Comment LeBonCoin éteint les attaques DDoS de niveau 7
Si les attaques DDoS réseau sont bien éliminées par les grands acteurs d’Internet, les attaques sur la couche applicative sont plus complexes à traiter. LeBonCoin a fait le choix d’une solution de sécurité collaborative pour compléter son dispositif anti-DDoS : l’agent de la startup française CrowdSec.
Avec plus de 25 millions de visiteurs uniques par mois, LeBonCoin est régulièrement dans le Top 10 des sites Web les plus visités en France. Son infrastructure est en outre conçue pour monter à l’échelle très rapidement afin de pouvoir répondre très rapidement à une hausse de l’audience due à une publicité TV ou une opération promotionnelle, comme la livraison à 99 centimes le week-end. Cette flexibilité doit aussi valoir dans l’autre sens, afin de ne pas voir la facture AWS exploser à la fin du mois.
Cette capacité s’appuie sur des équilibreurs de charge HAProxy qui font grossir l’infrastructure si l’audience s’accroît : des machines virtuelles additionnelles sont instanciées. Pour protéger cette infrastructure technique, LeBonCoin exploite le pare-feu d’application Web (WAF) d’AWS ainsi que son service de protection anti-DDoS AWS Shield Advanced. À cela s’ajoute Datadome pour analyser le trafic et repousser les robots dits scrapers, qui viennent récupérer des informations sur les produits mis en vente, et indexer les prix.
Enfin, au niveau applicatif, le site a fait le choix de la solution RASP (Runtime Application Self-Protection) Sqreen, solution aujourd’hui rachetée par Datadog. Zakaria Rachid, CISO du site LeBonCoin jusqu’en septembre 2023 et aujourd’hui en charge de la sécurité du système d’information de Believe, précise : « HAProxy est un choix historique du BonCoin, car nous avons des ingénieurs qui maîtrisent bien la solution et c’est une solution qui est moins coûteuse qu’AWS Cloudfront, la solution d’équilibrage d’Amazon Web Services. HAProxy monte en charge très très bien et l’enjeu c’est le coût : nous voulons scaler tout en restant efficients ».
Cet empilement de solutions de sécurité s’explique par cette audience massive qui fait du site de petites annonces une cible pour de nombreux acteurs malveillants. Zakaria Rachid raconte : « à chaque événement, nous avons des groupes d’hacktivistes qui s’intéressent à nous, pas uniquement aux scale-up et aux marketplaces, mais également aux médias, aux grandes entreprises. »
Zakaria RachidCISO du site LeBonCoin
« Or les attaquants deviennent de plus en plus intelligents : il ne s’agit plus que des attaques DDoS classiques stoppées par Google au niveau 3. Nous avons vu des modes d’attaque nouveaux : notamment le Burst DDoS. Il s’agit d’un déni de service classique, mais qui a intégré la façon dont les infrastructures dynamiques fonctionnent. L’attaque dure 3 minutes seulement, le temps pour que le HAProxy se mette en action. Il lui faut une minute pour lancer une machine virtuelle et l’infrastructure tombe », explique le CISO du site LeBonCoin.
Contrairement à l’apparence un peu désuète du site, la stack LeBonCoin est très moderne avec du Go, du node.js et beaucoup de traitements réalisés côté client. La contrainte de cette architecture est que toutes les couches de sécurité placées devant les serveurs ajoutent des millisecondes de traitement. Or la mission de l’IT du site est de réduire au maximum les temps de traitement, le fameux « Time to First packet ». En outre, plus il y a de solutions, plus celles-ci vont amplifier l’attaque DDoS par engorgement les solutions de protection.
Si l’ex-CISO estime que cette forteresse fonctionne plutôt bien, la multiplication des attaques de Burst DDoS à chaque élection ou événement international a poussé le responsable à chercher une solution devant des attaques difficiles à contrer : « le Burst DDoS consiste à produire un pic d’attaque au niveau applicatif, ce qui a pour conséquence de nous gêner. Notre première réaction a été d’opérer un géoblocking de la zone de provenance de l’attaque. Bloquer les USA sans aucune distinction ne marche pas, car le business nous appelle pour râler, et LeBonCoin a aussi des clients qui se connectent depuis les États-Unis pour acheter sur le site. D’autre part, l’attaquant peut opérer un pivot, tuer son infrastructure et migrer chez un prestataire français, comme nous avons pu le constater. Mais lorsqu’on a bloqué les États-Unis, et bloqué la Russie, on ne peut pas se permettre de bloquer la France… ».
Face au Burst DDoS sur le niveau 7, les briques de sécurité en place restaient impuissantes. Datadome n’a pas pour vocation de lutter contre le DDoS. Sqreen ne détectait rien et le WAF génère tellement de faux positifs pendant l’attaque qu’il ne fait qu’amplifier les effets de l’attaque.
Philippe Humeau, CEO de CrowdSec, souligne que « lors des attaques DDoS de niveau 3, les acteurs comme Akamai ou AWS vont stopper des tonnes de paquets, ce qu’ils savent bien gérer. Par contre, les DDoS applicatifs de niveau 7 provoquent le démarrage de plusieurs serveurs pour répondre à la charge applicative. Par exemple, une demande d’authentification va déclencher le lancement de nouvelles machines. Or lors d’une attaque DDoS sur le niveau 7, on ne reçoit que des données qui n’ont globalement aucun sens. Un WAF en mode règle va passer un temps fou à analyser des données pourtant totalement incohérentes… Sqreen est un RASP et cherche à interpréter la logique, mais il n’y en a aucune. Enfin, Datadome gère les séquences d’événements. Or les données étant incohérentes et les étapes suivantes étant absentes, cela fait exploser sa mémoire ».
Changer d'approche
Après avoir souscrit à l’offre AWS Shield Advanced, au bout de 30 jours d’activité, Zakaria Rachid ne peut que constater l’inefficacité de la solution contre les Burst DDoS de niveau 7, de même que le WAF : « AWS WAF n’a aucune intelligence et se fait by-passer simplement. L’attaquant finit toujours par trouver un moyen de continuer son attaque. Les vulnérabilités sont accessibles dans les forums très simplement… »
LeBonCoin s’est tourné vers CrowdSec, un acteur dont l’approche est radicalement différente puisqu’il s’appuie sur ses utilisateurs, afin de surpasser en nombre les attaquants et bloquer les adresses IP qu’ils mettent en œuvre dans leurs campagnes DDoS. « Nous avons un réseau de plus de 200 000 machines sur lesquelles il y a notre outil qui est gratuit et Open Source. Celui-ci va bloquer les attaques et partager les informations sur les attaques entre eux. Quand suffisamment de machines ont détecté l’attaque, on va la bloquer, car collectivement nous avons constaté que l’IP en question est dangereuse. Ce réseau génère 10 millions de signaux par jour, ce qui en fait le plus gros CTI [Cyber Threat Intelligence, ou renseignement sur les menaces cyber, N.D.L.R.] au monde… » Selon Philippe Humeau, cette approche, basée sur un système de réputation globale, protège de 92 % des attaques DDoS.
Zakaria Rachid souligne la facilité d’implémentation de la solution collaborative. L’agent CrowdSec a été déployé au niveau des équilibreurs de charge HAProxy et les données générées par l’outil collaboratif alimentent les briques de sécurité du site LeBonCoin. L’intégration est facilitée par les informations publiées sur Git par l’éditeur et un swagger complet de l’API CrowdSec est fourni.
Il existe en outre des intégrations natives pour de multiples solutions de cybersécurité. C’est notamment le cas pour le WAF d’AWS, ce qui permet d’injecter directement la liste des IP bannies dans le firewall. « Nous avons pu instrumenter AWS WAF ainsi qu’AWS Shield Advanced, que nous avons conservés pour des raisons d’optimisation des coûts », précise le CISO. « Nous avons ajouté des alertes sur Slack ce qui nous aide pour traiter les faux positifs. Notre plus grande crainte est de bloquer un utilisateur légitime ». De même, une intégration avec Datadome a été mise en place.
Propos recueillis lors des Assises de la Sécurité 2023.