Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Fabrice Clerc, 6cure : Retour sur l’attaque DDoS contre DYN DNS

octobre 2016 par Marc Jacob

Comme souvent lorsqu’un incident majeur se produit dans le cyberspace, c’est la course à la publication, que l’on soit spécialiste, ou pas, du sujet. Tout d’abord mobilisé, comme d’autres fournisseurs de solutions anti-DDoS spécialisées, à libérer l’espace numérique plutôt qu’à occuper l’espace médiatique, 6cure peut maintenant réagir à l’attaque Dyn DDoS qui a eu lieu ce week-end.

Fabrice Clerc, Président de 6cure

GS Mag : Pouvez-vous nous décrire simplement cette attaque ?

Fabrice Clerc : Elle est caractéristique principalement sur deux aspects : les moyens utilisés et la cible choisie.
En ce qui concerne les vecteurs utilisés, ils appartiennent au monde des objets connectés (Internet of Things – IoT), et présentent le triple avantage d’être très nombreux, mal sécurisés et donc facilement mobilisables par un attaquant, et utilisant des protocoles très aisément utilisables dans une attaque, tels que le DNS. Ce choix permet donc d’obtenir un effet de levier très important, ce qui rend l’attaque redoutable. Au-delà de ça, rien n’est bien nouveau, et cela fait des années que les mises en garde se multiplient contre l’utilisation de l’IoT dans des attaques DDoS : nous avions ainsi alerté dès 2014 à l’occasion des Assises de la Sécurité sur l’utilisation de tels moyens.

La cible choisie, quant à elle, garantit un second effet de levier, ou mieux, un effet « domino » dévastateur. En effet, la société Dyn fournit un service DNS, qui permet de gérer l’adressage internet pour ces clients. L’attaque subie a donc bloqué ce prestataire, et par effet de rebond, un grand nombre de ses clients, devenus indisponibles par effet collatéral.

Mais là où l’effet de l’attaque devient ravageur, c’est lorsque la perturbation majeure réalisée sur le service de Dyn impacte d’autres infrastructures DNS (car les différents services DNS collaborent entre eux sur Internet), créant cette fois un effet « tâche d’huile » beaucoup plus important.
C’est donc la combinaison de ce double ou triple effet de levier qui a rendu cette attaque si particulière.

GS Mag : Mais alors, comment se fait-il que cette attaque n’ait affecté que les USA ?

Fabrice Clerc : Cette affirmation est évidemment fausse. Le DDoS qui reste aux USA, c’est comme le nuage de Tchernobyl qui s’arrête à la frontière. Les USA étant la cible initiale, ont subi de manière plus visible cette attaque de grande ampleur, mais les effets « collatéraux » se sont naturellement manifestés ailleurs, y compris en France.
D’ailleurs, on pouvait voir que la disponibilité de certains grands services Internet était également touchée pour les internautes Français.

GS Mag : Vos clients en ont-ils été affectés ?

Fabrice Clerc : Effectivement, nos solutions, qui protègent certains de nos clients ont permis de déclencher très vite des alarmes, le passage de nos outils de mitigation en mode actif, et la mobilisation d’une équipe d’experts dédiée à la neutralisation de cette attaque. Non seulement nous avons pu protéger les infrastructures protégées de ces effets, mais nous avons désormais beaucoup d’informations sur le déroulement des évènements.

GS Mag : Pouvez-vous nous en dire plus ?

Fabrice Clerc : L’attaque perpétrée contre le fournisseur DynDNS a rendu les services d’infrastructure de ce dernier indisponibles pour ses propres clients, qui, pour certains, sont parmi les grands acteurs d’Internet : Twitter, Netflix, Sony (Playstation Network), PayPal, WhatsApp, Amazon, etc.
De fait, tout internaute souhaitant utiliser ces services sollicite les serveurs DNS de son fournisseur d’accès pour obtenir l’adresse IP à contacter. Si les serveurs n’ont pas directement la réponse, ils sollicitent à leur tour (par récursion), les serveurs dits « autoritaires » pour ces domaines. Or, justement, au cours de la récente attaque, ces serveurs autoritaires détenus par DynDNS étaient indisponibles et ne pouvaient répondre, ce qui a mis en « attente » puis en « échec » un grand nombre de récursions. Ceci était particulièrement sensible pour les services Internet touchés par l’attaque qui détiennent un grand nombre de sous-domaines dynamiques (ex. : Amazon AWS) dont les enregistrements DNS ne sont pas systématiquement détenus en cache par les serveurs des fournisseurs d’accès.
Le problème est qu’un trop grand nombre de récursions non résolues peuvent à leur tour déteindre sur la performance des services DNS ainsi placés en attente et donc les mettre en péril pour servir leur propre client.
Ainsi, chez les fournisseurs dont nous protégeons les infrastructures DNS, le nombre de récursions (sans réponse) a explosé, mettant potentiellement en danger le service, comme le montre le graphe joint à compter de 18:00 (16:00 UTC).

Nos solutions ont su contenir l’événement sans impact pour les millions d’utilisateurs clients de ses services.

GS Mag : Y-a-t-il des moyens de se protéger ?

Fabrice Clerc : Evidemment oui, et à plusieurs niveaux. Tout d’abord, le monde de l’IoT doit avoir une profonde réflexion sur la sécurisation de ses équipements afin de fournir moins de moyens aux attaquants. Il est inadmissible d’observer encore tant de devices connectés ayant pour mot de passe « admin » ou « 12345 », disposant d’une bande passante Internet de plusieurs (dizaines de) Mbps, y compris pour des flux n’ayant rien à voir avec leur fonction première.
Ensuite, l’attaque qui a ciblé DynDNS n’a rien de nouveau dans son principe et ses méthodes, et il était relativement simple de s’en prémunir, et DynDNS devra certainement réfléchir à revoir les solutions de protection pour ses besoins propres. Enfin, tous les fournisseurs peuvent se doter de solutions anti-DDoS spécialisées, telles que 6cure Threat Protection®, qui apportent les meilleures réponses face aux menaces ciblant les services Internet, et en particulier les DNS. En effet, nous protégeons de telles infrastructures depuis plusieurs années, et disposons d’un arsenal de méthodes de déflection largement éprouvé face à de multiples formes d’attaques qui nous permet d’attester qu’il existe des façons pertinentes de neutraliser ce type d’attaques.




Voir les articles précédents

    

Voir les articles suivants