Cyberattaque hors norme contre SFR et Bouygues
Le service d’accès à Internet fixe de SFR et Bouygues Telecom est resté indisponible durant plusieurs heures la semaine dernière. En effet, les serveurs DNS (Domain Name System) de plusieurs opérateurs ont été affectés. « Les serveurs DNS sont utilisés par toutes les entreprises. C’est un peu comme s’ils jouaient le rôle d’un annuaire téléphonique. Ils traduisent le nom de domaine d’un site web en adresse IP pour lui parler. Ils ont donc un rôle clef d’aiguilleurs. Ils figurent bien souvent dans le Top 3 des applications critiques pour les fournisseurs d’accès à Internet », nous explique Ronan David, responsable de la stratégie d’Efficient IP.
L’impossibilité de se connecter, pour la plupart des clients SFR et Bouygues Telecom mardi dernier, résulte du fait que vous utilisez par défaut les serveurs DNS d’un opérateur lorsque vous êtes abonnés à son service d’accès à Internet fixe. Pourtant, ils auraient pu se connecter à d’autres serveurs DNS en paramétrant la connexion réseau de leur box car les serveurs DNS sont prêts en permanence à communiquer avec tout un chacun. Et c’est bien ce qui fait leur faiblesse. « Comme ils sont par définition très ouverts, ils sont aussi très vulnérables. Ils représentent donc des cibles privilégiées pour les hackers », précise Ronan David.
Ce type d’agression est courant chez les FAI mais celle-ci a été jugée particulièrement virulente par SFR et Bouygues Telecom. D’après l’organisation de protection anti-DDos néerlandaise NBIP, l’attaque DDos (ou par déni de service) a aussi touché d’autres FAI en Belgique et aux Pays-Bas. Elle a relevé des pics volumétriques de près de 300 Gbit/s en volume. Un niveau très au-dessus de la moyenne. Ronan David confirme « Le volume de 89 % des attaques DNS de type DDos se situe en dessous de 50 Gbit/s. Là, c’était jusqu’à 300 Gbit/s, soit six fois plus que d’habitude. C’est complètement atypique ».
Il s’agissait notamment d’une attaque par réflexion. « Dans le cas d’une attaque DNS de type DDos par amplification, il y a une cible, le serveur DNS, et puis il y a de la réflexion, c’est-à-dire que l’on se sert d’autres serveurs DNS pour amplifier les attaques et submerger le serveur cible de requêtes pour qu’il ne soit plus disponible », détaille Ronan David.
Les serveurs DNS d’autres FAI ont-ils servi à amplifier l’attaque ? SFR et Bouygues Telecom ont-ils été visés spécifiquement ou leur panne est-elle un dommage collatéral d’une plus vaste opération ? Mystère mais cette perspective serait redoutable pour tous les opérateurs.
Une autre énigme reste à résoudre : qui sont les agresseurs ? Plusieurs hypothèses peuvent être avancées. Il pourrait s’agir d’un gang crapuleux… À moins que l’objectif était politique : tester les communications et faire tomber une passerelle Internet. Dans ce cas, il pourrait s’agir de puissances étrangères hostiles.
Source : 01net