L'attaque subie par ProtonMail risque de faire parler d'elle pendant un moment. Il faut dire que les nouveaux détails donnés par la société sont nombreux et parfois surprenants. Il est en effet question de chantage, d'une rançon de 15 bitcoins, d'excuse des pirates et d'un second groupe d'attaquants qui pourraient être « parrainés par un pays ».
Comme nous l'avions indiqué hier, le service d'emails chiffrés ProtonMail est tombé suite à une attaque DDoS que la société qualifie d'« extrêmement puissante ». Durant plusieurs dizaines d'heures, le site était inaccessible, rendant impossible la consultation des emails pour les utilisateurs. Durant la nuit, ProtonMail était de retour, mais ce matin la situation est encore dégradée pour certains... avant que l'attaque DDoS ne reprenne il y a quelques dizaines de minutes.
Un email de chantage, un DDoS de 15 minutes et l'artillerie lourde
Comme prévu, la société s'est fendue d'un nouveau billet de blog afin de donner de plus amples détails sur les causes et conséquences de cette attaque. Elle insiste encore une fois sur le niveau de sophistication puisqu'elle la qualifie de « sans précédent », avant d'ajouter qu'il n'est donc « pas facile de trouver une solution ».
Tout a apparemment commencé mardi soir, peu avant minuit : « nous avons reçu un email de chantage de la part d'un groupe de criminels qui était responsable d'une série d'attaques DDoS en Suisse » explique ProtonMail. Cette demande de rançon est rapidement suivie par un coup de semonce qui prend la forme d'une attaque DDoS mettant hors service le site pendant environ 15 minutes. Plus rien ensuite jusqu'au lendemain matin. Durant cette période, la rançon n'a pas été payée.
Une rançon de 15 bitcoins payée pour rien, des excuses des pirates
Mercredi matin vers 11h, l'attaque reprend de plus belle : « À ce stade, notre datacenter ainsi que notre FAI ont commencé à prendre des mesures en amont afin d'atténuer l'attaque ». Les pirates ont alors répliqué et l'intensité a augmenté. Vers 14h la cyberattaque visait toute l'infrastructure de ProtonMail et de ses prestataires. Il était alors question de plus de 100 Gb/s visant des routeurs de son fournisseur d'accès à Zurich et à Francfort. « Cet assaut coordonné sur la clé de notre infrastructure a finalement réussi à faire tomber à la fois le datacenter et le FAI, ce qui a touché des centaines d'autres entreprises, et pas seulement ProtonMail ».
Les sociétés victimes des dommages collatéraux ont alors mis la « pression » sur ProtonMail afin que la rançon demandée par les pirates soit payée : 15 bitcoins (soit près de 5 200 euros). « À contrecœur, nous avons accepté de le faire à 15h30, heure de Genève, à l'adresse bitcoin 1FxHcZzW3z9NRSUnQ9Pcp58ddYaSuN1T2y ». La transaction a d'ailleurs bien été validée comme on peut le constater ici.
@BigDeesDad Over 100 companies were taken offline from the attack against us. Impacted companies asked us to pay, we couldn't refuse.
— ProtonMail (@ProtonMail) November 5, 2015
Mais cela n'a visiblement pas changé grand-chose : « Nous espérions qu'en payant, nous pourrions épargner les autres entreprises touchées par l'attaque nous visant, mais cela a continué ». Le fournisseur d'accès à Internet de ProtonMail prendra alors la décision d'arrêter d'annoncer ses adresses IP, le privant définitivement d'Internet et le mettant de fait hors ligne.
Fin de l'histoire ? Loin de là et de nouveaux rebondissements sont au programme. « L'attaque a perturbé le trafic à travers tout le réseau du FAI et est devenue si grave que les criminels qui nous extorquaient précédemment ont même jugé nécessaire de nous écrire afin de nier toute responsabilité dans la seconde attaque » ajoute ProtonMail.
Et s'il n'y avait pas une, mais deux attaques simultanées ?
La piste de deux groupes d'assaillants distincts semble d'ailleurs privilégiée, notamment car l'attaque est composée de deux vecteurs : un DDoS « basique » sur l'adresse IP de ProtonMail et de puissantes frappes plus ciblées sur des points névralgiques de l'infrastructure. Concernant la seconde attaque, ProtonMail indique que les pirates « présentent des capacités plus communément possédées par les acteurs parrainés par un pays » et qui n'ont pas peur de faire des dommages collatéraux pour atteindre leur cible. Dans tous les cas, aucune indication sur l'identité des deux groupes de pirates n'a été dévoilée.
Aujourd'hui, la situation reste tendue : « pour le moment, nous ne sommes plus attaqués et nous avons été en mesure de rétablir nos services, mais l'attaque pourrait recommencer » expliquait hier soir ProtonMail. Mais, ce matin, rebelote : « Notre FAI est de nouveau sous le coup d'une attaque DDoS ce matin, nous sommes donc à nouveau déconnectés ».
Quoi qu'il en soit, des mesures sont en train d'être mises en place, mais la seconde attaque (celle qui cible l'infrastructure) demande bien plus de moyens pour être bloquée, notamment car il faut aussi protéger le fournisseur d'accès à Internet et le datacenter. « Les estimations pour ce genre de solutions sont aux alentours de 100 000 dollars par an, car il n'y a que quelques sociétés en mesure de combattre une attaque de ce type ».
Une campagne de dons pour renforcer la résistance du site
Cette étape est néanmoins nécessaire pour ProtonMail qui a donc lancé une campagne de dons afin de récolter 50 000 dollars. À l'heure actuelle, plus de 320 personnes ont participé à la collecte pour un total de plus de 11 000 dollars. Les sommes vont de quelques dollars à 300 dollars de la part d'un anonyme.
Via son compte Twitter, ProtonMail précise que, parmi les sociétés victimes de l'attaque et qui les ont poussés à payer la rançon, « beaucoup ont déjà cotisé ». On rappellera au passage que ProtonMail s'était lancé via une campagne de financement participatif sur Indiegogo avec plus de 550 000 dollars récoltés, sur 100 000 demandés.
Dans tous les cas, les détails techniques de la protection qui sera mise en place ne sont pas dévoilés. En effet, lorsqu'un utilisateur demande ce genre d'informations car « il ne veut pas payer pour un bouclier réseau inconnu », ProtonMail répond : « Nous ne pouvons rien dire parce que nous ne voulons pas donner aux attaquants notre plan de défense ». Il faudra donc faire confiance à ProtonMail, ce qui risque de ne pas forcément plaire à tout le monde.
ProtonMail est déjà en collaboration avec le Swiss Governmental Computer Emergency Response Team (GovCERT), le Cybercrime Coordination Unit Switzerland (CYCO) et Europol dans le cadre de « l'enquête judiciaire qui est en cours ». Enfin, sachez que les emails bloqués durant les attaques devraient arriver normalement lorsque le service sera de retour.
La nouvelle mode : une DDoS ou une rançon
Dans tous les cas, cette histoire soulève une nouvelle fois la question de payer ou non une rançon dans ce genre de situation. Les exemples récents allaient tous plutôt dans le sens d'un refus, comme dans les cas du laboratoire d'analyse Labio.fr et de Domino's Pizza. On peut également citer les « cryptolockers » qui chiffrent vos données à votre insu et qui vous demandent ensuite le paiement d'une rançon, généralement en bitcoins, afin de vous permettre d'y accéder de nouveau.
Comme le souligne Kaspersky dans un rapport publié il y a quelques jours, ce genre d'extorsion est en plein boom ces derniers temps et un groupe de pirates s'en est même fait une spécialité : DD4BC (Distributed Denial of Service for Bitcoin). « Le groupe a pris pour cible des banques, des groupes de médias et des sociétés de jeux depuis septembre » précise l'éditeur d'antivirus, avec une demande de rançon qui oscille entre 25 et 200 bitcoins.
AltcoinToday dresse d'ailleurs un portrait de ce groupe, dont les attaques ont augmenté ces derniers mois, si l'on en croit les données publiées par Akamai :
Il est néanmoins difficile d'en tirer des conclusions, car les sociétés/personnes qui payent n'ont généralement aucune envie que cela se sache. On rappellera d'ailleurs la position surprenante du FBI pour qui il est parfois nécessaire de payer. L'exemple d'aujourd'hui montre bien que ce n'est pas toujours la solution, même si la situation semble plus complexe puisque la piste principale s'oriente vers deux groupes de pirates différents. Reste à savoir si leurs actions étaient ou non coordonnées, si l'un des deux a profité de l'attaque pour venir se greffer ou s'il s'agit purement et simplement d'une coïncidence.
Commentaires (54)
Ca devient des romanos qui font des ddos, attaquer une boite, risquer la prison et son pucelage rectal pour 15 bitcoins, c’est nase.
C’est plutôt classique. Est ce qu’il vaut mieux faire une méga grosse attaque et demander 100k euros en une seule fois et attirer le feu des projecteurs sur toi, ou faire 10 petites attaques et demander 10k euros à chaque fois en restant relativement discret?
Chacun son point de vue, mais si j’étais un criminel, la deuxième me paraitrait plus facile à mettre en place et a gérer que la première.
Je trouve assez triste qu’il n’y ait aucune solution (viable, c’est à dire sans dépenser des centaines de milliers de $ pour avoir la plus grosse) pour contrer une attaque ddos.
En gros n’importe qui peut payer un groupe pour faire tomber un site, c’est grave quand même.
de toute manière Proton mail est un repaire de terroristes, de pédophiles et de trafiquants en tous genres.
C’est d’autant plus vrai sur les copies de CB, en dessous d’un certain seuil de retrait frauduleux les banques ne font même pas d’enquête et remboursent le client, et ça c’est si le retrait est détecté.
D’un autre côté, faire ça sur la durée augmente quand même le risque de se faire choper…
Pas forcément. Sur OVH les solutions anti DDoS sont mises en place au niveau de l’hébergeur lui-même, qui a les sous pour payer les protections (à voir si elle sont efficaces après, ça je ne pourrais pas le juger).
Après c’est aussi pour ça que tous les acteurs et notamment MS poussent vers des mises à jour régulières et automatiques de leurs produits, on peut lutter contre les DDoS en empêchant au maximum les PCs d’être infectés et donc de servir de relais.
D’accord mais il y a quand même un sacrès problème au niveau de la conception même des serveur web, des routeurs ou même carrement de la conception des protocoles reseaux à la base, s’il suffit de flooder plus fort que ce que le hardware peut supporter pour que ca tombe lamentablement comme une grosse truie bourrée à la bière.
Parce que la si je comprend bien toutes ces affaires de DDOS, l’admin ne peut rien faire à part pleurer ou payer xx centaines de milliers d’euros des routeurs cisco de compétition + le reseau qui va avec.
Clair que ça ne doit même pas rembourser les frais de loc’ du parc de zombies…
" />
Etrange tout ça …
Pour moi, une société qui paye est une société qui continuera à payer si le problème se pose à nouveau.
A mettre sur une liste blanche pour les gens qui lancent des attaques.
Après, je pense que le “on paye parce que vous comprenez, les sociétés tierces inpactées nous mettent la pression”, c’est du gros bullshit
Les protocoles n’y sont pour rien.
Comme pour les voies maritimes, routes et autres, dès que ce qui veut passer est plus gros que le tuyau, forcement, ça coince.
Tu fous de l’eau dans un tuyau a un débit supérieur a ce qui peut physiquement sortir, le tuyau explose. C’est de la simple dynamique des fluides.
C’est pareil dans ce cas là.
Par contre, Internet n’a pas été conçu comme ça. Si les sites étaient distribués et non centralisés (ce qui était l’objectif d’internet à la base), on aurait beaucoup moins de problème de DDoS car il faudrait, d’une certaine manière, DDoS la planète entière.
Moi je dis, on peut faire un parallèle avec les micro transactions dans les jeux… on a l’impression qu’on peut se le permettre et personne le saura, et les “malfaiteurs” se font plus de thunes
" />
ou se payer un cloudflare …
Si c’est une attaque capable de faire tomber un FAI, est-ce que Cloudflare aurait vraiment aidé ? (vraie question)
J’allais donner un peu…
" /> )
Mais là, c’est niet.
J’ai pas envie que mon blé alimente une nouvelle rançon.
(En me relisant, une phrase pénètre mon esprit : Dans quel monde vit-on désormais ?
+1
" />
Mort aux PC Zombis
Ce n’est pas par rapport au DDOS, mais sur la question de l’utilité d’un Cloudflare dans leur cas.
2 questions : Est-ce que Cloudflare aurait été capable de gérer une attaque de cette envergure ?
Est-ce que ça aurait pu poser problème au fonctionnement normal du site de rajouter un intermédiaire (Cloudflare) sur des échanges chiffrés ?
(si j’ai bien compris la remarque de MuadJC)
Clairement le budget annuel prévu est pour utiliser un CDN.
Je te rejoins totalement sur ce point, les honnêtes gens n’ont rien à cacher !
" />
Ne rien avoir à cacher n’est pas synonyme qu’on veuille/soit d’accord pour tout exposer que ça soit volontairement ou non et/ou que d’autres aient accès à ce qu’on a pas à cacher 
" />
tu n’as toujours pas saisi la remarque, je crois: un intermédiaire technique n’est-il pas dangereux quand il est question de données chiffrées entre un prestataire technique et leurs clients. (dans le fonctionnement normal, hors dDOS)
Voici un nouveau mot que tu peux ajouter à ton vocabulaire et qui te fera appréhender l’humour sous un nouveau jour. 
" /> 
" />
le prestataire technique c’est protonmail. l’intermédiaire serait clouflare. le client, c’est toi moi, eux, les gens qui utilisent le service de protonmail.
limiter le nombre d’intermédiaires et initier le plus court chemin entre le serveur et le client dans ce genre de cas n’est peut-être pas une mauvaise idée… après si l’intermédiaire n’a pas la possibilité de récupérer d’info autres que chiffrées sans jamais avoir la clé privée, le problème n’en est pas un.
Voici un nouveau concept que tu peux ajouter à ton vocabulaire et qui te fera appréhender la lourdeur de certains commentaires sous un nouveau jour.
" /> 
" />
Tout dépend le type de DDoS, si c’est juste un DDoS par initation du triple handshake TCP alors oui la connection ne dépasse pas les premiers packets TCP et y a pas le temps d’établir une connexion TLS. Mais on peut faire des DDoS au niveau applicatif dans la connexion TLS (par exemple avec des GET en https ou des invite en SIPS).
Ensuite ce que LaFrem voulait dire c’était que pour être vraiment efficace CF devait pouvoir lire les données et donc avoir la clé privé du site hebergé. Je sais pas comment ils fond et ce qu’ils demandent…
Voici un nouveau mot que tu peux ajouter à ton vocabulaire et qui te fera appréhender l’humour sous un nouveau jour.
" /> 
" />
Voila, inception! Oo En plus comme on peut le refaire à l’infini ca valide le comique de répétition, du coup ça boucle encore plus et valide encore plus! Oo
Subissent des attaques similaires :
Neomailbox
HushMail (Canada)
Runbox (Norvège)
Source :
https://www.reddit.com/r/ProtonMail/comments/3rs34z/same_ddos_attackers_are_now_…