La Fibre
Hébergeurs et opérateurs pro / entreprises => Hébergeurs et opérateurs pro / entreprises => 
OVHcloud => Discussion démarrée par: vivien le 26 septembre 2016 à 08:39:39
-
L’hébergeur OVH visé par la plus violente attaque DDoS jamais enregistrée (1Tbps)
La société d’hébergement Web française OVH est frappée depuis plusieurs jours par une très violente attaque DDoS atteignant un sommet pharamineux de 1 Tbps. Il s’agit pour le coup de la plus grande attaques DDoS jamais enregistrée sur Internet à ce jour.
CyberGhost VPN
OVH compte parmi les plus importantes société d’hébergement Web du monde. Cependant, le réseau de l’hébergeur Web doit faire face à une gigantesque cyberattaque de type déni de service distribué (DDoS) atteignant un pic de trafic de flood record, encore jamais atteint à ce jour sur Internet : 1 Tbps.
Une attaque DDoS record
Dès jeudi, le fondateur et actuel dirigeant d’OVH, Octave Klaba, a averti de l’attaque massive via Twitter, tout en indiquant l’immense quantité de trafic que les assaillants envoyaient. En effet, les captures d’écran partagées prouvent que les multiples cyberattaques visant OVH ont atteint des pics de trafic respectifs de 1156Gbps puis 901Gbps. Les 1 Tbps ont donc été allègrement dépassé, ce qui constitue un record sans précédent à ce jour dans l’histoire d’Internet.
Mais comment les cybercriminels à l’origine de cette violente attaque s’y sont-ils pris pour envoyer autant de trafic ? Octave Klaba a répondu partiellement à cette question cruciale en expliquant, toujours via son compte Twitter, que les assaillants ont utilisé des objets connectés (Internet des Objets), et plus particulièrement des caméras de surveillance IP pour mener la cyberattaque à l’encontre de l’entreprise (sans toutefois donner la marque des appareils incriminés et non sécurisés) :
This botnet with 145 607 cameras/dvr (1-30Mbps per IP) is able to send >1.5Tbps DDoS. Type: tcp/ack, tcp/ack+psh, tcp/syn.
Bien que OVH ait un système anti-DDoS très avancé, beaucoup de clients ont pu remarquer des crashs inexpliqués sur leur hébergement Web, ce qui n’est pas franchement étonnant au vue de l’envergure de l’attaque très complexe à mitiger…
(https://lafibre.info/images/ovh/201609_ddos_ovh.jpg)
Rappelons que ce type de cyberattaque est très prisée par les cybercriminels, et vise souvent les entreprises. Par exemple, il y a à peine quelques jours, c’est le blog du journaliste d’investigation en cybercriminalité Brian Krebs (KrebsOnSecurity) qui a été visé par une attaque DDoS de 665 Gbps (l’attaque a fait suite à une dénonciation d’un important opérateur d’attaques DDoS dans un article). Et juste une semaine avant cela, c’était la BBC qui était frappé par une cyberattaque du même type atteignant 600 Gbps. A chaque fois, des objets connectés ont été repérés en masse au sein des botnets ayant mener les attaques massives, peuvent que ce type d’objet n’est pas sécurisé et peut être un redoutable danger pour les infrastructures Web !
Notons que l’intensité de l’attaque a été réduite en amont par Akamai, mais que les attaquants n’ont pas abandonné pour autant et que le site officiel d’OVH a été hors ligne durant un moment.
La faute des objets connectés non sécurisés
L’Internet des objets créer une énorme masse croissante d’objets physiques de toute sorte disposant d’une adresse IP et utilisant le réseau Internet. Or, dans le cas mentionné ci-dessus, les attaquants ont massivement piraté des caméras de surveillance IP pour développer un réseau de zombies capable de lancer une large attaque DDoS et cibler les serveurs d’OVH. Les systèmes de vidéosurveillance sont souvent livrés avec des identifiants et des mots de passe de connexion faibles ou par installés par défaut, pouvant être piraté soit par simple dictionnaire, soit par une légère attaque par force brute. Dans le cas présent, il s’agit d’un immense botnet contenant 145 607 caméras IP détournées !
Il y a quelques mois, des chercheurs en sécurité avaient pointé du doigt le fait que le groupe de pirates informatiques Lizard Squad avait largement exploité les systèmes de vidéosurveillance pour mener d’importantes attaques DDoS. Les cabinets de prévention des attaques DDoS Sucuri et Incapsula ont révélé de leur côté que des dizaines de milliers de caméras de vidéosurveillance connectées dans le monde ont non seulement été piratée, mais aussi transformée botnet DDoS géant. La cause à tout cela est l’authentification très faible à ces dispositifs.
Note : Actuellement, tout est redevenu normal chez OVH.
Source : undernews.fr (https://www.undernews.fr/hacking-hacktivisme/lhebergeur-ovh-vise-par-la-plus-violente-attaque-ddos-jamais-enregistree-1tbps.html), le 25 septembre 2016.
-
Quelle est la marque des caméras de surveillance ?
(https://lafibre.info/images/ovh/201609_ddos_ovh_botnet.png)
-
https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html ? :)
-
Il manque l'info importante: ça ne dit pas qui était visé chez OVH et combien de cibles simultanées cela représente. Vu le nombre de sites chez OVH ca n'est pas étonnant que le flux total d'attaques soit important.
et "145607" c'est affreusement précis comme nombre ...
Je suis toujours dubitatif quand y'a ce genre de news. "A qui profite le crime". Je vois juste du buzz/pub pour OVH d'autant que son PDG communique activement la dessus.
-
L'attaque visait des serveurs Minecraft, visiblement.
-
et "145607" c'est affreusement précis comme nombre ...
En quoi c'est étonnant, j'imagine que c'est le nombre d'IP qui ont été repérées par les outils de mitigation d'OVH.
-
Ce sont des caméras vendues en France ?
Je ne vois aucune augmentation du trafic Bouygues Telecom => OVH (le trafic dans ce sens est en plus très faible, Bouygues Telecom reçois bien plus de trafic d'OVH qu'il n'en envoie vers OVH)
Je suppose donc que les produits en questions n'étaient pas localisés en France (à moins qu'une autre raison explique que les IP Bouygues n'ont pas participé à l'attaque)
-
Franchement, quel est l'intérêt de communiquer sur ce genre d'attaque?
* si c'est vrai, OVH montre qu'ils sont à la limite de ce qu'ils peuvent encaisser... Donc cela montre aux hackers qu'il est possible de faire tomber le réseau d'OVH, et surtout ça montre comment le faire. Avouez que c'est idiot.
* si c'est faux, ça sera vite démontré, comme est en train de le faire Boris. Est-ce quel quelqu'un stocke l'historique des weathermaps d'OVH? (comme underground le fait pour Online) (https://lafibre.info/online/online-trafic-sortant-via-cogent/msg372278/#msg372278)
Bref, encore une fois, je me répète, mais je ne comprends pas la communication d'Octave Klaba.
PS: Bon, je crois que je vais devoir regarder MR.ROBOT ce soir pour rester dans le sujet... ;)
Leon.
-
Sur le HS Mr Robot: attention, entre les approximations de la traduction et certaines conneries vues à l'écran, je suis pas certain que c'est la meilleure série à regarder pour un fibreux.... :D
-
En fait, précision importante, le groupe qui contrôle le botnet semble segmenter celui-ci par AS. Et ça, ça change tout !
Le premier à en faire les frais, c'est Telefonica Espagne. Ils n'ont pas assez d'interco avec OVH et ça sature et là le DDOS "segmenté" réussi parce que c'est ciblé. Du coup, OVH a tenté de riposter en coupant le PNI, mais là aussi, les autres intercos tirent la tronche (car le DDOS a davantage de place dans le tuyau d'un coup, et ça attaque encore plus fort).
OVH a fait une grosse tâche travaux où ils expliquent cela en détail.
-
Sur le HS Mr Robot: attention, entre les approximations de la traduction et certaines conneries vues à l'écran, je suis pas certain que c'est la meilleure série à regarder pour un fibreux.... :D
Faut pas regarder en VF visiblement. Pour le reste, c'est la série la moins "informatico bullshit" que j'ai jamais vue.
-
Sur le HS Mr Robot: attention, entre les approximations de la traduction et certaines conneries vues à l'écran, je suis pas certain que c'est la meilleure série à regarder pour un fibreux.... :D
Comme je l'ai dit, c'est juste pour se mettre dans l'ambiance. Tant pis si c'est approximatif, ça me va très bien.
OVH a fait une grosse tâche travaux où ils expliquent cela en détail.
Mais quel est l'intérêt de détailler tout ça en public? Quel est l'intérêt de montrer l'ampleur de ses propres défenses, et le type de parades? Les gros transitaires gèrent ce genre de problème, et pour autant, ils ne le montrent pas en public. Ou alors ils en parlent avec plusieurs mois de décalage, le temps d'ajuster leur défense plus un certain délai.
A la guerre, garder ses stratégies secrètes, c'est juste vital. Car c'est bien de guerre dont on parle. Si des hacker (quels qu'ils soient) réussissent à faire tomber régulièrement OVH, vous imaginez les conséquences? C'est combien de dizaines de millions de chiffre d'affaire, OVH? Combien d'emplois directs et indirects? On ne gère pas ce type d'entreprise comme on gère une petite startup, il faut savoir changer d'échelle, y compris en terme de communication vers l'extérieur.
Leon.
-
parce que ca fait de la pub :)
Mik
-
Je pense que c'est aussi le côté geek d'Octave Klaba, qui aime bien rapporter ce genre de détails techniques, surtout quand c'est exceptionnel, et que cela met en évidence la techno OVH : "Voyez, on est capable de dénombrer le nombre d'attaquants à l'unité, même quand ils sont plus de 100.000".
Sinon, c'est plutôt original cette histoire d'attaques par des caméras IP. On avait l'habitude d'entendre parler de botnets de PCs. Mais c'est vrai que les caméras IP sont des candidats idéaux pour ce genre d'attaque DDOS : elles doivent bénéficier d'un bon débit pour transmettre leurs videos, et elles sont en ligne 24h/24. C'est quand même étonnant qu'elles soient directement sur Internet pour être ainsi hackées. Mais cela pose aussi le problème de la mise à jour des firmwares de ces objets, comme beaucoup d'autres, qui sont souvent abandonnés dans leur coin.
-
A la guerre, garder ses stratégies secrètes, c'est juste vital. Car c'est bien de guerre dont on parle. Si des hacker (quels qu'ils soient) réussissent à faire tomber régulièrement OVH, vous imaginez les conséquences? C'est combien de dizaines de millions de chiffre d'affaire, OVH? Combien d'emplois directs et indirects? On ne gère pas ce type d'entreprise comme on gère une petite startup, il faut savoir changer d'échelle, y compris en terme de communication vers l'extérieur.
On dirait bien qu'OVH est vraiment sûr de sa capacité à contenir une attaque même de grande envergure. Celle-ci, en étant le record mondial en la matière (ce qui n'est pas rien), permet à OVH de communiquer :
-Au grand public et aux clients qu'ils sont l'opérateur qui a prouvé la plus grande résistance aux attaques DDoS (les autres peuvent aussi avoir une très bonne capacité de mitigation, mais ils ne l'ont pas prouvé en situation réelle à pleine capacité) avec finalement très peu de dégâts collatéraux. Ça permet en plus d'oublier le DOS non distribué d'il y a quelques temps depuis telefonica
-Aux pirates (pourquoi les gens s'évertuent de dire hacker? Ce n'est pas ça un hacker! >:( ), pour dire : "Vous voyez, vous y mettez tous vos moyens et vous n'y arrivez pas !"
Pour moi c'est un très bon coup de com' de la part d'OVH, un peu comme quand ils s'étaient faits connaître pour héberger wikileaks
PS : Par contre, ça montre le danger de l'explosion des objets connectés, réalisés à l'économie avec du code fait à la va-vite et avec une sécurité quasi inexistante.
-
Du code pompé/collé n'importe comment en effet.
-
Voici la comm d'OVH du 3 décembre 2010 sur wikileaks. Moi ce qui me gène, c'est que Octave, dit qu'ils n'ont rien fait, que tout est automatisé. Je veux bien que le client ait commandé son serveur sans demander l'avis d'OVH, mais ensuite OVH a fait des modifs. A l'époque les routeurs répondaient toujours à l'ICMP, mais lors d'un traceroute vers le site Wikileaks d'OVH aucun routeur ne répondait.
Pour moi, OVH a blindé la sécurité, voir isolé le serveur Wikileaks, ce qui est une très bonne idée. [a l'époque le site était régulièrement attaqué par de grosses attaques, que l'on soupçonne d'être commanditées par les USA]
Beaucoup d'hébergeurs auraient refuser d'héberger wikileaks, bravo à OVH sur ce point.
Bonjour,
Comme vous savez certainement, le site wikileaks est hébergé sur nos infrastructures depuis hier très tôt le matin. Il s’agit d’un client qui a commandé un serveur dédié, avec les blocs RIPE et de protections contre les attaques. Sa facture payée par CB s’élève à moins de 150euro. Et donc il héberge le site wikileaks. Juridiquement parlant Ovh n’est pas l’hébergeur de ce site. Ovh est, juste, le prestataire technique de la solution technique que le client a commandé.
Bref, l’histoire est banale et quotidienne. Le système est totalement automatique et fonctionne 24 heures sur 24. Nous avons découvert comme vous tous que ce site est chez nous hier ... dans la presse.
Ovh n’est ni pour ni contre ce site. La question hors sujet pour nous. Ovh est une entreprise qui fournit les infrastructures, le fameux cloud computing disponible en quelques heures ..., et notre rôle est d’assurer cette prestation technique. C’est tout. On n’a pas demandé d’héberger ce site ou ne pas l’héberger. Maintenant qu’il est chez nous on assure le contrat. C’est notre boulot. Il est fonctionnel.
Compte tenu de dernières déclarations politiques, et de pressions qui commencent réellement à se sentir, même ici à Roubaix Valley, nous avons décidé de saisir le juge en référé afin qu’il se prononce sur la légalité ou pas de ce site sur le territoire français. Ce n’est pas au monde politique ni à Ovh de demander ou de décider la fermeture ou pas d’un site mais à la justice. C’est comme que ça doit marcher dans un pays de droit.
Nous espérons que le juge donnera sa décision avant ce soir ou demain. Et Ovh appliquera la décision immédiatement.
Amicalement
Octave
Par exemple l'hébergeur PUSH IT UP à coupé le site http://www.jaimelesartistes.fr/ dès que le ministère de la culture à lancé un défit aux hackers pour faire tomber le site :
Ça sert à quoi d’ouvrir un site uniquement pour être un punshing ball à tous ceux qui n’acceptent pas qu’on puisse débattre ? Donc on a fait un site d’information plutôt que de débats parce que le débat n’est pas possible avec un certain nombre de représentants autoproclamés, et adversaires de la loi. Là le site a été attaqué quatre fois la nuit dernière, toutes les vidéos ont été ouvertes en même temps pour faire exploser le serveur. Mais ils peuvent toujours attaquer, le site est super blindé.
Accessoirement ils ont oublié de renouveler le nom de domaine et il est passé de l'autre coté moins d'un an après son lancement...
-
reportage vidéo du 30/09/2016 dans le 19/20 nord pas de calais c'est au debut
http://france3-regions.francetvinfo.fr/nord-pas-de-calais/emissions/jt-1920-nord-pas-de-calais