Github et attaques DDos : que se cache-t-il derrière les attaques massives de ces derniers jours ?

0

Le 28 février dernier, le site de développement collaboratif Github connaissait l’une des attaques en déni de service les plus graves jamais enregistrées au monde, avec un pic à 1,35 Terabits de trafic.

Mais à peine ce triste record annoncé dans les médias, une autre attaque DDos, encore plus puissante (1,7 Terabits) s’abat alors, le dimanche 4 mars. La victime de cette attaque aux chiffres mirobolants est un client d’un fournisseur d’accès américain, dont l’identité n’a pas été dévoilée par l’entreprise de sécurité informatique qui l’accompagne.

Dans les deux cas, le même procédé est utilisé : l’attaque par amplification exploitant des vulnérabilités dans les serveurs Memcached utilisés par les hébergeurs pour augmenter la vitesse de réponse des sites web. En seulement cinq jours, ces deux attaques viennent alors agir comme un véritable tremblement de terre dans le monde de la sécurité informatique, notamment de par leur ampleur : mais alors quel a été le déroulé exact de ces attaques DDOS, marquent-elle le début d’une nouvelle ère ? Github n’est-il que le début d’une vague d’attaques ?

Les particularités de l’attaque Github, mais pas que …

Dans le cas de GitHub, comme dans le cas de la seconde organisation touchée, il est dès à présent important de souligner que le procédé de ces attaques diffère avec ceux rencontrés jusqu’alors : ici, les cybercriminels ne se sont pas appuyés sur la puissance d’un réseau de zombies.  L’infrastructure de GitHub a subi ce qui s’appelle une amplification d’attaque DDoS.

Comme nous l’évoquions précédemment, l’utilisation des populaires serveurs Memcached permet d’apporter aux pirates l’amplification nécessaire à leur larcin, leur permettant d’atteindre des sommets de puissance. Ce système distribué de mise en cache des données est open source (et facilement exploitable) et fonctionne sur le port TCP ou UDP 1121. C’est d’ailleurs cette dernière fonctionnalité UDP (User Datagram Protocol), présentes sur des serveurs Memcached non protégés, qui a ici servi à nos pirates pour lancer ces attaques DDOS.

Heureusement pour les deux organisations visées, il y a eu plus de peur que de mal. Si elle n’a pas réussi à éviter cette attaque en amont, Github, par exemple, a promptement (et efficacement) réagi en routant le trafic entrant et sortant par le réseau d’une société spécialisée dans la protection anti-DDoS capable de filtrer de tels trafics.  En quelques minutes seulement, l’attaque était absorbée et GitHub pouvait reprendre ses activités.

Cette rapidité d’action peut s’expliquer par l’experience passée de Github en termes de cyber-attaques : en effet, le site avait déjà connu, en 2015, une attaque de très grande ampleur, paralysant le site pendant 5 jours entiers – et reste encore aujourd’hui une cible de choix pour les hackers.

Une nouvelle ère : des attaques aux proportions alarmantes

Nous pouvons l’affirmer à travers les exemples des deux dernières attaques recensées ces derniers jours : les attaques DDoS sont aujourd’hui entrées dans une nouvelle dimension – et c’est bien là le fait le plus marquant de ces cyber-péripéties.

Si ce type d’attaques DDos n’était pas le premier en son genre (prenez par exemple le cas Mirai), ces dernières attaques restent tout de même les attaques les plus puissantes jamais répertoriées à ce jour, se chiffrant en Terabits, et devenant donc à elles seules une toute nouvelle génération de cyberattaques. A la différence des attaques DDoS de la génération précédente, ces deux offensives calibrées en Tbps n’ont, en effet, plus besoin du soutien d’un ou plusieurs botnets.

Les térabits risquent donc bel bien de devenir la nouvelle unité de mesure quand nous parlerons d’attaques DDOS. La nouvelle technique sur laquelle s’appuient les hackers à la base de ces dernières attaques risque de faire des émules parmi les pirates, et donc beaucoup de dégâts, et qui sait, pourrait devenir ces prochains mois la méthode d’amplification la plus importante jamais utilisée jusqu’à présent.

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply