La goutte DDoS n’a pas fait déborder le VAC*

Temps de lecture estimé : 17 minutes

Durant un peu plus d’une semaine, OVH a été sous le feu des caméras. D’un côté, des centaines de milliers de caméras IP compromises, utilisées pour générer la semaine du 19 septembre la plus importante attaque DDoS jamais enregistrée (et à laquelle OVH a bien résisté). De l’autre, les caméras et micros des journalistes du monde entier, pressés d’en savoir davantage sur cette attaque hors norme. Hors norme par son intensité (des pics jusqu’à 1 Tbps) et, surtout, par son mode opératoire (plus de 145 000 objets connectés piratés envoyant des requêtes simultanément). Partagé entre le souci de transparence vis à vis de ses clients et les risques qu’il y a à communiquer autour d’une telle attaque, OVH s’est jusqu’à présent peu exprimé. Si tous ces DDoS ont échoué, la lecture de certains articles, en revanche, a bien failli nous faire tomber (de notre chaise). Nous avons donc décidé de prendre la parole pour démêler le vrai du faux… Et rassurer tout le monde !

*VAC : combinaison de technologies mises au point par OVH pour mitiger les attaques DDoS

Le but des attaques DDoS était-il de « pirater » ou « kidnapper des données », comme certains articles en ont rapporté l’hypothèse ?

Non ! Il existe trois types d’attaques informatiques : celles visant à rendre un service indisponible, celles ayant pour objectif de dérober et/ou faire fuiter des fichiers, et celle visant à altérer des données. Les attaques DDoS survenues fin septembre sont du premier type : elles ont pour but de rendre un service indisponible. En l’occurrence, ce n’est pas à proprement parler OVH qui a été attaqué, mais une poignée de clients hébergés par OVH, dont les attaquants ont tenté de mettre leurs sites KO. Le mécanisme d’une attaque DDoS (Distributed Denial of Service attack, ou attaque par déni de service distribuée) est assez simple à comprendre. Il s’agit de surcharger la bande passante d’un serveur (le « tuyau » qui mène jusqu’à la machine) ou d’accaparer ses ressources jusqu’à épuisement, en envoyant une multitude de connexions simultanées, depuis différents points du réseau Internet (d’où le « Distributed »). Rien à voir, donc, avec l’exfiltration ou la destruction de données.

La situation actuelle n’a rien de vraiment exceptionnelle, hormis l’emballement médiatique qui entoure ces attaques. Les DDoS sont un phénomène consubstantiel à notre activité d’hébergeur. Les gérer et protéger nos clients, c’est notre job !

OVH attaqué par des « machines zombies », c’est super flippant, non ?

Oui, absolument, tout comme les illustrations utilisées pour évoquer le sujet : une main gantée de cuir noir tapotant sur un clavier, un gangster cagoulé posté à proximité d’une baie de serveurs…
Dédramatisons un peu : pour lancer une attaque DDoS, il est nécessaire d’avoir à disposition de nombreuses machines connectées à Internet. Pour constituer ce réseau de machines capables de se concerter pour exécuter une attaque – ce qu’on appelle un botnet –, les pirates s’appuient sur les failles de sécurité des équipements. Ils en prennent alors le contrôle en toute discrétion, de façon à pouvoir s’en servir le moment venu.
Jusqu’alors, ces « zombies » étaient majoritairement les PC de monsieur et madame Tout-le-monde, infectés, via des e-mails piégés ou des logiciels téléchargés sur des sites pornographiques ou de téléchargement illégal. De façon plus marginale, les serveurs ont ensuite été mis à contribution au sein des botnets, ce qui nécessite de la part des pirates plus ou moins d’ingéniosité, selon qu’il s’agit « simplement » de profiter de la négligence d’un administrateur ayant mal sécurisé sa machine ou d’exploiter une faille de sécurité repérée dans le système d’exploitation ou dans l’une des applications installées. Puis l’internet des objets est arrivé : des smartphones aux caméras, en passant par les thermostats, les TV et même les voitures, tout un tas d’équipements ont été connectés à Internet… sans que les constructeurs ne se soucient outre mesure de leur forte vulnérabilité.

Cela pose de multiples problèmes, à commencer par le respect de la vie privée des utilisateurs de ces produits. En 2014 déjà, le site insecam.org a été mis en ligne par un hacker russe pour sensibiliser les clients et constructeurs quant à la sécurité défaillante des caméras IP. Simplement (et en parfaite illégalité), on peut ainsi accéder aux images streamées en temps réel des caméras IP mal ou pas protégées, un peu partout dans le monde… Bien que relayée dans les médias, cette initiative n’a pas provoqué l’électrochoc escompté. Un an auparavant, quand les experts en sécurité ont commencé à alerter l’opinion sur la menace d’attaques informatiques perpétrées par des objets connectés compromis, beaucoup ont été amusés par la prophétie de frigos et autres thermostats connectés à l’origine d’un DDoS. De fait, la menace s’est concrétisée plus rapidement que prévu !

Et pour cause : non seulement les objets connectés sont tout le temps disponibles (contrairement aux PC) et plus faciles à compromettre que les serveurs (le monitoring rend la découverte des programmes malveillants plus aisée), mais ils sont aussi plus nombreux. Une caméra compromise devient aussitôt l’esclave du réseau botnet et participe à la propagation du malware puisqu’elle va à son tour scanner le net à la recherche d’autres équipements à infecter… C’est ainsi qu’en quelques mois ont pu se constituer des réseaux d’objets connectés piratés de très grande envergure, tels que ceux qui ont attaqué OVH. Plusieurs malwares à l’origine de ces botnets ont été identifiés au cours des attaques récentes : Mirai (dont le code source vient d’être rendu public, et dont l’auteur revendique 380 000 devices infectés), mais aussi Bashlite (dont le code source a fuité fin 2015, ce qui a donné lieu à l’apparition de variantes du code initial).

Dernière difficulté, et pas des moindres : les objets utilisés pour ces attaques sont, le plus souvent, connectés à Internet par l’intermédiaire de réseaux domestiques, eux-mêmes connectés à Internet par des FAI. Or, il y a un certain nombre de FAI qui attribuent dynamiquement des adresses IP temporaires à leurs utilisateurs. Autrement dit, si nous identifions l’IP d’une caméra à l’origine d’une attaque, il se peut que quelques jours après cette IP soit devenue celle d’un utilisateur légitime du réseau…

Les caméras sont-elles les seuls objets connectés en cause ? Combien sont-elles ? Quels sont leurs réseaux ?

On a beaucoup parlé des caméras, car elles sont extrêmement nombreuses du fait de leur coût d’achat en baisse, mais nous avons également repéré des DVR infectés (Digital Video Recorder, soit les petits serveurs domestiques utilisés pour enregistrer les images des caméras de vidéosurveillance), ainsi que des NAS, des routeurs (des Box xDSL), ainsi que des Raspberry pi. Tous ces équipements connectés ont en commun l’existence de failles de sécurité relevant de défauts dans leur conception logicielle, de la négligence des constructeurs, qui souvent attribuent le même mot de passe usine par défaut à tous leurs produits, ou de la négligence des installateurs, qui ne prennent pas la peine de le modifier lorsqu’ils les déploient ! On peut supposer également l’existence de « portes dérobées » : un des softwares en cause, contenant un backdoor, a été commercialisé en marque blanche à plusieurs constructeurs. Il n’est donc pas possible d’exclure un acte intentionnel. Enfin, ces équipements ont en commun d’avoir de la puissance de calcul disponible, ainsi qu’une large bande passante pour envoyer des flux de requêtes. Ainsi, l’une des dernières attaques DDoS enregistrées par OVH provenait… de Box mal sécurisées distribuées à leurs abonnés par des FAI du sud de l’Europe.
Bref, si les caméras zombies vous ont effrayé (certainement parce qu’elles ne ferment pas l’œil de la nuit, contrairement à vous), préparez-vous à frémir encore un peu. Si notre enquête interne (qui est encore en cours) a recensé plus de 145 000 objets connectés infectés à l’origine des dernières attaques, le transitaire Level3 a récemment évalué leur nombre à plus d’un million. Nous ne sommes donc, à vrai dire, qu’au tout début du problème. Et cela sans compter le fait que le débit des connexions à Internet est en constante augmentation, avec la démocratisation du VDSL, SDSL et de la fibre. Ainsi, nous avons récemment constaté que 60 caméras piratées en Finlande (un pays très bien connecté), pouvaient occasionner une attaque d’une puissance similaire à celle générée par 1 000 caméras en provenance de Taïwan !

« OVH noyé par une attaque DDoS sans précédent ». Quelqu’un a-t-il bu la tasse ?

Une attaque DDoS ne dure jamais bien longtemps, rarement plus de deux minutes. Mais, souvent, elle se répète toutes les 10 à 15 minutes pendant plusieurs heures, jours ou semaines. Comme expliqué plus haut, le but des attaquants est de rendre indisponibles une poignée de sites, mais les moyens importants employés peuvent avoir pour effet collatéral la saturation du réseau, auquel cas tout ou partie de l’infrastructure de l’hébergeur attaqué peut ne plus être accessible par les internautes. Concrètement, cela peut occasionner des time out : les paquets envoyés font la queue pour entrer dans le tuyau devenu trop petit, et s’ils n’y parviennent pas, expirent et sont perdus (dropés). Cette situation critique ne s’est pas produite, c’est pourquoi nous pouvons dire qu’OVH a résisté aux attaques.
Il y a toutefois eu quelques conséquences pour certains clients, que nous souhaitons détailler. Durant les attaques, les internautes originaires des pays d’Europe du Sud ont pu subir des ralentissements lorsqu’ils tentaient d’accéder aux serveurs hébergés chez OVH, et ce parce que les DDoS en provenance de cette région ont été massifs. Il y a eu des congestions sur nos interconnexions avec un FAI local en Espagne. Nous avons donc accéléré nos investissements au sein de notre point de présence de Madrid, et nos capacités d’échange y seront très prochainement multipliées par dix.

Par ailleurs, si le VAC (combinaison de technologies mises au point par OVH pour mitiger les attaques DDoS) protège tous les clients d’OVH par défaut, il ne s’active que lorsqu’une attaque est détectée. Il filtre alors le trafic illégitime pour maintenir la disponibilité du serveur visé. Certains clients, qui ont des besoins de protection spécifiques, bénéficient d’une option permettant l’activation permanente du VAC. L’intégralité de leur trafic est alors filtré, tout le temps, même quand ils ne subissent pas de DDoS. Durant la semaine du 19 septembre, nous avons désactivé cette option afin de libérer de la bande passante au sein du VAC pour pouvoir recevoir l’attaque sans saturer nos équipements de protection. Dans les prochains jours, nous allons réactiver la mitigation permanente pour les clients concernés. Avant la fin de l’année 2016, la première génération de protection anti-DDoS que nous avons sortie en 2013 sera remplacée par une nouvelle technologie développée en interne sur la base de FGPA (circuits intégrés programmables) et de codes élaborés depuis 18 mois. Cela nous permettra de proposer un VAC capable de supporter des attaques DDoS avec des pics jusqu’à 5 Tbps sans ralentissement sur notre réseau.

Enfin, la puissance des dernières attaques semble monstrueuse à première vue, mais ce qu’il faut comprendre, c’est que peu d’hébergeurs ont la possibilité ne serait-ce que de recevoir de tels pics, pour la bonne et simple raison que leur backbone serait saturé avant que ces pics ne leur parviennent. Nous avons des interconnexions directes avec presque tous les acteurs d’Internet en Europe et aux USA et une bande passante excédentaire conséquente. Aujourd’hui, nous comptons plus de 7 Tbps de connexion vers Internet. Cela qui explique que nous avons pu recevoir une attaque d’1 Tbps, alors que le précédent record s’établissait à 600 Gbps, sans saturer nos connexions (hormis pour le FAI Espagnol évoqué précédemment).

Quelle est la situation à l’intérieur d’OVH ? La presse parle d’équipes « 100 % mobilisées », avec un niveau de vigilance maximum. A-t-on activé le plan Vigi-Pirate ?

Tout le monde est en effet sur le pied de guerre. Y compris le chef cuisinier de notre cantine d’entreprise, qui hier encore nous a préparé un délicieux DDoS de cabillaud en papillote. Plus sérieusement, si nous sommes mobilisés à 100 % actuellement, c’est plutôt dans la perspective de notre 4e OVH Summit, qui a lieu le 11 octobre prochain. Même si l’intensité des dernières attaques a surpris, nous y étions préparés… et nous sommes convaincus qu’il y en aura d’autres. Si une période de calme peut succéder à la « reddition » de l’auteur à l’origine du malware Mirai, qui affirme avoir refermé la backdoor qu’il utilisait pour infecter les caméras, il y a fort à parier que des variantes vont apparaître, toujours plus ingénieuses. La situation actuelle n’a, en somme, rien de vraiment exceptionnel, hormis l’emballement médiatique qui entoure ces attaques.

Nous continuons à innover, à maintenir et améliorer les services que nous proposons à nos clients… et à gérer les attaques, qui sont un phénomène consubstantiel à notre activité d’hébergeur. Chaque jour, environ 1 200 clients d’OVH sont protégés par notre système anti-DDoS (VAC) sans même s’en apercevoir. Une fois l’attaque passée, c’est nous qui leur apprenons ce qu’il s’est passé. Nous avons une équipe dédiée à ce projet, des ingénieurs R&D, nous y consacrons des moyens conséquents. Bref, une attaque DDoS ce n’est pas grave ! Vous avez tous, potentiellement, un concurrent qui sera tenté un jour ou l’autre de vous faire tomber. C’est pour cette raison que chez OVH l’anti-DDoS n’est pas une option, mais une protection offerte par défaut à l’ensemble de nos clients.

Qui sont les méchants dans l’histoire ? Que veulent-ils au juste ?

Certains sont un peu vite partis en besogne, analysant que la taille et les ambitions d’OVH en avaient fait une cible de choix. La réalité est un tout petit peu plus compliquée. Reprenons les choses depuis le début.

A l’origine des botnets en cause dans les attaques DDoS récentes, il y a des superméchants. Très rusés, ils codent les programmes (malwares) qui infectent les objets connectés en exploitant leurs failles et pilotent leur réseau d’objets zombies depuis leur Command & Control (C2), qui est le maître absolu des objets connectés devenus esclaves. Ces botnets, les superméchants les mettent à disposition du plus offrant, avec un prix proportionnel à la puissance de frappe et aux dégâts qu’ils sont capables de générer. Et ces botnets, comme l’argent qu’ils génèrent, ne s’arrêtent jamais de travailler. Car des méchants, qui sont prêts à payer rubis sur l’ongle pour s’offrir ce genre de service dans le but de nuire à leur concurrent, ou à l’amant de leur femme en faisant tomber le site de son entreprise, sont assez nombreux.

En somme, dire qu’OVH est une cible privilégiée, c’est faire un raccourci un peu rapide. La vérité est que, étant donné le nombre de serveurs et d’applications hébergés par OVH, il s’en trouve forcément un certain nombre qui constituent des cibles pour des attaquants de tout type. C’est évidemment un paramètre que nous avons pris en considération depuis longtemps, car nous savons que les DDoS ne visent pas nécessairement des clients évoluant dans des domaines réputés très concurrentiels ou accoutumés à ce genre de pratique (le monde du jeu en ligne par exemple). La contrepartie de ce volume considérable de clients, c’est que nous avons les moyens de nous défendre des attaques.

Enfin, inutile de se voiler la face, il y a évidemment sur le web des projets plus ou moins respectables. Certains pourraient être tentés de justifier le recours aux attaques DDoS dans le cadre de combats qui, à leurs yeux, semblent justes. Nous pensons que c’est une erreur. Et nous continuerons à investir autant que nécessaire dans des protections toujours plus efficaces pour que les attaques DDoS ne deviennent jamais un moyen de censure (un risque très bien expliqué par l’expert américain en sécurité Brian Krebs).

Pourquoi avoir rendu publiques, sur Twitter, les dernières attaques ?

Si Octave Klaba, notre CTO, a fait le choix de rendre publiques sur Twitter la série d’attaques de la semaine du 19 septembre, son objectif était d’attirer l’attention des spécialistes en sécurité et autorités compétentes sur l’ampleur du botnet (le réseau d’objets connectés contrôlé par les pirates) à l’origine du DDoS, ainsi que sur l’intensité des pics de charge qu’OVH a eu à absorber.

OVH, tout comme les autres grands acteurs du web, a la capacité de résister à des attaques de cette envergure – tous y sont d’ailleurs régulièrement confrontés sans nécessairement en parler. Mais ce n’est pas le cas d’opérateurs de taille plus modeste ou d’entreprises qui ont encore leur IT en interne. Ceci notamment en raison du coût des protections à mettre en place, et de la capacité réseau excédentaire dont il faut en permanence disposer ne serait-ce que pour recevoir ces attaques.

Résister aux DDoS visant nos clients, c’est notre job ! Mettre hors d’état de nuire des botnets de plus en plus gros, en revanche, ce n’est pas notre mission. Nous n’en avons ni le droit, probablement pas les moyens (hormis en ce qui concerne la neutralisation de C2 qui seraient hébergés chez nous), et cela implique la coopération de nombreux acteurs. Que pouvons-nous, par exemple, si les constructeurs d’équipements connectés ne corrigent pas les failles de leurs softwares, si les revendeurs n’osent pas prévenir leurs clients que leur matériel est infecté ?

Pourquoi avoir ensuite refusé de communiquer ?

Si nous n’avons pas donné suite aux (très nombreuses) demandes de la presse, c’est que la communication autour des attaques DDoS est très délicate, et bien souvent contre-productive. Il est en effet ardu d’expliquer comment s’est déroulée une attaque et comment nous l’avons contrée sans donner au passage des informations précieuses aux attaquants, en inspirer d’autres ou entraîner la destruction de preuves qui auraient pu être utilisées par les autorités judiciaires au cours d’une éventuelle enquête. Communiquer sur le fait d’avoir résisté à une attaque a souvent pour conséquence de motiver les assaillants à redoubler leurs efforts, et finalement, cela peut inquiéter nos clients, ceux-ci considérant à tort qu’OVH est davantage la cible d’attaques DDoS que les autres.
Voilà pourquoi nous continuerons d’être transparents, mais néanmoins discrets lors de prochaines attaques.
Si nous n’avons pas manqué, ici, de pointer les approximations et inexactitudes repérées sur le sujet, vous aurez également noté qu’il existe de très solides articles dont nous avons fourni les liens. Nous vous en recommandons chaudement la lecture si le sujet vous intéresse !

Copywriter at OVH.