Une brève histoire de temps
L'attaque a exploité le Network Time Protocol (NTP) qui permet de synchroniser les horloges des systèmes informatiques. En exploitant une faille du système récemment découverte, l'attaque a interrogé en masse des serveurs NTP, provoquant un trafic très élevé car la réponse émise par ces serveurs est amplifiée. Dans un billet explicatif daté de janvier dernier, CloudFlare explique que le facteur d'amplification est de x8 en raison de la faille du système. « Ainsi, un attaquant peut provoquer une attaque x8 supérieure à la bande passante dont il dispose. Par exemple, un attaquant qui contrôle 10 machines à 1 Gb/s pourrait générer une attaque DNS de 80 Gb/s grâce à l'amplification. » Dans le cadre de l'attaque du 11 février, les réponses des serveurs ont été redirigées vers d'autres serveurs, ce qui a multiplié l'amplification.
Ce n'est donc pas la même démarche que celle notamment utilisée dans le cas de Spamhaus, qui exploitait, de son côté, l'amplification DNS, nécessitant l'emploi de serveurs DNS ouverts, ne filtrant pas les adresses IP qui rentrent en contact avec eux. Cette démarche est efficace, mais demande des efforts pour trouver suffisamment de serveurs DNS ouverts pour effectuer une attaque massive. De son côté, le protocole NTP propose une alternative de choix puisque 3000 serveurs actifs sont actuellement configurés pour répondre aux requêtes effectuées. Ce constat, ajouté à la faille de sécurité qui entraîne la multiplication des données renvoyées, offre une force de frappe considérable.
« De mauvaises choses vont arriver »
Matthew Prince, le PDG de CloudFlare, explique que les remous de cette attaque se sont notamment fait ressentir en Europe, en plus des Etats-Unis. L'entreprise a fait de son mieux pour limiter les dégâts mais ajoute que l'attaque était « suffisamment importante pour poser problème même en dehors de son réseau, ce qui est très ennuyeux. »
Le schéma d'une attaque amplifiée.
Pour des questions de confidentialité, aucune information concernant les serveurs et entreprises ciblées par l'attaque n'a été divulguée. Néanmoins, le 11 février, Octave Klaba, le fondateur d'OVH, annonçait sur Twitter que le réseau de l'hébergeur faisait l'objet d'attaques DDoS dépassant « largement les 350 Gbps ». Aucune précision n'a été donnée par la suite, et même si le timing correspond avec l'attaque qu'évoque CloudFlare, le lien n'est pas établi. Contacté, l'hébergeur OVH n'a pas encore répondu à notre demande de commentaire.
En ce moment, les DDoS, que notre réseau reçoit, dépassent largement 350Gbps .. durant des heures. Le VAC fait son boulot :)
— Oles (@olesovhcom) 11 Février 2014En réponse à un internaute qui faisait remarquer la proximité de l'attaque sur OHV avec celle signalée par CloudFlare, Matthiew Prince s'est montré pessimiste : « Quelqu'un est en possession d'une nouvelle arme massive. De mauvaises choses vont arriver. »
@noone1337 @olesovhcom someone's got a big, new cannon. Start of ugly things to come.
— Matthew Prince (@eastdakota) 11 Février 2014CloudFlare admet cependant être encore en train d'analyser des données liées à cette attaque DDoS, et de nouvelles informations pourrait être données sous peu. En attendant, l'entreprise demande à nouveau aux administrateurs de serveurs NTP de corriger la faille de sécurité en mettant à jour leurs machines, une démarche qui est d'ores et déjà possible. En Janvier, CloudFlare déclarait que « quelques-uns ont pris la peine de procéder à ses mesures de sécurité », mais pas assez à en croire cette nouvelle attaque de grande ampleur.
