Comment un pirate peut faire tomber internet sur un pays

Ça parait compliqué, mais ça ne l'est pas tant que ça

#

Faut-il prendre ce genre de menace au sérieux (message posté sur la page FB d’un opérateur national) ?

Qu’est-ce qu’une attaque DDOS Memcached ?

Le CLUSIR TAHITI vous explique le principe de l’attaque et pourquoi cette menace nous paraît crédible et problématique.

Partager

QU’EST-CE QU’UNE ATTAQUE DDOS PAR AMPLIFICATION ?

 

Le principe de l’attaque est d’utiliser des serveurs vulnérables accessibles depuis internet qui, pour une requête donnée, renvoient une réponse anormalement volumineuse, d’où le terme d’amplification. 


Le principe consiste alors à envoyer des requêtes à un serveur vulnérable en changeant son adresse IP par celle de la victime. La victime est alors submergée de réponse volumineuse et n’est plus capable de communiquer. On parle alors de coupure ou déni de service ou Denial Of Services (DOS) en anglais. 


Les choses se compliquent lorsque l’attaquant utilise des milliers de serveurs vulnérables. On parle alors d’attaque déni de service distribué (Distributed Denial of Services ou DDOS).

#

POURQUOI CETTE TECHNIQUE D’ATTAQUE (VIEILLE COMME INTERNET) EST PARTICULIÈREMENT DÉVASTATRICE EN 2018 ?

 

Une nouvelle vulnérabilité de type amplification a été découverte sur les serveurs Memcache. D’après le site shodan.io, véritable moteur de recherche de serveurs vulnérables accessibles sur internet, on comptabiliserait plus 10 000 serveurs Memcache exploitables sur internet.

La nouveauté avec la vulnérabilité Memcache, c’est qu’elle permet d’avoir un facteur d’amplification de l’ordre de 50 000 et ça c’est du jamais vu. Par exemple, si l’attaquant dispose d’une connexion Internet de 4 Mbps, correspondant à une simple connexion ADSL, la victime recevra une réponse de 200 Gbps de trafic, ce qui permet de saturer même les réseaux les plus rapides.

EST-CE QUE SEULE LA POLYNÉSIE EST IMPACTÉE ?

 

De nombreuses attaques de type Memcache ont été observées ces derniers mois à travers le monde. La Polynésie française n’est pas en reste avec de nombreuses coupures depuis le début d’année.

Malheureusement, des outils clé en main très faciles à utiliser sont disponibles sur internet pour lancer cette attaque. De nombreux scripts kiddies et personnes mal intentionnées n’hésitent pas à les utiliser pour des opérations de chantage ou de déstabilisation.

Dans le cas de la Polynésie française, il semble que ce soient les serveurs DNS qui ont été ciblés. Un serveur DNS permet de convertir le nom d’un site (ex : https://www.clusir-tahiti.org) en adresse IP. Ce service indispensable au fonctionnement d’internet est utilisé à chaque fois que vous cliquez sur un lien dans votre navigateur. Si le serveur DNS ne fonctionne plus, internet est coupé.

COMMENT S’EN PROTÉGER ?

 

Bien qu’il existe un outil Memfixed pour contrer les attaquants, son utilisation reste illégale en Polynésie française et en France. En effet, cet outil vide le cache des serveurs vulnérables pour contrer les attaquants. Ce procédé est interdit car il implique d’altérer des systèmes dont on n’est pas propriétaire.

La solution est donc plutôt de filtrer le trafic malveillant venant d’adresses IP connues pour être vulnérables (blacklisting d’IP), filtrer le trafic UDP port source 11211 ou bien faire de la limitation de bande passante en fonction du type de flux. L’ensemble de ces mesures devrait être appliqué en amont des serveurs DNS et / ou de la tête de câble Honotua.

ALORS, ON FAIT QUOI ?

 

Il faut déjà prendre conscience que ce problème va durer et il faut le prendre au sérieux. Les serveurs vulnérables qui servent de relai à l’attaque sont nombreux et ne seront pas corrigés de sitôt. 

L’utilisation des DNS locaux n’est pas obligatoire, il existe des DNS publics, en particulier : Quad9 (9.9.9.9 et 149.112.112.112, DNS sécurisé), Cloudflare (1.1.1.1), OpenDNS Cisco ( 208.67.222.222, 208.67.220.220, 208.67.222.220, 208.67.220.222, 208.67.222.123 et 208.67.220.123). Google propose aussi un service de DNS (aux adresses 8.8.8.8 et 8.8.4.4), mais on peut suspecter que Google utilise ces informations pour tracer les internautes.

Les entreprises peuvent aussi mettre en place leur propre infrastructure de DNS cache, qui offrira une meilleure résilience en cas d’attaque, mais pourra aussi apporter une navigation plus rapide.