![[MàJ] Attaque de l'AFNIC : Pierre Bonis répond à nos questions](https://cdn.next.ink/inpactv7/data-next/images/bd/wide-linked-media/780.jpg "[MàJ] Attaque de l'AFNIC : Pierre Bonis répond à nos questions")
L'AFNIC vient d'annoncer que son site était en train de subir une attaque, son site étant actuellement « en cours de maintenance ». Afin d'en savoir plus nous avons interrogés Pierre Bonis, son directeur adjoint.
L'actualité est relativement chargée ces derniers temps dans le domaine des attaques informatiques. En effet, l'ICANN en a fait les frais mi-décembre, tandis que la France a subi l'opération #OPFrance la semaine dernière. Cette nuit, le compte Twitter du Monde a été piraté et c'est désormais au tour de l'AFNIC (Association française pour le nommage Internet en coopération) d'avoir droit à une attaque en règle.
Via son compte Twitter, l'association qui gère les noms de domaines en .fr, annonce subir une attaque de ses services et précise que « des mesures ont été prises et un retour à la normale est en cours ». Néanmoins, force est de constater que, plusieurs heures plus tard, le site est toujours « en maintenance »... du moins lorsqu'il répond. Notez par contre que la résolution des domaines en .fr fonctionne sans problème. Aucune revendication ne semble avoir été formulée pour le moment et il faudra voir si cette attaque est liée à l'opération #OPFrance qui visait principalement des sites en .fr.
L'enregistrement de domaines en .fr indisponible pendant deux heures
« A 12h à peu près, un nombre très inhabituel de paquets est arrivé sur nos services. Nous avons régulièrement des attaques DDoS, mais celle-ci nous est parue plus importante. Elle a fait tomber un de nos pares-feu » nous explique Pierre Bonis, directeur adjoint de l’AFNIC qui a ouvert une cellule de crise. « Entre 12h30 et 13h, cette première défense étant tombée, on a eu des difficultés sur des services rendus aux bureaux d’enregistrement », poursuit-il.
Concrètement, l’attaque a empêché l’enregistrement de nouveaux noms de domaine, la publication toutes les 10 minutes de la nouvelle zone DNS avec la liste des nouveaux domaines enregistrés et les whois (coordonnées des propriétaires des noms de domaines). « Les services sont tombés deux fois, pendant une période cumulée de deux heures. Quand on fait des maintenances programmées, on est sur ces niveaux d’interruption de ce type de services… même si là ce n’est pas programmé ! » nous déclare Bonis. « La résolution DNS a elle fonctionné sans problème » pendant ce temps, rassure-t-il tout de même. En clair, s’il n’était pas possible d’enregistrer de noms de domaine pendant deux heures ce midi, les millions de sites .fr étaient, eux, bien accessibles.
Les sites désactivés de manière volontaire
« Nos services ont été en difficultés aux alentours de 13h30 à 14h. En contre-mesure, nous avons filtré toutes les adresses IPv6 qui visaient notre site web, puis des plages entières d’adresses IPv4. On a remis en place les pares-feu et des services touchés » explique encore Pierre Bonis. « On a désactivé nous-mêmes le site de l’AFNIC suite à une deuxième attaque, pour protéger les services rendus aux bureaux. Toutes les services sont donc fonctionnels, sauf le site. Le site web n’est toujours pas rétabli parce qu’on n’a absolument pas la certitude sur la réponse à apporter à cette attaque, qui est toujours en cours » affirme le responsable de l’AFNIC.
« Nous sommes en train de gérer les contre-mesures et de mettre un terme à l’attaque. Nous avons pris contact avec les autorités compétentes, dont l’Agence nationale de sécurité des systèmes d’information (ANSSI). On a déjà décidé de porter plainte dans les prochaines heures, une fois qu’on aura réussi à faire une première analyse complète de la situation », peut-être demain, nous indique enfin Pierre Bonis.
Commentaires (78)
#1
ben seb, tu as de la news par les temps qui court !
Je renouvelle ma question : MAIS où sont les sociétés expertes en sécurité en ce moment ???
Bizarre, plus de grandes gueules à l’horizon pour tous nous expliquer !
#2
Je l’ai déjà dit ,le redit : contre des botnets vendu sur les .onion et .i2p : personne ne peut résister, le réseau internet n’est pas fait pour résister à cela et malheureusement les plateformes de tir zombie sont très très nombreuses : un simple scan avec BeeF montre que le web en regorge !!!
Et avec IPv6 je ne vous raconte pas le carnage !
Même un CloudFlare ne peut résister. On perds toujours face à des gars qui ne dorment pas , ou qui ont décider de passer !
#3
En même temps ce sont pas des sites qui présentent en temps normal un besoin de protection particulier contre les DDOS.
Le point positif, c’est que la france va avoir a terme les sites les plus safe du waibe :)
#4
Ne pas confondre “safe” et “surveiller” sans autorisation juridique ….
#5
Tu peux m’expliquer le rapport avec IPv6 ?
#6
Tu pratiques IPv6 ?
#7
#8
Ton avatar me fait vomir… liberté de vomir !!
#9
Je ne comprends pas non plus le rapport avec IPv6, si quelqu’un pouvait m’expliquer :)
#10
#11
Un poil oui
#12
#13
Faudra donc lire :
http://caleca.developpez.com/tutoriels/ip-v6/
(un super tuto pour newbies)
#14
#15
Alors je commence doucement avec :
Scope:Global, toute machine d’un lan est visible depuis l’extérieur. (on a droit à 264 adresses visible du web sans nat etc … la notion d’ad public et privée n’est plus)
on est en multi adressage donc les gus qui en bavaient avec une adresse ipv4 public vont avoir un peu de mal (il y en aura au minimum deux FE80:: et celle du prefixe FAI ….) + celle des pirates mélangé aux deux autres (lol)….
128 bits, donc des adresses complexes quasi obligatoirement dynamique,Le NAT n’est plus donc un client du lan sortira vers le wan et cela by design …
Les négociations d’attribution d’adresse se font avec ICMPv6 qui n’est pas secure (idem ARP),
les usurpations d’adresse etc vont être monstrueuses (car le NDP autorise des trucs assez chaud)
c’est le routeur qui fait tout le taf
je ne parle même pas des périodes ou les deux stack vont devoir coexistées !
… et ce n’est q’un debut avec mon modeste niveau en ipv6
#16
ah , a un show (room) , ok : cela nous rassures.
La maison brule et eux festoient et se congratulent , et surtout parlent beaucoup !!!
#17
Niveau piratage, il y a eu aussi france3 cette nuit :https://twitter.com/bastien/status/557754078651219968
#18
De ma compréhension à moi (donc probablement des imprécisions mais bon, ça fait un moment que je m’inquiète de ce merdier et honnêtement je sais pas comment je vais faire quand ça sera obligatoire):
En gros l’Ipv6 a des entêtes de taille dynamique donc difficile à parser et surtout, il y a volonté de supprimer le NAT et donc exposer en direct les réseaux particuliers. La soi-disante difficulté de scan est une illusion car à partir du moment où ta machine accède à internet elle dévoile son Identité, il suffit donc d’avoir les listes (on peut par exemple avoir un mail ou un site avec une image hébergée qui sert de ping, et hop ta machine est repérée). Les parefeu ne peuvent pas protéger contre les failles qui tapent directement sur la stack (vu que c’est trop tard, c’est sur un packet IP déjà parsé), et même si les exploits ne sont pas basés sur une vulnérabilité de proto, de manière générale un parefeu c’est tellement complexe à configurer que de toutes façons généralement les gens laissent tout passer à cause des jeux, etc … Et je ne parle même pas des implémentations foireuses où le filtrage n’est pas actif tant que le PC n’a pas complètement démarré …
Bref, les botnets sont pas prêt d’être arrêtés
#19
Répétez après moi : le NAT n’apporte aucune sécurité. Voir les nombreux échanges ici même sur le sujet.
#20
Je m’attendais au moins à un “ta mère” en sous titre.
#21
bah tiens ….
tu les sorts comment tes adresses privées sur le web ? avec quel mécanisme ?
c’est une sécurité induite.
Alors arrêtez de tire que le nat n’apporte aucune sécurité.
Si tu coupes un destination-nat (vers une dmz par ex.) eh bien règles ou pas règles (parefeu pas parefeu) le paquet n’arrive plus vers le serveur en dmz … on n’appelle cela aussi des ACL sur un routeur CISCO (j’ai bien dit routeur)
#22
IPv6 ne va rien arrangé et vu certains features (ICMPv6 : il y a tout dedans !!!) cela va même faire empirer les choses.
longueurs de adresses
multi adressage de rigueur
#23
Au moins ils bougent vite et bien j’ai l’impression.
Ah ! Et ils n’accusent personne tant que l’analyse complète n’est pas terminée. C’est pro.
#24
Si certains ont encore des doutes , (info NXI) “ nous avons filtré toutes les adresses IPv6 qui visaient notre site” …
allez tchao les gusses.
#25
Et ?
" />
#26
Attends mec !
" />) en permanence,
Quand tu te prends une attaque avec + de 10 000 sources d’attaque en simultanées provenant de PC des abonnés orange, free, belgacom, china telecom , toto telecom … tu accuses qui toi ?
Le pauvre mec dont le PC est un zombie ?
Le mien peut -etre, en ce moment même , tiens vas savoir : c’est peut-être moi sur cette attaque …
Et honnêtement à part zieuter mon ids (que je regardes pour m’endormir le soir …
… je ne sais pas comment je pourrais couper mon accès pour stopper l’attaque si je n’en ai pas connaissance et je pense que 99% de mes concitoyens n’ont pas ids, et sauraient encore moins comprendre les faux positifs qu’il leur balance à la tronche !!!
#27
Ils se sont fait ouvrir en IPv6 … rien de plus hein ?
#28
Fort à parier que l’AFNIC assure sa propre sécurité.
Les mecs qui bossent là-bas sont loin d’être des manches.
#29
RFC 2993 discute de ça.
#30
Tu m’a l’air d’avoir abusé de caféine.
" />
Tu pars en croisade contre quelque chose ou j’ai raté un épisode ?
#31
Là-dessus aucun doute, “les mecs qui bossent” tu vient de dire , c’est ç a hein ? on est d’accord.
Et ils si ils pouvaient s’exprimer librement (liberté d’expression hein la vrai …) leurs propos feraient froids dans le dos à beaucoup ici, qui mystifient tout.
Moi je parlais des pseudo experts secu qui font du vent.
#32
hum, réponse censé et pertinente.
cassé comme dirait Brice , c’est cela que je dois le prendre ?
#33
Non. Je remarque juste que tu sur-réagis sur cette news comme si ta vie en dépendait.
Pourquoi ?
Edit : et je te trouve agressif, ça ne donne pas envie de commenter.
#34
ben si tu veux, mais ca commence mal ici : “ Il est d’autant plus difficile de faire une analyse
des avantages et inconvénients du NAT que le débat est souvent très
passionnel.”
#35
question d’implication , non ?
Edit : j’en ai juste marre de voir des charlatans nous faire croire qu’ils peuvent sécuriser un système, fiers, sur d’eux. Alors que la réponse pour la sécurité n’est pas technique. C’est un commerce de la peur, comme les assurances : alors oui cela me … fait chier ! (pas toi rassures toi)
#36
On peut être impliqué sans forcément répondre au tac-o-tac à toutes les remarques comme si c’était des attaques personnelles.
#37
Ça tombe bien le RFC ne comporte qu’un auteur
" />
#38
Je crois que sur la dernière heure, ledufakademy est responsable de 50% des comz, toutes newz confondues.
Comment quoi, l’avoir bloqué il y a quelques mois devait pas être totalement infondé o/
#39
eh tu m’amuses john :
“En effet, comme le pare-feu, le NAT isole le réseau privéet ne permet pas d’accéder à tous les services de l’Internet. Dans
cette définition stricte, seul le réseau public est
l’Internet (avec un grand I puisque c’est un
objet unique comme l’Atlantique ou le Kilimandjaro).”
Donc NAT ne sécurise pas d’après l’auteur ?
As tu lis ce que tu balances … au moins ? gros doute, hein
#40
Oui, tu y aurais vu la référence au limes romain.
#41
En IPv6 par exemple : (c.CALECA)
host www.kame.net
www.kame.net is an alias for orange.kame.net.
orange.kame.net has address 203.178.141.194
orange.kame.net has IPv6 address 2001:200:dff:fff1:216:3eff:feb1:44d7
L’adresse IPv6 est un trou de sécurité car directe on peut connaitre le matériel d’une cible voir plus , regardez :
00-16-3E-B1-44-D7
(Xensource, c du virtualisé)
#42
Un bon résumé de la situation sur le NAT au niveau IPv6 !
#43
epinglé.
#44
IPv6 ne signifie absolument pas que la machine est accessible depuis l’extérieur.
Aucun problème de bloquer un /64 au lieu d’une adresse unique.
Quasi impossible de scanner toutes les IP existantes comme en IPv4..
Bref ça m’a l’air bien fumeux ton affaire
#45
?
#46
N’importe quoi…
Utiliser l’adresse MAC est optionnel, on peut mettre ce qu’on veut
#47
(ca veut dire à lire ;-)
#48
Et le mode pseudo aléatoire? C’est un faux problème.
#49
#50
ben si : ton adresse (donné par le fai) est donc en scope global, donc parfaitement routable (normal ipv6) donc si tu n’a pas de filtrage c’est “je vais et je viens entre tes ….”
D’autant plus qu tu as aussi un ipv6 local (scope : link) donc tu peux communiquer tranquille en local mais quand tu sors ce n’est pas avec cette ipv6 (fe80 je crois) mais bien avec un ip qui est routable donc nonbloqué par un routeur …
enfin moi je comprends cela.
et vu la range que nous file notre fai(le prefix) on peut avoir 264 machines par particulier .. de base sans mecanisme de masquerading .
#51
arretes 5 sec. : l’autoconf est le mode par défaut et preféré d’ipv6 ! (dixit les doc )
donc 99% des humains surferont avec lmeur mac address et c’est tout.
Tu bosses avec des ipv6 manuelle toi ? (bosser = travail = possible grand réseau)
#52
pour qui ? toi et moi qui connaissons ce mode mais pour 99% des noeuds ?
#53
purée c vrai que je poste beaucoup de comm là
Mais IPv6 me passionne pas mal !!! (j’apprends !!!)
#54
#55
#56
A l’heure actuelle, il est strictement impossible de scanner toutes les adresses IPv6. Pour une machine unique, ou un petit pool, j’entends.
#57
Confusion classique NAT/Firewall
Les box IPv6 auront un Firewall IPv6 activé par défaut qui bloquera les connexions entrantes. Le fait que les adresse soient globalement routables n’empêche pas le routeur de les bloquer s’il le souhaite.
Les adresses “link-local” ne sont routables que sur le lien donc même pas sur le réseau local. Pour communiquer sur un réseau local on utilise typiquement les adresses globales, tout simplement.
#58
NB: on peut aussi utiliser les adresses site-local équivalentes aux IP privées IPv4.
#59
D’accord.
En es tu sure ?
Tu connais angry scan :http://angryip.org/documentation/ (j’ai vu des benchmark monstrueux avec cet outil)
Sinon ici :https://tools.ietf.org/html/rfc5157 (apparement les méthodes de scan diffèrent)
#60
confusion nat / Firewall : trouves moi un parefeu qui ne fasse pas de nat …
ben heureusement qu’elles ONT DEJA un firewall iptables6 ! (lol) je n’avais pas imaginer une seule seconde que nos chers box soient ouverts en “incoming” en ipv6 (la bonne blague)
“Le fait que les adresse soient globalement routables n’empêche pas le routeur de les bloquer s’il le souhaite.”
… à ma connaissance aucune box par défaut ne bloque le “outgoing” … c’est vamos à la playa pour tous !! (et ca changera pas avec ipv6 : qui est déjà en prod)
“Les adresses “link-local” ne sont routables que sur le lien donc même
pas sur le réseau local. Pour communiquer sur un réseau local on utilise
typiquement les adresses globales, tout simplement.”
ne sont routables que sur le lien, la moi pas comprendre toi !
sur un meme lien (scope lien, hein ?) il n’y a pas de routage a faire donc …
sur un réseau local toi tu va utiliser des prefix globaux (scope : global) ? … alors là je te suis plus mais bon ….
#61
#62
Rappel : NAT Firewall …
http://smhteam.info/upload_wiki/netfilter_diagramme.png
#63
Oui ça veut dire que même en connaissant l’IPv6 de qqun tu ne pourras pas le contacter s’il ne t’as pas préalablement envoyé de paquet…
Par routable sur le lien je voulais dire utilisable bien entendu..
C’est tout à fait faisable d’utiliser les adresses globales IPv6 pour communiquer en local, c’est une configuration qui convient mieux à la plupart des usages (qui n’ont généralement rien à voir avec la topologie du réseau). Certains systèmes préfèrent tout de même utiliser les adresses privées.
#64
je n’ai pas encore lu la RFC sur les ipv6 privée , parait effectivement qu’elles existent.http://www.ietf.org/rfc/rfc4193.txt)
#65
“C’est tout à fait faisable d’utiliser les adresses globales pour
communiquer en local, c’est une configuration qui convient mieux à la
plupart des usages (qui n’ont généralement rien à voir avec la topologie
du réseau). Certains systèmes préfèrent tout de même utiliser les
adresses privées.”
Alors bon je n ‘ai pas encore vu de grands réseaux d’entreprise en ipv6+, certes MAIS !
En ipv4 j’ai vu des grands réseaux en adresse public sur le LAN !!! (dans le réseau privée donc), j’vais pas citer les noms mais on dira la “très” grande distribution !!!
Du n’importe quoi !!
En ipv4 sur des grands réseaux , dans le lan (réseau privée , interne) on est en 10.0.0.0. Le reste rigolade.
Ensuite si il y en a qui vont allez dans le même délire que j’ai vu en ipv4 mettre des ip public pour coder leur réseau interne : chacun sa merde.
Pourquoi je dis ca ?
c simple pour des raison de sécurité evidente by design une ip privée ne peut sortir sur le web wan, externe (les routeurs ne routent). J’ai vu des cons foutre un modem rtc (c vieux) et donc créer une passerelle sur un réseau dont je tairai bien entendu le nom ici !!!
Donc le fait d’être en ip privée permet de “bloquer” le routage by design de ce genre de connerie (moyennant l’activation du forwarding)
Alors en ipv6 une fe80::/64 pour moi ne passera jamais le routeur (firewall c’est autre chose).
Note : je ne parle par de superneting etc, je ne suis pas un pure “réseauman” qui aurait désigné des plans d’adressage de fai (avec bgp, ospf etc …)
#66
@ ledufakademy
ipv6 possède pas mal de failles “by design” mais qui sont facilement identifiée.
Par contre “autoconf” ne signifie pas “je prends la modified mac”, non sur windows8, par défaut, autoconf = mode pseudo aléatoire en préféré. Sur mon Xubuntu pareil. Par contre sur OSX, ils faut changer la conf pour avoir le pseudo aléatoire.
Le mode “autoconf” signifie simplement utiliser DAD pour obtenir une ip.
Ensuite, les problèmes que tu opposent ne parle pas du nat mais du firewall.
En effet, qu’on ait du NAT ou pas, les botnets utilisent du trafic sortant. Du côté du contrôle anto DDOS, c’est pas plus compliquer de bloquer un ipv6 qu’un ipv4 c’est juste que tu bloques un préfix plutôt qu’une adresse complète.
Le NAT te permettait de “masquer” ton réseau, dans le sens où du coup l’architecture de ton réseau était totalement invisible derrière le NAT. Maintenant, la seule chose qui va changer c’est qu’au lieu d’avoir un DHCP, tu vas avoir du RADVD, et encore, je ne pense pas que les particuliers auront un radvd, un dhcpv6 sera sûrement utilisé avec les mêmes fonctionnalités qu’un DHCPv4 (pour pas exposer madame michu à autre chose).
Le NAT c’est de la “sécurité” par le secret, rien de plus. C’est facilement contournable, les outils de p2p l’ont vite compris.
Il existe des “ip privée” en le sens qu’il existe des préfix routables mais pas vers internet. Un peu comme le 2001:db8/32 par exemple.
#67
Sait-on si en général les plaintes déposées suite à ces attaques donnent un résultat, ou si elles sont classées sans suite ?
#68
Ben, une simple règle de trois me dit que j’en suis sur.
" />
#69
#70
oui , tout le monde sera en autoconf , je pense.
En même temps l’autoconf fonctionne bien et si Windows continue de garder autant de part de marché, l’autoconf respectera ta vie privée puisque ça sera du pseudo aléatoire.
Mais cela ne suffit pas .. tout comme le firewall ne suffit plus tout : on passe tout et n’importe quoi par http de nos jours.
C’est pour ça que les deux prochains défis seront :
Juste une chose, c’est très facile d’encapsuler un protocole dans un autre, même pas besoin de passer par du http. Un proxysoc qui fait passer un trafic ssh dans du smtp ou du imap, j’ai déjà fait pour bypasser le pare feu de l’université sans avoir à payer hamachi.
‘ai jouer un peu avec mon utm et effectivement il y a bien la présence
d’un dhcp v6 , mais je ne sais pas ce qui est usité dans el gros groupes
autoconf, rdavd ou dhcp 6 …. d’ou pour mon avis présence
d’incertitudes au niveau secu.
radvd appartient à “autoconf”.
L’autoconf fonctionne comme ça :
1 je me crée une adresse en fe80 et je la mets “en attente”
2 j’envoie une requête multicast sur l’abonnement “all nodes” en leur disant “je veux prendre cette adresse”
3 si quelqu’un répond, je crash, sinon je passe l’adresse de “en attente” à “préférée”
4 j’envoie un “neighboor advertisement” à l’abonnement “all routers”
5 le routeur m’envoie un ou plusieurs “router advertisement” (le fameux RADVD) dans lequel il me distribue des préfix
6 je me crée une adresse dans ce préfix, et je la mets “en attente”
7 je rejoue l’étape 3
et on rejoue 5 6 7 tant qu’il y a des préfix à occuper.
La seule différence avec un DHCP c’est qu’à l’étape 4, au lieu de t’envoyer des préfixes, le routeur t’envoie l’adresse du DHCP et te dit “travaille avec lui”.
Il semblerait que la “tendance” dans les env de prod full ipv6 ça soit un système dit “hybride” où le routeur t’envoie les préfix puis te dit “pour les infos complémentaires style dns and co, va voir avec le dhcp”.
#71
j’avais vu et compris le mécanisme (ICMPv6 et les sous protocoles NDP etc…)
Par contre j’vais un doute sur l’utulisation à grande echelle de DHCPv6.
par contre je ne te suis pas quand tu parles de préfixe … (pour moi prefixe = 64 bits de poids fort de l’adresse -on y met le reseau, sous réseau etc.- les autres 64 etant le noeuds .. en générale la mac adresse , ou une pseudo aleatoire)
tu veux dire prefix + jeton ou noeuds ( ce qui forme une ipv6 complète) ou simplement le prefixe car je vois pas comment le dhcp(v6) peut gérer qu’un e seul partie de l’adresse !!! et le routeur l’autre ??
#72
tu veux dire prefix + jeton ou noeuds ( ce qui forme une ipv6
complète) ou simplement le prefixe car je vois pas comment le dhcp(v6)
peut gérer qu’un e seul partie de l’adresse !!! et le routeur l’autre ??
si tu es en mode “stateless”, c’est à dire que tu laisse le routeur faire tout, le routeur te dit “moi je sais router 2001:….::/64” du coup toi tu dis “ok ,je prends une adresse dans ton /64” et là tu vas pouvoir faire ton pseudo aléatoire sur les 64bit restant, quand tu renvoies l’adresse, tu as bien sûr 128bit qui sont la concaténation du préfix et du noeud.
Le DHCP, en configuration stateful, lui, t’envoie une adresse complète théoriquement, soit via une assignation statique soit via une pool (un intervalle d’adresses).
En hybride, le DHCP, ne fait que t’envoyer les adresses des services externes (DNS, autorité de confiance…)
Comme les box vont jouer à être de plus en plus simples, je pense que le DHCPv6 sera utilisés chez les particuliers, mais ce n’est que mon avis.
#73
Oui, le NAT n’apporte pas plus sécurité, et sa suppression initiale en IPv6 était pour simplifier la configuration des routeurs.
Peux tu me dire en quoi un firewall qui filtre tous les paquets entrant par défaut sauf ceux ouverts en direction de tels ou tels serveurs/ports qui sont très certainement en DMZ est-il moins sécurisé que IPv4 et NAT?
#74
A lire :
RFC 5157
#75
mouai. il dit juste qu’un réseau qui a un préfix public ne doit pas utiliser le statefull en mode pool.
Le “sans état” ne se base pas forcément sur les MAC donc basiquement on ne peut pas “deviner” quelle sera l’adresse, surtout si la personne est sur windows (du moins 8.1).
#76