts, accessibles à des hackers malintentionnés. « Il y en a des millions dans le monde. Ce sont souvent des petites machines, mal connectées, mais elles sont très nombreuses », confirme Stéphane Bortzmeyer qui, sur son blog, sensibilise à la question depuis 2006.

Des attaques d'une ampleur similaire, voire supérieure, pourraient donc tout à fait se reproduire, du moins tant que tous ceux qui administrent des résolveurs DNS ne prennent pas le temps, et l'argent, pour les sécuriser convenablement. « Une autre solution s'adresse aux opérateurs, qui devraient filtrer les paquets pour ne laisser sortir de leur réseau que ceux dont l'adresse IP leur appartient » , avance Stéphane Bortzmeyer (voir ce PDF en anglais de la proposition BCP 38, pour plus de détails). Dans les faits, il constate que le chemin sera encore long : dans un cas comme dans l'autre, il faut arriver à motiver l'intéressé à effectuer un effort dont les bénéfices porteront finalement sur des tiers.

En attendant la mise en place d'un principe pollueur-payeur numérique, que les internautes dorment sur leurs deux oreilles : un déni de service de grande ampleur peut certainement malmener un grand acteur du réseau, et déclencher des effets de bord chez ses clients et partenaires mais Internet, lui, ne tombera pas. Du moins, pas de cette façon !