Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Attaque DDoS contre ProtonMail : entre chantage, excuses et campagne de dons

Et c'est pas fini
Internet 7 min
Attaque DDoS contre ProtonMail : entre chantage, excuses et campagne de dons
Crédits : Xebeche/iStock

L'attaque subie par ProtonMail risque de faire parler d'elle pendant un moment. Il faut dire que les nouveaux détails donnés par la société sont nombreux et parfois surprenants. Il est en effet question de chantage, d'une rançon de 15 bitcoins, d'excuse des pirates et d'un second groupe d'attaquants qui pourraient être « parrainés par un pays ».

Comme nous l'avions indiqué hier, le service d'emails chiffrés ProtonMail est tombé suite à une attaque DDoS que la société qualifie d'« extrêmement puissante ». Durant plusieurs dizaines d'heures, le site était inaccessible, rendant impossible la consultation des emails pour les utilisateurs. Durant la nuit, ProtonMail était de retour, mais ce matin la situation est encore dégradée pour certains... avant que l'attaque DDoS ne reprenne il y a quelques dizaines de minutes.

Un email de chantage, un DDoS de 15 minutes et l'artillerie lourde

Comme prévu, la société s'est fendue d'un nouveau billet de blog afin de donner de plus amples détails sur les causes et conséquences de cette attaque. Elle insiste encore une fois sur le niveau de sophistication puisqu'elle la qualifie de « sans précédent », avant d'ajouter qu'il n'est donc « pas facile de trouver une solution ». 

Tout a apparemment commencé mardi soir, peu avant minuit : « nous avons reçu un email de chantage de la part d'un groupe de criminels qui était responsable d'une série d'attaques DDoS en Suisse » explique ProtonMail. Cette demande de rançon est rapidement suivie par un coup de semonce qui prend la forme d'une attaque DDoS mettant hors service le site pendant environ 15 minutes. Plus rien ensuite jusqu'au lendemain matin. Durant cette période, la rançon n'a pas été payée.

Une rançon de 15 bitcoins payée pour rien, des excuses des pirates

Mercredi matin vers 11h, l'attaque reprend de plus belle : « À ce stade, notre datacenter ainsi que notre FAI ont commencé à prendre des mesures en amont afin d'atténuer l'attaque ». Les pirates ont alors répliqué et l'intensité a augmenté. Vers 14h la cyberattaque visait toute l'infrastructure de ProtonMail et de ses prestataires. Il était alors question de plus de 100 Gb/s visant des routeurs de son fournisseur d'accès à Zurich et à Francfort. « Cet assaut coordonné sur la clé de notre infrastructure a finalement réussi à faire tomber à la fois le datacenter et le FAI, ce qui a touché des centaines d'autres entreprises, et pas seulement ProtonMail ».

Les sociétés victimes des dommages collatéraux ont alors mis la « pression » sur ProtonMail afin que la rançon demandée par les pirates soit payée : 15 bitcoins (soit près de 5 200 euros). « À contrecœur, nous avons accepté de le faire à 15h30, heure de Genève, à l'adresse bitcoin 1FxHcZzW3z9NRSUnQ9Pcp58ddYaSuN1T2y ». La transaction a d'ailleurs bien été validée comme on peut le constater ici.

Mais cela n'a visiblement pas changé grand-chose : « Nous espérions qu'en payant, nous pourrions épargner les autres entreprises touchées par l'attaque nous visant, mais cela a continué ». Le fournisseur d'accès à Internet de ProtonMail prendra alors la décision d'arrêter d'annoncer ses adresses IP, le privant définitivement d'Internet et le mettant de fait hors ligne.

Fin de l'histoire ? Loin de là et de nouveaux rebondissements sont au programme. « L'attaque a perturbé le trafic à travers tout le réseau du FAI et est devenue si grave que les criminels qui nous extorquaient précédemment ont même jugé nécessaire de nous écrire afin de nier toute responsabilité dans la seconde attaque » ajoute ProtonMail.

Et s'il n'y avait pas une, mais deux attaques simultanées ?

La piste de deux groupes d'assaillants distincts semble d'ailleurs privilégiée, notamment car l'attaque est composée de deux vecteurs : un DDoS « basique » sur l'adresse IP de ProtonMail et de puissantes frappes plus ciblées sur des points névralgiques de l'infrastructure. Concernant la seconde attaque, ProtonMail indique que les pirates « présentent des capacités plus communément possédées par les acteurs parrainés par un pays » et qui n'ont pas peur de faire des dommages collatéraux pour atteindre leur cible. Dans tous les cas, aucune indication sur l'identité des deux groupes de pirates n'a été dévoilée.

Aujourd'hui, la situation reste tendue : « pour le moment, nous ne sommes plus attaqués et nous avons été en mesure de rétablir nos services, mais l'attaque pourrait recommencer » expliquait hier soir ProtonMail. Mais, ce matin, rebelote : « Notre FAI est de nouveau sous le coup d'une attaque DDoS ce matin, nous sommes donc à nouveau déconnectés ».

Quoi qu'il en soit, des mesures sont en train d'être mises en place, mais la seconde attaque (celle qui cible l'infrastructure) demande bien plus de moyens pour être bloquée, notamment car il faut aussi protéger le fournisseur d'accès à Internet et le datacenter. « Les estimations pour ce genre de solutions sont aux alentours de 100 000 dollars par an, car il n'y a que quelques sociétés en mesure de combattre une attaque de ce type ».

Une campagne de dons pour renforcer la résistance du site

Cette étape est néanmoins nécessaire pour ProtonMail qui a donc lancé une campagne de dons afin de récolter 50 000 dollars. À l'heure actuelle, plus de 320 personnes ont participé à la collecte pour un total de plus de 11 000 dollars. Les sommes vont de quelques dollars à 300 dollars de la part d'un anonyme.

Via son compte Twitter, ProtonMail précise que, parmi les sociétés victimes de l'attaque et qui les ont poussés à payer la rançon, « beaucoup ont déjà cotisé ». On rappellera au passage que ProtonMail s'était lancé via une campagne de financement participatif sur Indiegogo avec plus de 550 000 dollars récoltés, sur 100 000 demandés.

Dans tous les cas, les détails techniques de la protection qui sera mise en place ne sont pas dévoilés. En effet, lorsqu'un utilisateur demande ce genre d'informations car « il ne veut pas payer pour un bouclier réseau inconnu », ProtonMail répond : « Nous ne pouvons rien dire parce que nous ne voulons pas donner aux attaquants notre plan de défense ». Il faudra donc faire confiance à ProtonMail, ce qui risque de ne pas forcément plaire à tout le monde.

ProtonMail est déjà en collaboration avec le Swiss Governmental Computer Emergency Response Team (GovCERT), le Cybercrime Coordination Unit Switzerland (CYCO) et Europol dans le cadre de « l'enquête judiciaire qui est en cours ». Enfin, sachez que les emails bloqués durant les attaques devraient arriver normalement lorsque le service sera de retour.

La nouvelle mode : une DDoS ou une rançon

Dans tous les cas, cette histoire soulève une nouvelle fois la question de payer ou non une rançon dans ce genre de situation. Les exemples récents allaient tous plutôt dans le sens d'un refus, comme dans les cas du laboratoire d'analyse Labio.fr et de Domino's Pizza. On peut également citer les « cryptolockers » qui chiffrent vos données à votre insu et qui vous demandent ensuite le paiement d'une rançon, généralement en bitcoins, afin de vous permettre d'y accéder de nouveau.

Comme le souligne Kaspersky dans un rapport publié il y a quelques jours, ce genre d'extorsion est en plein boom ces derniers temps et un groupe de pirates s'en est même fait une spécialité : DD4BC (Distributed Denial of Service for Bitcoin). « Le groupe a pris pour cible des banques, des groupes de médias et des sociétés de jeux depuis septembre » précise l'éditeur d'antivirus, avec une demande de rançon qui oscille entre 25 et 200 bitcoins. 

AltcoinToday dresse d'ailleurs un portrait de ce groupe, dont les attaques ont augmenté ces derniers mois, si l'on en croit les données publiées par Akamai :

DD4BT
Crédits : Bloomberg/Akamai

Il est néanmoins difficile d'en tirer des conclusions, car les sociétés/personnes qui payent n'ont généralement aucune envie que cela se sache. On rappellera d'ailleurs la position surprenante du FBI pour qui il est parfois nécessaire de payer. L'exemple d'aujourd'hui montre bien que ce n'est pas toujours la solution, même si la situation semble plus complexe puisque la piste principale s'oriente vers deux groupes de pirates différents. Reste à savoir si leurs actions étaient ou non coordonnées, si l'un des deux a profité de l'attaque pour venir se greffer ou s'il s'agit purement et simplement d'une coïncidence.

54 commentaires
Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 06/11/15 à 11:09:29

Signaler ce commentaire aux modérateurs :

Ca devient des romanos qui font des ddos, attaquer une boite, risquer la prison et son pucelage rectal pour 15 bitcoins, c'est nase.

Avatar de seb2411 INpactien
Avatar de seb2411seb2411- 06/11/15 à 11:13:34

Signaler ce commentaire aux modérateurs :

darkbeast a écrit :

Ca devient des romanos qui font des ddos, attaquer une boite, risquer la prison et son pucelage rectal pour 15 bitcoins, c'est nase.

Pas forcément. Si tu demandes une trop grosse somme les gens vont hésiter à payer. La en théorie je suppose que ça leur permet de gagner de l'argent plus facilement.

Avatar de Baradhur INpactien
Avatar de BaradhurBaradhur- 06/11/15 à 11:17:52

Signaler ce commentaire aux modérateurs :

C'est plutôt classique. Est ce qu'il vaut mieux faire une méga grosse attaque et demander 100k euros en une seule fois et attirer le feu des projecteurs sur toi, ou faire 10 petites attaques et demander 10k euros à chaque fois en restant relativement discret?

Chacun son point de vue, mais si j'étais un criminel, la deuxième me paraitrait plus facile à mettre en place et a gérer que la première.

Avatar de Stel INpactien
Avatar de StelStel- 06/11/15 à 11:33:09

Signaler ce commentaire aux modérateurs :

Je trouve assez triste qu'il n'y ait aucune solution (viable, c'est à dire sans dépenser des centaines de milliers de $ pour avoir la plus grosse) pour contrer une attaque ddos.
En gros n'importe qui peut payer un groupe pour faire tomber un site, c'est grave quand même.

Avatar de hellmut Abonné
Avatar de hellmuthellmut- 06/11/15 à 11:35:10

Signaler ce commentaire aux modérateurs :

de toute manière Proton mail est un repaire de terroristes, de pédophiles et de trafiquants en tous genres.

Avatar de ErGo_404 Abonné
Avatar de ErGo_404ErGo_404- 06/11/15 à 11:36:24

Signaler ce commentaire aux modérateurs :

C'est d'autant plus vrai sur les copies de CB, en dessous d'un certain seuil de retrait frauduleux les banques ne font même pas d'enquête et remboursent le client, et ça c'est si le retrait est détecté.

D'un autre côté, faire ça sur la durée augmente quand même le risque de se faire choper...

Avatar de ErGo_404 Abonné
Avatar de ErGo_404ErGo_404- 06/11/15 à 11:38:41

Signaler ce commentaire aux modérateurs :

Pas forcément. Sur OVH les solutions anti DDoS sont mises en place au niveau de l'hébergeur lui-même, qui a les sous pour payer les protections (à voir si elle sont efficaces après, ça je ne pourrais pas le juger).

Après c'est aussi pour ça que tous les acteurs et notamment MS poussent vers des mises à jour régulières et automatiques de leurs produits, on peut lutter contre les DDoS en empêchant au maximum les PCs d'être infectés et donc de servir de relais.

Avatar de Stel INpactien
Avatar de StelStel- 06/11/15 à 11:46:46

Signaler ce commentaire aux modérateurs :

D'accord mais il y a quand même un sacrès problème au niveau de la conception même des serveur web, des routeurs ou même carrement de la conception des protocoles reseaux à la base, s'il suffit de flooder plus fort que ce que le hardware peut supporter pour que ca tombe lamentablement comme une grosse truie bourrée à la bière.

Parce que la si je comprend bien toutes ces affaires de DDOS, l'admin ne peut rien faire à part pleurer ou payer xx centaines de milliers d'euros des routeurs cisco de compétition + le reseau qui va avec.

Édité par Stel le 06/11/2015 à 11:48
Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 06/11/15 à 11:48:02

Signaler ce commentaire aux modérateurs :

seb2411 a écrit :

Pas forcément. Si tu demandes une trop grosse somme les gens vont hésiter à payer. La en théorie je suppose que ça leur permet de gagner de l'argent plus facilement.

Sauf que pour que ça devienne rentable, il faut faire plusieurs attaques et plus tu fais d'attaques, plus t'as de chances de te faire chopper.

Avatar de seb2411 INpactien
Avatar de seb2411seb2411- 06/11/15 à 11:49:09

Signaler ce commentaire aux modérateurs :

Stel a écrit :

D'accord mais il y a quand même un sacrès problème au niveau de la conception même des serveur web, des routeurs ou même carrement de la conception des protocoles reseaux à la base, s'il suffit de flooder plus fort que ce que le hardware peut supporter pour que ca tombe lamentablement comme une grosse truie bourrée à la bière.

C'est surtout que le problème est difficilement évitable.

Il n'est plus possible de commenter cette actualité.
Page 1 / 6