Lundi dernier, le site de l’Assemblée Nationale n’était plus disponible. En cause, une attaque en déni de service menée par un groupe pro Russe. Selon Boris Lecoeur, directeur général de Cloudflare France, subir une attaque de ce type n’est plus permis aujourd’hui et fait ressortir la présence d’équipements de protection désuets.
Que révèle l’attaque menée contre le site du palais Bourbon ?
Boris Lecoeur : L’attaque en déni de service qui a fait tomber le site de l’Assemblée Nationale lundi dernier a été revendiquée par le groupe d’activistes pro Russe Noname 057. Déjà connu pour s’en être pris à des sites ukrainiens et des membres de l’Otan, ils se sont appuyés sur Bobik, un réseau de botnets très connu comme Mantis ou Meris. S’ils ne sont pas toujours organisés, ils ont cette capacité de permettre à n’importe quel sympathisant de mener des attaques pour soutenir des intérêts étatiques comme ici, deux de la Russie. Ils participent tous les trois à rendre accessible le recours à cette technologie. Se rendre sur le darknet pour y trouver de quoi mener une attaque DDoS de premier niveau est à la portée de tout le monde et ne coûte qu’une cinquantaine de dollars. Pour 200$, 300$ ou 500$, vous pouvez même avoir des attaques DDOS volumétriques plus sophistiquées avec IP tournante. Le corollaire de tout ça est l’apparition d’une véritable asymétrie entre les coûts d’attaque et ceux de défense. Chez Cloudflare nous fournissons une atténuation des attaques DDoS totalement illimitée, sans surcoût lié à l’utilisation ou à la bande passante et ce depuis 2017.
Quel est l’impact d’une attaque comme celle-ci ?
BL : Dans le cas de l’Assemblée Nationale, l’impact se situe essentiellement en termes d’image. Ce n’est pas, en effet, un site transactionnel ou détenteur de données stratégiques ou personnelles. A noter toutefois que, parfois, le DDoS peut servir à détourner les équipes sécurité d’attaques menées en parallèle via d’autres mécanismes, également les attaques DDOS peuvent être accompagnées de demandes de rançons associées. Comme beaucoup de sites institutionnels, l’Assemblée Nationale est probablement équipée de boîtiers traditionnels qui ne sont plus adaptés à ces attaques étatiques (de très grande ampleur). Il y a trois semaines nous avons contré un énorme assaut avec le blocage de 71 millions de requêtes à la seconde, la plus grande attaque jamais répertoriée. Cette attaque visait un certain nombre de nos clients dans les domaines de la crypto et du gaming, des secteurs très régulièrement ciblés. Les solutions traditionnelles et historiques fonctionnent soit en étant en coupure entre l’entreprise et internet, soit via l’opérateur et ne s’active qu’au moment d’une attaque. Le problème d’une attaque DDoS via Mantis, par exemple, qui est une attaque eclair massive, c’est que ces boitiers sont très vite saturés, tout comme les lignes des opérateurs et font tomber le site
Le déni de service aurait-il pu être bloqué ?
BL : Aujourd’hui, 20% de l’ensemble d’internet est protégé par cloudflare. Nous disposons donc d’un grand nombre de signaux précurseurs qui nous permettent d’anticiper et de stopper une attaque avant qu’elle se déclare. Nous connaissions le pattern d’attaque qui s’est produit sur le site de l’Assemblée Nationale, donc oui nous aurions pu la bloquer très facilement. Nous protégeons le site de l’Elysée, les infrastructures de la CNAM, de certains hôpitaux, du Conseil de l’Europe, l’ensemble des sites de grand groupes comme L’Oréal et de très nombreuses startups (ManoMano, Vestiaire Collective, Qonto, OpenClassRoom). On est référencé, à l’UGAP, SIPEREC (collectivités territoriales) à le RESAH (santé). Nous protégeons gratuitement des associations et ONG comme Reporter sans Frontières, et Amnesty Internationale, dans le cadre de notre projet baptisé Galileo. L’Anssi ne nous référence pas, car, pour l’instant, elle ne référence que les solutions traditionnelles (boitiers) et pas les solutions cloud. Mais nous travaillons avec eux sur ces sujets.
Comment fonctionne votre technologie ? Quelle est votre approche ?
BL : Protéger un site web pour nous c’est le publier, partout dans le monde, au plus proches des visiteurs là où ils sont situés et au plus proche des attaquants. Nous avons des mécanismes très évolué de cashing avec une duplication partout dans le monde. Le trafic est bloqué depuis l’endroit où va démarrer l’attaque, cela évite qu’elle se propage sur les réseaux, atteignent leurs cibles et viennent saturer les hébergements. Nous sommes une solution “cloud native”. Toutes nos solutions fonctionnent de la même manière et partout sont déployables en quelques minutes à l’échelle mondiale. Cela s’apparente à une contre mesure de missile qui attire les attaques à l’endroit le plus proche d’où elle démarre. On peut protéger un nouveau client en moins d’une demi-heure et en quelques clics. On gère tous types de clients des grandes entreprises comme L’Oréal ou Carrefour, des entreprises de taille intermédiaire comme Monoprix, Solocal, des PMEs comme l’assureur Vilavi et de nombreuses startups (Qonto, Vestiaire Collective, BackMarket, Algolia, Mano Mano), et même des tout petits sites ou des blogs. Tout cela nous fournit une importante variété d’informations dans l’intelligence des attaques qu’on peut voir. Sachant que les attaquants testent très souvent leurs attaques sur des cibles plus petites avant d’attaquer des plus importantes (cela a été le cas des attaques sur le site de l’Eurovision que nous protégeons également), nous les percevons en amont et pouvons ainsi bloquer les développement pour des attaques de plus envergure. En bref, nous ne pouvons pas assez conseiller aux organisations publiques ou privées de s’offrir une protection fiable et efficace en quelques clics.
