Le 10 mai, Cedexis a subi une large attaque DDoS. Plusieurs médias français, qui s'appuient sur ses services, étaient inaccessibles une partie de la journée. Un baptême du feu pour la jeune pousse, qui revient pour nous sur cet événement.
Le 10 mai, de nombreux sites étaient inaccessibles en France. Parmi eux, de grands titres de presse comme Le Figaro, Le Monde, Le Parisien ou encore L'Équipe. Leur point commun ? Ils s'appuient sur Cedexis, « l'aiguilleur du Net » qui dirige chaque internaute vers l'hébergeur, CDN ou cloud le plus proche, dans le but d'optimiser les temps de chargement. Ce jour-là, il subissait une attaque DDoS d'envergure, qui a mis hors service une partie de son infrastructure.
Sur les cinq réseaux DNS Anycast de l'entreprise, trois ont été touchés dans la journée, en trois vagues. La première, intervenue tôt le 10 mai, n'a pas été aperçue par l'entreprise. C'est la deuxième, entre 10h46 et 17h30 (UTC), qui a mis une partie du service à genoux. « À 12h55 UTC, nous étions en échec client, une requête sur cinq passait sur trois de nos cinq réseaux Anycast. Tout est revenu à la normale à 15h06 » nous déclare Julien Coulon, fondateur de Cedexis. Une troisième vague a, enfin, été ressentie entre 20h30 et 1h30 « sans impacter les clients ».
L'attaque par saturation de requêtes DNS a surtout affecté la France. « Elle a été dirigée vers le réseau le plus rapide, ce sont donc les clients français qui ont été les plus touchés » explique l'entreprise. Elle estime que l'impact pour une majorité de sites a duré entre cinq et 53 minutes.
Jusqu'à 1,6 million de requêtes DNS par seconde
Une procédure d'urgence a été mise en place. Les clients ont contourné le service, en dirigeant directement les internautes vers l'un de leurs hébergeurs de contenus, plutôt que d'être aiguillés entre plusieurs par Cedexis. « Les sites paraissaient malheureusement plus lents, ils ont perdu en qualité de service. Nous sommes une sorte de load balancer DNS, qui sélectionne le prestataire vers lequel envoyer le trafic » détaille la société.
« D’habitude, notre réseau tourne entre 5 % et 10 % de sa capacité, soit entre 30 et 60 000 requêtes par seconde. À 10h46, nous étions à 150 000 requêtes par seconde, et 1,6 million à 11h19... Soit 50 fois le trafic maximum que nous sommes censés absorber » calcule Julien Coulon.
« Dans un trafic normal, entre 1,2 et 1,7 million de résolveurs IP nous contactent, pour environ un milliard de personnes par jour. Pendant l'attaque entre 17h30 et 20h30, c'est monté à 112 millions d’adresses IP, soit 100 fois le pic. Nous avons été contactés par 105 millions d’adresses IP complètement inconnues, ce qui provient sûrement d'un botnet d'objets connectés » déduit le patron de Cedexis.
Une attaque DDoS « intelligente »
« Nous subissons souvent des attaques mais c’est la première fois en sept ans que cela impacte nos clients » affirme Coulon, qui dit avoir reçu le soutien de ses utilisateurs. L'entreprise pense que c'est l'un d'eux qui était visé, même si elle n'a pas identifié de cible précise.
Elle pense les vagues de DDoS élaborées : « Nous ne sommes pas le DNS primaire de nos clients. D’habitude une attaque DDoS cible le primaire ou l'IP du serveur. Ici, ils ont attaqué un intermédiaire, ce qui prouve que l'offensive était intelligente et que Cedexis est devenu un acteur clé de l'infrastructure du Net ».
Si le service a été rétabli assez rapidement pour les clients, tout n'était pas parfait. « Deux, trois choses ne se sont pas passées comme je le voulais. Notre plan d'urgence, déjà dessiné, a bien fonctionné » estime la société. Il lui manquait pourtant quelques contacts utiles et elle a dû mettre en place des mesures qui n'étaient pas là précédemment.
« Une dizaine de procédures ont été initiées en urgence » et sont encore en train de s'installer. Cedexis refuse de détailler ses actions, mais elles concernent au moins le réseau lui-même, la gestion logicielle et la détection des attaques. À la toute première vague, le 10 mai avant 10 h, celle-ci songeait à un simple pic d'activité de l'un de ses clients.
Un dépôt de plainte envisagé
Malgré l'indisponibilité temporaire de certains sites, Cedexis refuse d'être qualifié de point de défaillance (single point of failure). D'une part, elle dispose d'un système de secours (fallback) et, d'autre part, peut être contourné au besoin. La durée de la mise en place du contournement dépendant des paramètres DNS du client, avec une réjuvénation conseillée à dix minutes. Le Monde, par exemple, a signalé avoir mis en place son contournement vers 16h30, heure française.
Les mesures de contournement sont en place.
— Olivier Grange-Labat (@ogrange) 10 mai 2017
« La majorité des clients ont rebasculé tout de suite chez nous. D’autres ont des TTL DNS plus longs, mettant plus de temps à revenir » affirme le service. S'il ne se risque pas à une attribution de l'attaque, des signes semblent pointer l'Asie, estime-t-il. « La tempête est passée mais je reste vigilant. Ça va toujours par salves. On a tout de même subi neuf heures de tentative de déni de service après être tombés » déclare encore Julien Coulon.
L'entreprise est rapidement entrée en contact avec l'Agence nationale de sécurité des systèmes d'information (ANSSI). Elle envisage de déposer plainte, sur sa recommandation.
Commentaires (19)
#1
“… une requête sur cinq passait sur trois de nos cinq serveurs Anycast.”
Perceval travaille chez Cedexis ?
#2
“avec une réjuvénation conseillée à dix minutes”
1ère fois que je vois ce mot, encore un terme technique traduit de l’anglais grâce à la loi Toubon…
#3
Surtout employé en cosmétique pour les crèmes “rajeunissantes”, mais c’est la 1ère fois que je le vois dans le contexte IT et je ne sais pas ce qu’il signifie là.
#4
http://www.bortzmeyer.org/dns-propagation.html ;)
#5
#6
Ok merci pour le lien, je continuerai quand même à dire “propagation” DNS " />
#7
Je ne suis pas sûr de comprendre cette partie :
112 millions d’adresses IP
Comment peut-on parler de 112 millions d’adresses IP dans le cadre d’un DNS, vu qu’il n’y a aucune sécurisation de la source, et que par conséquent, une seule adresse IP peut générer des requêtes provenant de n’importe quelle adresse IP de la planète ?
Je suis troublé. Quelqu’un peut-il m’expliquer ce qui m’échappe ?
#8
En gros ce qu’il dit c’est que d’habitude les client tapent pas direct leurs DNS mais passe par d’autres DNS (intermédiaire) ce qui limite le nombre d’IP qu’ils voient et aussi les requêtes qu’ils reçoivent grâce au cache de ces autres DNS.
La preuve du DDOS c’est que les requêtes étaient directement envoyée chez eux.
en tout cas c’est ce que je comprends de l’explication.
#9
Pour moi la propagation est le résultat, donc le terme reste valide.
réjuvénation c’est la méthode, la cause. Mais j’utiliserai plutôt rafraichissement du DNS, mise à jour, synchronisation ^^
#10
Ok, merci " />
#11
" />
#12
#13
moi, j’aurai dit renouvellement ou bien rafraichissement …
Mais cette dernière peut confondu avec la bière " />
" /> ok je sors ….
#14
de toute facon y a toujours des vieux, c’est mystérieux " />
#15
C’est malin, tu m’as donné soif !
" />
#16
En tant que dégueulé… heu… en tant que délégué de ligue antialcoolique,
je vous parlerai de… de l’eau révugé… réjufé… de l’eau réjuvégineuse. " />
#17
Excellent" />
#18
Renouvellement c’était trop simple, les béotiens risquaient de comprendre.
#19
Non !