Attaque Spamhaus : vraiment si grosse que ça ?
New York Times en tête, les médias du monde entier se sont saisis de l’importante attaque menée tout récemment contre Spamhaus. Au point de verser dans un sensationnalisme qui fait grincer des dents... au risque de nuire à la lutte contre menace réelle.
«La plus grande cyberattaque de l’histoire ?» s’interrogeait Le Monde. «La plus grosse cyberattaque ralentit Internet,» titrait le Times of India. «Cyberattaque massive» pour le Mercury News. Quant au New York Times, qui a dégainé le premier, il assurait ce 26 mars que l’on assistait à «la plus vaste attaque informatique sur Internet, causant une congestion étendue et perturbant des infrastructures critiques dans le monde entier.» Selon
nos confrères, «des millions d’utilisateurs d’Internet ordinaires ont constaté des délais sur des services tels que Netflix ou ne pouvaient pas accéder à certains sites Web pour un court moment.»
Une importante opération de déni de service L’attaque en question semble être un important déni de service distribué (DDoS) visant spécifiquement Spamhaus, un spécialiste de la lutte contre les pourriels. Une opération impressionnante, mobilisant jusqu’à 300 Gbps de bande passante, selon Patrick Gilmore, architecte en chef d’Akamai. Sur son blog, CloudFlare
revient sur l’incident. Cet autre spécialiste de la distribution de contenus en ligne est bien placé pour en parler : il explique avoir été appelé à la rescousse par Spamhaus. Et d’expliquer que «l’attaque, initialement, prenait 10 Gbps de bande passante, générée largement à partir de répéteur DNS ouverts.» Mais elle est par la suite montée à 90 Gbps. Et même «120 Gbps de trafic attaquant notre réseau.» CloudFlare, comme Akamai, proposent des services aux entreprises pour distribuer sur le globe la charge de l’accès à leurs contenus et optimiser ainsi les temps de chargement de leurs sites Web. Une telle opération a donc logiquement fait des dommages collatéraux.
Un vieux différend ? L’hébergeur Cyberbunker a été accusé d’être à l’origine de l’attaque. Il exploite un véritable bunker militaire et se veut particulière souple sur les contenus et services hébergés, ne refusant que ce qui relève de la pédopornographie ou du terrorisme. Un repère de «fous» selon Gilmore, qui explique «qu’ils pensent qu’on devrait les autoriser à diffuser des pourriels.» Las, justement, leurs serveurs figurent sur les listes noires de Spamhaus. Svan Olaf Kamphuis, qui s’est présenté au New York Times comme le porte-parole des attaquants, a assuré que Cyberbunker se vengeait contre un Spamhaus «qui abuse de son influence.» Mais Ars Technica relève qu’il
s’est depuis rétracté, tout en soulignant que le personnage a peut-être des intérêts dans l’histoire : il serait lié à un «groupe récent,
STOPhaus qui assure que Spamhaus est ‘un réseau criminel offshore de terroristes du Net échappant à la fiscalité et qui prétendent lutter contre les pourriels, mais qui cherchent à contrôler Internet via des techniques d’extorsion’.» Ambiance... En tout cas, ce n’est pas la première fois que Spamhaus fait l’objet d’une attaque. Les responsables de celle-ci n’ont pas encore été clairement identifiés, mais elle aurait été lancée
depuis la Russie et des pays voisins.
Une belle opération de communication Mais Internet a-t-il vraiment été menacé ? Dans un tweet, OVH indiquait ce jeudi 28 mars ne pas voir l’attaque, ne relevant que 50 Gbps maximum de trafic malveillant, dans sa norme. Nos confrères de Gizmodo ont reçu quant à eux
des commentaires d’opérateurs situés au coeur des infrastructures d’Internet, soulignant notamment qu’une pointe à 300 Gbps est loin de les menacer. Et les statistiques des grands points d'échanges internationaux ne montrent pas d'impact significatif de l'attaque sur le trafic. Spamhaus, CloudFlare ou encore Gilmore d’Akamai crieraient-ils au loup pour rien ? Et même Arbor Networks, qui insiste sur l’importance de l’attaque en publiant
un graphique sans aucun commentaire, afin de bien la «mettre en perspective» ? Quoi qu’il en soit, force est de souligner que CloudFlare, Akamai et Arbor Networks ont un intérêt à communiquer sur le sujet, voire à l’amplifier : les deux premiers proposent des services pour aider les entreprises à se protéger des attaques en déni de service; le troisième propose des produits ayant la même visée. Bien sûr, d’autres se sont joints à leurs cris alarmés, à commencer par Sophos et McAfee qui, par la voix de son VP Marketing grand public en profite pour glisser habilement un mot sur sa suite de protection pour PC All Access, qui n’a finalement pas grand chose à voir avec le sujet.
Une menace réelle Si l’incident ne semble pas avoir véritablement menacé Internet, il jète toutefois une lumière crue sur une menace bien réelle pour les entreprises : rares, sinon exceptionnelles, sont celles qui peuvent encaisser pareille attaque. Le fait que des clients d’un spécialiste de disponibilité des services en ligne comme CloudFlare aient pu être impactés, en tant que victimes collatérales, l’illustre largement. Ce qui, d’une certaine façon, légitime certains discours alarmistes - non pas dans leurs excès, mais au fond. CloudFlare explique que l’attaque contre Spamhaus a, pour l’essentiel, été menée
par réflexion DNS : «la technique de base consiste à envoyer une requête pour un important fichier de zone DNS à partir d’une adresse IP ursupée - celle de la victime visée - et à un grand nombre de serveurs DNS. Lesquels répondent à la requête en envoyant une réponse volumineuse à la victime visée. Les requêtes de l’attaquant ne reçoivent qu’une fraction de la taille des réponses, ce qui signifie que l’attaquant peut effectivement amplifier son attaque» largement au-delà de ses propres ressources en bande passante. Mais cela ne fonctionne qu’avec des serveurs mal configurés. Las, selon l’Open Resolver Project, Internet compterait 25 millions de ces serveurs alors que, selon CloudFlare, seule une petit fraction d’entre eux aurait suffit à l’attaque sur Spamhaus. (illustration : trafic sur une semaine sur