GitHub a affronté la plus grosse attaque DDoS

Nicolas Furno |

En fin d’après midi le 28 février dernier, les serveurs de GitHub ont encaissé une attaque par déni de service (DDoS) record : 1,35 Tbps au plus fort de la crise. Le service a été interrompu pendant quelques minutes seulement, preuve que les mesures mises en place pour contrer ces attaques fonctionnent, mais c’est surtout la méthode utilisée pour générer cette immense quantité de connexions qui est intéressante.

Sur ce graphique qui représente la quantité de données reçues par les serveurs de GitHub, on voit très bien la double attaque de mercredi : un premier pic à 1,35 Tbps et un deuxième plus modeste autour de 400 Gbps.

Contrairement à la DDoS qui avait visé OVH en 2016 et qui était déjà un record à l’époque, les attaquants n’ont pas utilisé des appareils connectés non sécurisés cette fois. C’est une nouvelle forme d’attaque qui a servi, une qui repose sur le point faible d’un logiciel extrêmement courant sur les serveurs : memcached. Cet outil stocke des informations pour accélérer les requêtes du serveur en évitant d’interroger une base de données, mais mal configuré, il fait un excellent vecteur d’attaque en augmentant considérablement le nombre de requêtes envoyées à un serveur.

Cette méthode peut permettre de multiplier par 51 000 une requête, ce qui signifie que l’on peut initier une énorme attaque DDoS avec relativement peu de moyens. En envoyant un seul octet à memcached, il peut générer une réponse de 51 Ko en retour, ce qui conduit très rapidement à un débit anormalement élevé. Dans le cas de GitHub, il a suffi de quelques dizaines de milliers de sources pour obtenir 1,35 Tbps, alors que pour OVH, plusieurs centaines de milliers de caméras avaient été nécessaires.

La bonne nouvelle, c’est que memcached peut très simplement être sécurisé pour bloquer totalement ces attaques. Cloudflare a publié un guide détaillant l’attaque et les contre-mesures, et vous en trouverez une version en français chez OVH. Si vous gérez un serveur web, vérifiez bien que vous avez fait le nécessaire, car il est très facile de détecter si une installation n’est pas sécurisée. D’après un spécialiste interrogé par Wired, au moins 300 robots inspectent actuellement les serveurs du monde entier, à la recherche de cibles.

avatar ovea | 

Mais ils nous font … ces robots, si au moins ils étaient uniformément repartis à l'intérieur de nos systèmes, ça ferait de bataille de robots, et les contres mesures s'afficheraient d'elle-même dans la presse :-))

avatar reborn | 

Il est où l’intérêt de ce type d’attaque sur Github ?

avatar codeX | 

Probablement pas grand intérêt si ce n'est de tester une attaque destinée à un autre service

avatar C1rc3@0rc | 

@ codeX

Probable

L'attaque DDoS n'a que 2 objectifs:
- empecher un serveur d'assurer la diffusion de données
- outils d'extorsion permettant de racketer une entreprise qui vit en fournissant un service en diffusion (base de données, cloud, streaming)

Ça n'a rien a voir donc avec une infection ou une alteration ou meme un vol de données.

Par contre Github est un service mondial utilisé par une majorité d'informaticiens. On a donc un outil a usage professionnel utilisé par des professionnels de l'informatique.
On peut se dire que si une attaque vers ce type de service et population reussi c'est que ça valide son efficacité contre n'importe quel service de plus petite dimension et concernant des populations ignorantes de l'informatique.

C'est donc probablement soit un test de validation soit une demonstration pour menacer des entreprises... un peu comme lorsque une maffia fait un "exemple" en vue d'instaurer un racket... Ou ça peut etre un ecran de fumée pour masquer une autre attaque plus specifique...

Apres on ne peut pas totalement exclure non plus l'hypothese d'une bande de scriptkiddiez qui auraient fait joujou avec un outil de hacking qu'ils ne comprennent pas et qui leurs aurait échappé...

avatar garba50 | 

GitHub est leader dans le gitManagement.
Un peu comme si on essayait de faire tomber office365, bcp d’équipes de développement seraient impactées

avatar pacou | 

Je confirme que même mon tout petit réseau fait l’objet d’une attention toute particulière de certaines adresses ip à la recherche de mots de passe d’entrée sur vpn et autres services éventuellement à disposition.
Je viens même d’avoir la surprise d’apprendre que quelqu’un a essayé de changer mon mot de passe ovh
Heureusement que ce compte est sécurisé par toutes les procédures de double authentification proposées

avatar WeetA | 

Apparemment une grosse partie des serveurs Memcached étaient chez OVH
Ils ont eu 1.3tb de pic de traffic supplémentaire hier
1.3Tbps DDoS mitigated by our VAC, packet per packet .. (not with an ACL)10000 source IPs, from 1608 AS pic.twitter.com/dD1zUmmfN3— Octave Klaba (@olesovhcom) March 1, 2018

avatar LisbethSalander | 

C’est quoi l’intérêt de ce genre d’attaque ? Et qui est derrière ?

avatar irep | 

Github héberge des applications et des fragments de code disponibles au public. J'imagine qu'une attaque réussie pourrait véroler ces applications et codes qui eux-mêmes iraient véroler les micro-ordinateurs et les serveurs sur lesquels ils seraient installés.
Humble avis à confirmer par un vrai connaisseur

avatar r e m y | 

@irep

Ce type d'attaque consiste juste à noyer le site sous les demandes à un point tel qu'il n'est plus accessible voire se déconnecte du réseau, totalement asphyxié.
Il n'y a pas nécessairement intrusion sur le site et donc les fichiers hébergés ne sont probablement pas compromis.

avatar macam | 

J'aime bien ces articles techniques avec des commentaires réfléchis de lecteurs posés, c'est relaxant.

avatar EBLIS | 

Pareil, mais je ne comprends toujours pas pourquoi ces pirates continuent à utiliser DOS alors qu'on en est quand même à Windows 10 ;-D

avatar macam | 

@eblis :
D'autant plus relaxant que je ne comprends qu'à moitié ce qui y est dit, étant nul en informatique. ;-)

avatar EBLIS | 

Je ne suis moi-même pas nul en informatique et parfois quand certains experts parlent ici je n'y comprends pas le quart! Je suppose donc qu'on en est au même niveau :)

avatar EBLIS | 

@LisbethSalander

Parfois ce genre d'attaques sont personnelles et servent à "faire chier". Il y a 2 ans je gérais des serveurs de jeux et j'avais une équipe ESL (des joueurs de Battlefield réputés). Quand on a décidé de créer nos serveurs (que je payais d'ailleurs) une grosse communauté de plusieurs centaines de joueurs lambda nous a suivi. À peine nos serveurs publiés on a reçu des attaques ddos spécifiques sur nos adresses IP. Les differents fournisseurs de jeux nous ont accompagné pendant plusieurs jours pour tenter de trouver les coupables et stopper les attaques. Impossible. À chaque fois qu'on changeait de fournisseur et d'adresse, on subissait des attaques qui ralentissaient l'infrastructure des fournisseurs. Impossible donc de jouer. Ces mêmes fournisseurs nous ont dit "que quelqu'un nous en voulait" et nous ont demandé de quitter les serveurs sans aucun frais. ça a duré un mois. La seule solution fut que je loue des serveurs à mon nom pour passer inaperçu.

avatar LisbethSalander | 

@EBLIS

Je suis désolée de l’apprendre. C’est dingue il y a vraiment des gens qui n’ont que ça à faire !

avatar mk3d | 

Est-ce le même phénomène que bitbucket a subit aujourd’hui?

CONNEXION UTILISATEUR