SPAMHAUS : L’ATTAQUE QUI RÉVÈLE LES FAIBLESSES DU SYSTÈME DNS
UNE ATTAQUE DDOS DE GRANDE AMPLEUR
Fin mars, l’Internet a subi la plus grosse attaque de type DDoS informatique de son histoire : 300 Gbits/seconde, alors que le chiffre maximal recensé avant celle-ci était de 100 Gbits/s. L’attaque visait l’entreprise de lutte contre le spam, SpamHaus, et c’est l’hébergeur hollandais Cyberbunker qui en est à l’origine, via différentes organisations cybercriminelles d’Europe de l’Est. Ces chiffres et l’attaque ont été confirmés par l’aiguilleur du Web, Akamai notamment, mais aussi par Arbor Networks puis CloudFlare, une société de sécurité américaine, qui a été victime de l’attaque. Rappelons que le Domain Name System (DNS) est l’une des infrastructures clés de l’Internet puisqu’il se charge de traduire les adresses internet en leurs véritables adresses IP. Une attaque sur les serveurs DNS a pour effet de ralentir le trafic de nombreux sites qui passent par le DNS attaqué et cette attaque est très difficile à contrer car il n’est tout simplement pas possible d’arrêter ces serveurs sous peine d’arrêter l’Internet en partie, voire en totalité. Cette attaque a toutefois été très médiatisée ; trop peut-être à la vue de certains articles alarmistes. Mais elle a au moins le mérite de mettre en lumière les défaillances du système DNS – vieux de 30 ans ! Certains projets alternatifs sont en travaux, à l’image d’Open DNS Resolver Project. Ce dernier est opéré notamment par Jared Mauch, qui maintient une base de données de 27 millions d’adresses dites Open DNS Resolvers, qui peuvent être utilisées pour mener des attaques DDOS utilisant l’amplification DNS. Dans le cas de l’attaque contre SpamHaus, CloudFlare indique que le botnet s’est appuyé sur 30 000 DNS resolvers uniques pour faire tomber le site Spamhaus.org. Si un attaquant parvenait à utiliser les 27 millions de DNS resolvers qui sont ouverts et donc vulnérables à une attaque de type IP Spoofing, le risque existe effectivement de faire tomber l’Internet, car ce volume de données serait alors de pratiquement 300 Tbits/sec, soit largement de quoi provoquer l’arrêt de la plupart des infrastructures.