GitHub attaquée

La plateforme de développement GitHub a été victime mercredi à minuit quinze, heure locale (jeudi 6h15, heure de Paris) de la plus grande attaque distribuée par déni de service (DDoS) à ce jour: 1,35 térabits par seconde.

Une cyberattaque DDoS consiste à rendre un ou plusieurs services indisponibles, en faisant ployer leurs serveurs ou leurs infrastructures de réseau en les inondant d’une multitude de paquets IP simultanés, jusqu’à ce qu’ils soient débordés et refusent tout trafic.

Après dix minutes, GitHub faisait appel au service de limitation des préjudices Prolexic de Akamai, qui a repris, en tant qu’intermédiaire, tout trafic entrant et sortant de GitHub, envoyant les données sur ses serveurs, qui ont laissé passer les paquets de communication valides, et ignoré les paquets trafiqués.

Au bout d’une dizaine de minutes, les attaquants ont capitulé et cessé l’assaut.

Le spécialiste de la sécurité ThousandEyes a pu observer l’attaque en direct.

Akamai à la rescousse

Akamai est le plus grand réseau de distribution (CDN)  au monde: il possède une gigantesque infrastructure de communication et de serveurs dans le monde entier, afin que tout fichier qui lui est confié par une entreprise tierce, comme une vidéo, une photo, une page web ou un document, puisse être visionné ou téléchargé à la meilleure vitesse par les clients.

Akamai offre d’autres services aux entreprises, comme la défense contre les attaques DDoS.

D’après Josh Shaul, vice-président de la sécurité web d’Akamai, s’adressant à Wired, l’entreprise a modélisé ses capacités de défense sur cinq fois l’attaque la plus puissante connue. Elle était donc sûre de pouvoir contrer, en théorie, une attaque de 1,3 Tbps. L’entreprise a, en pratique, démontré sa capacité.

Presque exactement 24 heures plus tard, GitHub était à nouveau attaquée par DDoS, et sa disponibilité baissait de 61 %, soit deux fois plus que la veille, mais les services ont été restaurés dans les quinze minutes.

Attaque par amplification

La plupart des attaques DDoS exploitent un réseau de bots, des appareils (serveurs, ordinateurs, objets connectés) compromis par logiciel malveillant, pour envoyer de toute part du trafic IP sur la cible.

L’attaque contre GitHub est d’un genre nouveau, et ne nécessite pas de Botnet. Elle utilise des paquets IP corrompus pour tromper des serveurs légitimes, afin qu’ils répondent à la victime désignée.

Cloudflare, également l’un des plus grands CDN du monde, a été la première organisation à détailler ce type d’attaque, ce qui nous avons rapporté mercredi.

Une organisation malveillante envoie de faux paquets UDP, port 11211, à des serveurs Memcached, qui répondent en renvoyant des paquets de taille importante à une victime.

Memcached est l’un des systèmes de gestion de mémoire cache distribuée les plus populaires, en code source ouvert.

Par malheur, ce protocole est un vecteur d’amplification DDoS presque idéal : aucun contrôle des paquets entrants n’est effectué, et la réponse est envoyée avec célérité.

Comme il est possible, à l’aide d’un faux paquet de petite taille, de faire émettre des paquets réponses de grande taille (jusqu’à des paquets d’une taille de 1 mégaoctet), il s’agit d’un vecteur d’amplification sans précédent.

Un attaquant disposant d’une bande passante d’un Gbps peut sans problème lancer une attaque amplifiée de plusieurs centaines ou milliers de gigabits par seconde.

Ce type d’attaque n’aurait pas pu se produire si les concepteurs de Memcached avaient plus pris en compte la sécurité et offert une configuration de base sûre par défaut. Pour neutraliser le vecteur d’amplification, les administrateurs de serveurs Memcached doivent les configurer correctement: nous détaillons la procédure ici.