Retour avec Cedexis sur l'attaque DDoS qui a rendu une partie de la presse inaccessible

DDoS hard 19
Accès libre
image dediée
Securité
Guénaël Pépin

Le 10 mai, Cedexis a subi une large attaque DDoS. Plusieurs médias français, qui s'appuient sur ses services, étaient inaccessibles une partie de la journée. Un baptême du feu pour la jeune pousse, qui revient pour nous sur cet événement.

Le 10 mai, de nombreux sites étaient inaccessibles en France. Parmi eux, de grands titres de presse comme Le Figaro, Le Monde, Le Parisien ou encore L'Équipe. Leur point commun ? Ils s'appuient sur Cedexis, « l'aiguilleur du Net » qui dirige chaque internaute vers l'hébergeur, CDN ou cloud le plus proche, dans le but d'optimiser les temps de chargement. Ce jour-là, il subissait une attaque DDoS d'envergure, qui a mis hors service une partie de son infrastructure.

Sur les cinq réseaux DNS Anycast de l'entreprise, trois ont été touchés dans la journée, en trois vagues. La première, intervenue tôt le 10 mai, n'a pas été aperçue par l'entreprise. C'est la deuxième, entre 10h46 et 17h30 (UTC), qui a mis une partie du service à genoux. « À 12h55 UTC, nous étions en échec client, une requête sur cinq passait sur trois de nos cinq réseaux Anycast. Tout est revenu à la normale à 15h06 » nous déclare Julien Coulon, fondateur de Cedexis. Une troisième vague a, enfin, été ressentie entre 20h30 et 1h30 « sans impacter les clients ».

L'attaque par saturation de requêtes DNS a surtout affecté la France. « Elle a été dirigée vers le réseau le plus rapide, ce sont donc les clients français qui ont été les plus touchés » explique l'entreprise. Elle estime que l'impact pour une majorité de sites a duré entre cinq et 53 minutes.

Jusqu'à 1,6 million de requêtes DNS par seconde

Une procédure d'urgence a été mise en place. Les clients ont contourné le service, en dirigeant directement les internautes vers l'un de leurs hébergeurs de contenus, plutôt que d'être aiguillés entre plusieurs par Cedexis.  « Les sites paraissaient malheureusement plus lents, ils ont perdu en qualité de service. Nous sommes une sorte de load balancer DNS, qui sélectionne le prestataire vers lequel envoyer le trafic » détaille la société.

« D’habitude, notre réseau tourne entre 5 % et 10 % de sa capacité, soit entre 30 et 60 000 requêtes par seconde. À 10h46, nous étions à 150 000 requêtes par seconde, et 1,6 million à 11h19... Soit 50 fois le trafic maximum que nous sommes censés absorber » calcule Julien Coulon.

« Dans un trafic normal, entre 1,2 et 1,7 million de résolveurs IP nous contactent, pour environ un milliard de personnes par jour. Pendant l'attaque entre 17h30 et 20h30, c'est monté à 112 millions d’adresses IP, soit 100 fois le pic. Nous avons été contactés par 105 millions d’adresses IP complètement inconnues, ce qui provient sûrement d'un botnet d'objets connectés » déduit le patron de Cedexis.

Une attaque DDoS « intelligente »

« Nous subissons souvent des attaques mais c’est la première fois en sept ans que cela impacte nos clients » affirme Coulon, qui dit avoir reçu le soutien de ses utilisateurs. L'entreprise pense que c'est l'un d'eux qui était visé, même si elle n'a pas identifié de cible précise.

Elle pense les vagues de DDoS élaborées : « Nous ne sommes pas le DNS primaire de nos clients. D’habitude une attaque DDoS cible le primaire ou l'IP du serveur. Ici, ils ont attaqué un intermédiaire, ce qui prouve que l'offensive était intelligente et que Cedexis est devenu un acteur clé de l'infrastructure du Net ». 

Si le service a été rétabli assez rapidement pour les clients, tout n'était pas parfait. « Deux, trois choses ne se sont pas passées comme je le voulais. Notre plan d'urgence, déjà dessiné, a bien fonctionné » estime la société. Il lui manquait pourtant quelques contacts utiles et elle a dû mettre en place des mesures qui n'étaient pas là précédemment. 

« Une dizaine de procédures ont été initiées en urgence » et sont encore en train de s'installer. Cedexis refuse de détailler ses actions, mais elles concernent au moins le réseau lui-même, la gestion logicielle et la détection des attaques. À la toute première vague, le 10 mai avant 10h, celle-ci songeait à un simple pic d'activité de l'un de ses clients.

Un dépôt de plainte envisagé 

Malgré l'indisponibilité temporaire de certains sites, Cedexis refuse d'être qualifié de point de défaillance (single point of failure). D'une part, elle dispose d'un système de secours (fallback) et, d'autre part, peut être contourné au besoin. La durée de la mise en place du contournement dépendant des paramètres DNS du client, avec une réjuvénation conseillée à dix minutes. Le Monde, par exemple, a signalé avoir mis en place son contournement vers 16h30, heure française.

« La majorité des clients ont rebasculé tout de suite chez nous. D’autres ont des TTL DNS plus longs, mettant plus de temps à revenir » affirme le service. S'il ne se risque pas à une attribution de l'attaque, des signes semblent pointer l'Asie, estime-t-il. « La tempête est passée mais je reste vigilant. Ça va toujours par salves. On a tout de même subi neuf heures de tentative de déni de service après être tombés » déclare encore Julien Coulon.

L'entreprise est rapidement entrée en contact avec l'Agence nationale de sécurité des systèmes d'information (ANSSI). Elle envisage de déposer plainte, sur sa recommandation.


chargement
Chargement des commentaires...