Jérôme Fleury (France-IX) : « Spamhaus : cette attaque DDoS n’aurait pas dû se produire »
Au cours d’une récente table ronde Neo Telecoms « spécial DDoS », le Responsable technique de France-IX (principal point d’échange Internet en France) a décortiqué l’assaut qui a visé l’organisation anti-spam Spamhaus en mars dernier.
Fin avril, la police espagnole interpellait « SK » présenté comme le principal coordinateur de l’attaque DDoS visant les infrastructures de The Spamhaus Project.
L’organisation internationale de lutte anti-spam, basée entre Genève et Londres, avait enregistré le 18 mars dernier une attaque importante par déni de service distribué (DDoS en anglais).
On parle régulièrement d’un pic record de 300 Gigabits par seconde (Gbps en anglais).
Lors d’une table ronde organisée le 24 avril dans les locaux parisiens de Neo Telecoms (opérateur télécoms français de transit IP) intitulée « Plongée au coeur des attaques DDoS », Jérôme Fleury, Responsable technique France-IX, est revenu sur cette assaut visant Spamhaus.
Dans sa présentation de slides, il a expliqué que cette attaque basée sur amplification DNS a nécessité l’utilisation d’adresses sources « spoofées » (modifiées).
Et qu’elle avait la particularité d’avoir exploité une faille dans la jonction réseau entre un fournisseur de solutions CDN (CloudFlare en l’occurrence) et un point d’échange Internet (GIX, relais de trafic entre opérateurs), en l’occurrence le LINX basé à Londres.
Et ce, afin de toucher sa cible finale Spamhaus.
A son insu, ce GIX a servi de relais aux assaillants. Mais, pour une question de configuration spécifique réseau, on aurait pu éviter cette opération de déstabilisation.
(Interview réalisée le 24 avril)
ITespresso.fr : Dans quelle mesure l’attaque DDoS sur Spamhaus a débordé sur le front des points d’échange Internet ?
Jérôme Fleury : Les pirates ont voulu toucher Spamhaus par l’intermédiaire du CDN CloudFlare. Ils se sont concentrés sur un point précis d’infrastructure : l’adresse CloudFare sur le point d’échange Internet du LINX (un GIX basé à Londres). En considérant qu’au lieu d’attaquer un réseau qui est déjà exploité en mode distribué (le réseau CDN de CloudFlare), il valait mieux se concentrer sur une partie ciblée de son infrastructure. Celle qui faisait la jonction avec le LINX. Il est possible que cette attaque ait débordée sur le fonctionnement de ce point d’échange Internet mais c’est principalement CloudFlare qui a été impacté.
ITespresso.fr : CloudFlare n’avait pas suffisamment blindé ses liens avec LINX ?
Jérôme Fleury : Dans ce cas précis, le problème a plutôt été résolu du côté du LINX. En fait, cette attaque n’aurait pas dû se produire : le point d’échange de peering est censé être accessible qu’aux membres du LINX. Or une configuration spécifique réseau du côté du LINX a débouché sur une ouverture avec le monde extérieur (Internet). CloudFare a juste demandé au LINX d’isoler cette passerelle réseau pour stopper l’assaut DDoS. C’est un choix technique de la part du point d’échange Internet qui a permis à l’attaque DDoS de se produire. On peut contester l’approche initiale. Mais voilà, c’était comme cela.
ITespresso.fr : Cette affaire Spamhaus a provoqué des débats dans la communauté des points d’échange Internet…Un mal pour un bien ?
Jérôme Fleury : Les GIX se sont remis dans une discussion assez productive pour évaluer les bonnes pratiques [en particulier BCP 38, ndlr] et pour éviter que ce genre d’incident se reproduise. Il existe des débats annexes sur les dimensions d’ouverture et d’isolement mais, globalement, on aboutit à un consensus sur les best practices afin d’empêcher que les attaques DDoS passent par les points d’échange Internet.
ITespresso.fr : Les points d’échanges Internet constituent-ils un maillon essentiel pour endiguer les attaques DDoS ?
Jérôme Fleury : Normalement, un point d’échange est neutre. Il doit presque transporter tous les paquets sans un droit de regard. Légitimes ou non. On n’est pas là pour faire la police. Mais, les attaques DDoS, c’est l’affaire de tous. Nous devons apporter notre pierre à l’édifice et nous comporter de manière responsable. La sécurité IT est une priorité mais il faut délimiter notre intervention. Faut-il aboutir au filtrage des contenus ? En l’état actuel, les points d’échange Internet se l’interdisent. On se contente d’émettre des recommandations mais elles sont importantes.
—————————–
Quiz : Hacking, phishing, spamming? La sécurité sur internet n’a pas de secret pour vous ?
——————————
(Credit photo : Shutterstock.com – Copyright : Sergey Nivens)