Attaque DDoS contre ProtonMail : entre chantage, excuses et campagne de dons

L'attaque subie par ProtonMail risque de faire parler d'elle pendant un moment. Il faut dire que les nouveaux détails donnés par la société sont nombreux et parfois surprenants. Il est en effet question de chantage, d'une rançon de 15 bitcoins, d'excuse des pirates et d'un second groupe d'attaquants qui pourraient être « parrainés par un pays ».

Comme nous l'avions indiqué hier, le service d'emails chiffrés ProtonMail est tombé suite à une attaque DDoS que la société qualifie d'« extrêmement puissante ». Durant plusieurs dizaines d'heures, le site était inaccessible, rendant impossible la consultation des emails pour les utilisateurs. Durant la nuit, ProtonMail était de retour, mais ce matin la situation est encore dégradée pour certains... avant que l'attaque DDoS ne reprenne il y a quelques dizaines de minutes.

Un email de chantage, un DDoS de 15 minutes et l'artillerie lourde

Comme prévu, la société s'est fendue d'un nouveau billet de blog afin de donner de plus amples détails sur les causes et conséquences de cette attaque. Elle insiste encore une fois sur le niveau de sophistication puisqu'elle la qualifie de « sans précédent », avant d'ajouter qu'il n'est donc « pas facile de trouver une solution ». 

Tout a apparemment commencé mardi soir, peu avant minuit : « nous avons reçu un email de chantage de la part d'un groupe de criminels qui était responsable d'une série d'attaques DDoS en Suisse » explique ProtonMail. Cette demande de rançon est rapidement suivie par un coup de semonce qui prend la forme d'une attaque DDoS mettant hors service le site pendant environ 15 minutes. Plus rien ensuite jusqu'au lendemain matin. Durant cette période, la rançon n'a pas été payée.

Une rançon de 15 bitcoins payée pour rien, des excuses des pirates

Mercredi matin vers 11h, l'attaque reprend de plus belle : « À ce stade, notre datacenter ainsi que notre FAI ont commencé à prendre des mesures en amont afin d'atténuer l'attaque ». Les pirates ont alors répliqué et l'intensité a augmenté. Vers 14h la cyberattaque visait toute l'infrastructure de ProtonMail et de ses prestataires. Il était alors question de plus de 100 Gb/s visant des routeurs de son fournisseur d'accès à Zurich et à Francfort. « Cet assaut coordonné sur la clé de notre infrastructure a finalement réussi à faire tomber à la fois le datacenter et le FAI, ce qui a touché des centaines d'autres entreprises, et pas seulement ProtonMail ».

Les sociétés victimes des dommages collatéraux ont alors mis la « pression » sur ProtonMail afin que la rançon demandée par les pirates soit payée : 15 bitcoins (soit près de 5 200 euros). « À contrecœur, nous avons accepté de le faire à 15h30, heure de Genève, à l'adresse bitcoin 1FxHcZzW3z9NRSUnQ9Pcp58ddYaSuN1T2y ». La transaction a d'ailleurs bien été validée comme on peut le constater ici.

@BigDeesDad Over 100 companies were taken offline from the attack against us. Impacted companies asked us to pay, we couldn't refuse.

— ProtonMail (@ProtonMail) November 5, 2015

Mais cela n'a visiblement pas changé grand-chose : « Nous espérions qu'en payant, nous pourrions épargner les autres entreprises touchées par l'attaque nous visant, mais cela a continué ». Le fournisseur d'accès à Internet de ProtonMail prendra alors la décision d'arrêter d'annoncer ses adresses IP, le privant définitivement d'Internet et le mettant de fait hors ligne.

Fin de l'histoire ? Loin de là et de nouveaux rebondissements sont au programme. « L'attaque a perturbé le trafic à travers tout le réseau du FAI et est devenue si grave que les criminels qui nous extorquaient précédemment ont même jugé nécessaire de nous écrire afin de nier toute responsabilité dans la seconde attaque » ajoute ProtonMail.

Et s'il n'y avait pas une, mais deux attaques simultanées ?

La piste de deux groupes d'assaillants distincts semble d'ailleurs privilégiée, notamment car l'attaque est composée de deux vecteurs : un DDoS « basique » sur l'adresse IP de ProtonMail et de puissantes frappes plus ciblées sur des points névralgiques de l'infrastructure. Concernant la seconde attaque, ProtonMail indique que les pirates « présentent des capacités plus communément possédées par les acteurs parrainés par un pays » et qui n'ont pas peur de faire des dommages collatéraux pour atteindre leur cible. Dans tous les cas, aucune indication sur l'identité des deux groupes de pirates n'a été dévoilée.

Aujourd'hui, la situation reste tendue : « pour le moment, nous ne sommes plus attaqués et nous avons été en mesure de rétablir nos services, mais l'attaque pourrait recommencer » expliquait hier soir ProtonMail. Mais, ce matin, rebelote : « Notre FAI est de nouveau sous le coup d'une attaque DDoS ce matin, nous sommes donc à nouveau déconnectés ».

Quoi qu'il en soit, des mesures sont en train d'être mises en place, mais la seconde attaque (celle qui cible l'infrastructure) demande bien plus de moyens pour être bloquée, notamment car il faut aussi protéger le fournisseur d'accès à Internet et le datacenter. « Les estimations pour ce genre de solutions sont aux alentours de 100 000 dollars par an, car il n'y a que quelques sociétés en mesure de combattre une attaque de ce type ».

Une campagne de dons pour renforcer la résistance du site

Cette étape est néanmoins nécessaire pour ProtonMail qui a donc lancé une campagne de dons afin de récolter 50 000 dollars. À l'heure actuelle, plus de 320 personnes ont participé à la collecte pour un total de plus de 11 000 dollars. Les sommes vont de quelques dollars à 300 dollars de la part d'un anonyme.

Via son compte Twitter, ProtonMail précise que, parmi les sociétés victimes de l'attaque et qui les ont poussés à payer la rançon, « beaucoup ont déjà cotisé ». On rappellera au passage que ProtonMail s'était lancé via une campagne de financement participatif sur Indiegogo avec plus de 550 000 dollars récoltés, sur 100 000 demandés.

Dans tous les cas, les détails techniques de la protection qui sera mise en place ne sont pas dévoilés. En effet, lorsqu'un utilisateur demande ce genre d'informations car « il ne veut pas payer pour un bouclier réseau inconnu », ProtonMail répond : « Nous ne pouvons rien dire parce que nous ne voulons pas donner aux attaquants notre plan de défense ». Il faudra donc faire confiance à ProtonMail, ce qui risque de ne pas forcément plaire à tout le monde.

ProtonMail est déjà en collaboration avec le Swiss Governmental Computer Emergency Response Team (GovCERT), le Cybercrime Coordination Unit Switzerland (CYCO) et Europol dans le cadre de « l'enquête judiciaire qui est en cours ». Enfin, sachez que les emails bloqués durant les attaques devraient arriver normalement lorsque le service sera de retour.

La nouvelle mode : une DDoS ou une rançon

Dans tous les cas, cette histoire soulève une nouvelle fois la question de payer ou non une rançon dans ce genre de situation. Les exemples récents allaient tous plutôt dans le sens d'un refus, comme dans les cas du laboratoire d'analyse Labio.fr et de Domino's Pizza. On peut également citer les « cryptolockers » qui chiffrent vos données à votre insu et qui vous demandent ensuite le paiement d'une rançon, généralement en bitcoins, afin de vous permettre d'y accéder de nouveau.

Comme le souligne Kaspersky dans un rapport publié il y a quelques jours, ce genre d'extorsion est en plein boom ces derniers temps et un groupe de pirates s'en est même fait une spécialité : DD4BC (Distributed Denial of Service for Bitcoin). « Le groupe a pris pour cible des banques, des groupes de médias et des sociétés de jeux depuis septembre » précise l'éditeur d'antivirus, avec une demande de rançon qui oscille entre 25 et 200 bitcoins. 

AltcoinToday dresse d'ailleurs un portrait de ce groupe, dont les attaques ont augmenté ces derniers mois, si l'on en croit les données publiées par Akamai :

Il est néanmoins difficile d'en tirer des conclusions, car les sociétés/personnes qui payent n'ont généralement aucune envie que cela se sache. On rappellera d'ailleurs la position surprenante du FBI pour qui il est parfois nécessaire de payer. L'exemple d'aujourd'hui montre bien que ce n'est pas toujours la solution, même si la situation semble plus complexe puisque la piste principale s'oriente vers deux groupes de pirates différents. Reste à savoir si leurs actions étaient ou non coordonnées, si l'un des deux a profité de l'attaque pour venir se greffer ou s'il s'agit purement et simplement d'une coïncidence.