Le réseau de distribution de contenu (CDN) Akamai annonce avoir été sous le feu d'une attaque par déni de service distribué (DDoS) en direction d'un acteur du développement logiciel, le 28 février vers 18h. La cible ? GitHub, la principale plateforme en ligne de développement logiciel, utilisée par de très nombreux projets open source.

La tentative a culminé à 1,3 Tbps, un trafic doublé par rapport à l'ancien record constaté par Akamai, à savoir celle contre Dyn fin 2016, via un botnet Mirai (voir notre analyse).

Cette nouvelle attaque utilise un nouveau vecteur : memcached. Il s'agit d'un service destiné à accélérer les applications web, en maintenant un cache en mémoire. Le problème est que le service écoute à la fois les trafic TCP et UDP, sans besoin de s'authentifier, affirme Akamai.

Des instances memcached ont donc été exploitées pour « refléter » et amplifier le trafic reçu de l'attaquant vers GitHub, à la manière d'un miroir. « La vulnérabilité via cette mauvaise configuration est assez unique pour ce type d'attaque, car l'amplification peut atteindre un facteur de 51 000. Autrement dit, pour chaque octet envoyé par l'attaquant, jusqu'à 51 kilo-octets sont envoyés à la cible » constate GitHub.

Face aux premiers signes de l'attaque, l'entreprise a rapidement basculé son trafic vers Akamai, à raison. En réponse à l'incident, OVH a publié un guide pour sécuriser les instances memcached. L'opération tient en quelques commandes. De quoi faire un bon projet pour ce vendredi ou le week-end.