GitHub survit à la plus grosse attaque par déni de service distribué jamais enregistrée
Et menée sans réseau de zombies

Le , par Patrick Ruiz, Chroniqueur Actualités
GitHub a survécu à la plus grosse attaque par déni de service distribué (DDoS) jamais enregistrée jusqu’ici ; c’est ce que rapporte le mensuel américain Wired dans une publication parue hier. La plateforme a été frappée de plein fouet par un tsunami de 1,35 térabit par seconde dès 17 heures 21 minutes (GMT) le 28 février. Wired rapporte que les attaquants n’ont pas fait usage d’un réseau de zombies. « Le service Web d’hébergement et de gestion de développements de logiciels était totalement indisponible entre 17 heures 21 minutes et 17 heures 26 minutes avant de l’être par intermittence pour les 5 minutes suivantes », précise un responsable de la plateforme dans un billet paru hier.

D’après ce que rapporte le mensuel Wired, la plateforme a pu tenir le coup grâce à Akamai Prolexic – son service de mitigation d’attaques DDoS – qui a pris le relais passé les dix premières minutes de l’assaut. L’attaque a duré 8 minutes après l’entrée en scène du service puis s’est estompée, rapporte Wired. En termes de chiffres, l’attaque contre les infrastructures de Dyn en 2016 est désormais connue comme la deuxième la plus foudroyante avec un trafic de 1,2 térabit par seconde.



Pas de botnet, mais des serveurs Memcached en toile de fond

L’infrastructure de GitHub a subi ce qui s’appelle une amplification d’attaque DDoS. Les attaquants usent de divers moyens pour parvenir à donner un effet hyper dévastateur à une attaque par déni de service distribué. Toutefois, l’utilisation de serveurs Memcached permet de porter l’amplification à des puissances jamais obtenues jusqu’ici. D’après les explications de Cloudfare, Memcached est un système distribué de mise en cache des données ; il est open source. Un serveur Memcached fonctionne sur le port TCP ou UDP 1121 et est conçu pour accélérer les applications Web dynamiques en réduisant la charge sur la base de données. Le système est prisé des administrateurs pour améliorer les performances et adapter les applications Web.

Tout le problème ici est que des pirates abusent désormais des serveurs Memcached non protégés. D’après ce que rapporte Wired à ce sujet, on en dénombre 100 000 exposés en ligne et accessibles sans authentification. Une fois en possession de l’adresse IP de sa future victime, il suffit que le cybercriminel envoie une requête à l’un de ceux-ci au travers du port UDP 11211. Selon les chercheurs de Cloudfare, il suffit de quelques octets d’une requête envoyée au serveur libre d’accès pour obtenir une réponse dix mille fois plus grande en direction de la victime.



D’après les chercheurs de Qihoo 360, DNS et NTP demeurent les protocoles les plus utilisés pour l’amplification des attaques par déni de service distribué. On devrait toutefois s’attendre à une démultiplication des attaques basées sur l’exploitation des serveurs Memcached compte tenu de la force de frappe qu’elle confère aux cybercriminels.

Sources

Wired

Billet GitHub

Cloudfare

Votre opinion

Quelle politique de mitigation des attaques par déni de service distribué implémentez-vous sur les parcs dont vous êtes responsable ? Partagez votre expérience.

Voir aussi

OVH victime de la plus violente attaque DDoS jamais enregistrée par un botnet de caméras connectées qui n'étaient pas sécurisées


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de tmcuh tmcuh - Membre du Club https://www.developpez.com
le 02/03/2018 à 9:17
Le jour où les système s'auto-mettrons à jour via un système blockchain on aura fait un pas de géant dans la sécurité
Avatar de Vulcania Vulcania - Membre confirmé https://www.developpez.com
le 02/03/2018 à 9:45
@tmcuh et un pas immense à reculons sur la stabilité et la maîtrise des prods....
Avatar de Freem Freem - Membre émérite https://www.developpez.com
le 02/03/2018 à 9:55
Citation Envoyé par tmcuh Voir le message
Le jour où les système s'auto-mettrons à jour via un système blockchain on aura fait un pas de géant dans la sécurité
Les mise à jour automatique, c'est génial pour la sécurité.
En effet, un système de sécurité est, par définition, parfait, donc personne ne peut insérer de mise à jour malicieuse. Du coup, fatalement, une telle MàJ malicieuse ne pouvant exister, si les opérateurs techniques utilisent la bonne quantité de poudre verte pour nettoyer les bugs, enlever les fonctionnalités non désirées qui mettraient à genoux des machines un peu vieilles mais pourtant fonctionnelles (et pas données, par exemple pour une machine d'atelier de découpe automatique) et adapter la configuration au besoin local, en effet, ça sera un pas de géant pour l'informatique.
En fait, si le personnel technique combine la poudre verte avec une méthodologie certifiée par l'IILaR on atteindrait même le nirvana de l'IT. Je me demande pourquoi personne n'y a pensé avant.
Avatar de transgohan transgohan - Expert éminent https://www.developpez.com
le 02/03/2018 à 10:15
La mise à jour automatique est l'un des pires fléaux d'une entreprise... Ce n'est absolument pas contrôlé. Quand on a un seul logiciel passe encore, mais ce n'est jamais le cas, on imbrique des logiciels ensemble pour former un système.

Il y a eu des précédents dans une grande imprimerie française où les machines de productions se sont mises à jour automatiquement suite à une modification de maintenance où le prestataire a cru bien faire.
Résultat ? Chaîne de production contenant un logiciel non compatible avec le reste qui entraînait un arrêt total de l'usine.
Impossible de remettre facilement l'ancienne version, il a fallut faire un backup de toutes les données (manuellement pour certaines choses) et réinstaller tout le système.
4 jours d'arrêt et des pertes colossales.

La mise à jour automatique c'est bien chez madame Michou.
Mais en entreprise cela ne se fait pas car on veut maîtriser le système et son déploiement.
Avatar de - https://www.developpez.com
le 02/03/2018 à 10:44
Pauvre madame Michou...
Elle connait pas WSUS Offline...
Ou encore faire sa propre ISO de Windows personnalisée avec clé de produit, MAJ et applications pré-installés...

Sinon, sur le sujet, j'analyserai bien les comportements des firewalls en plus des logs traceroute...
Avatar de SimonDecoline SimonDecoline - Membre expérimenté https://www.developpez.com
le 02/03/2018 à 11:23
Je me demande bien quelle est la motivation de cette attaque. Attaquer un gouvernement ou des banques, je vois un peu l'idée mais github je ne comprends pas : les dépôts et releases sont dupliqués (donc pas de pertes ou de blocages réels) et github n'est pas éthiquement la pire entreprise du monde (on peut même dire qu'elle joue un rôle significatif dans l'open-source).
Avatar de spyserver spyserver - Membre averti https://www.developpez.com
le 02/03/2018 à 11:41
Tout ce foin pour 5 minutes d'indispo ...
Avatar de vizivir vizivir - Membre du Club https://www.developpez.com
le 02/03/2018 à 16:19
@simondecoline , sa peux servir de test pour savoir à quelle point ton attaque est violente pour ensuite attaquer un gouvernement ou une banque . mais sinon je suis comme toi je vois pas vraiment l’intérêt
Avatar de abriotde abriotde - Membre éprouvé https://www.developpez.com
le 02/03/2018 à 23:00
Je me demande bien quelle est la motivation de cette attaque
Une attaque DDos ne sert pas simplement a mettre HS un service. Il sert surtout a noyer les infrastructures de sécurité. En fait il crée du bruit qui rends HS les analyseur du réseau (MelPot, sniffeur, pare-feu...). Et les pirates en profitent pour mener en parallèle une attaque beaucoup plus difficile qui sinon serait repéré. GitHub représente un enjeux titanesque car il représente la potentialité d'arriver a compromettre un code source de logiciels hyper utiliser. Imaginez que pendant cette attaque vous ayez mis une backdoor très discrète (dont la date de modification est enregistrée comme très ancienne) dans par exemple WordPress... Bien sur ce que je dis est techniquement très difficile mais potentiellement faisable et une attaque DDoS sur Github a sans doute coûté près de 100 000 euros.
Avatar de SimonDecoline SimonDecoline - Membre expérimenté https://www.developpez.com
le 03/03/2018 à 9:57
Citation Envoyé par abriotde Voir le message
Une attaque DDos ne sert pas simplement a mettre HS un service. Il sert surtout a noyer les infrastructures de sécurité. En fait il crée du bruit qui rends HS les analyseur du réseau (MelPot, sniffeur, pare-feu...). Et les pirates en profitent pour mener en parallèle une attaque beaucoup plus difficile qui sinon serait repéré. GitHub représente un enjeux titanesque car il représente la potentialité d'arriver a compromettre un code source de logiciels hyper utiliser. Imaginez que pendant cette attaque vous ayez mis une backdoor très discrète (dont la date de modification est enregistrée comme très ancienne) dans par exemple WordPress... Bien sur ce que je dis est techniquement très difficile mais potentiellement faisable et une attaque DDoS sur Github a sans doute coûté près de 100 000 euros.
Je ne connais pas grand chose à la sécurité mais une attaque DDOS de github pour installer une backdoor dans un dépôt, ça me parait difficile car il faut accéder au dépôt pendant l'attaque malgré l'indispo et les sécurités encore présentes (droit d'accès, etc). Et même si tu arrives à modifier le dépôt principal, ça se verra très vite car il y aura certainement des problèmes lorsqu'un dev se synchronisera, et les sommes de contrôle des releases auront changé ce qui sera vite détecté par les mainteneurs de packages des distribs.
Par contre, une attaque DDOS pour cacher une autre attaque, c'est peut-être l'idée effectivement.
Contacter le responsable de la rubrique Accueil