Auteur Sujet: OVH visé par une attaque DDoS de 1156 Gb/s (nouveau record) (Lu 9786 fois)

vivien · « **le:** 26 septembre 2016 à 08:39:39 »

L’hébergeur OVH visé par la plus violente attaque DDoS jamais enregistrée (1Tbps)

La société d’hébergement Web française OVH est frappée depuis plusieurs jours par une très violente attaque DDoS atteignant un sommet pharamineux de 1 Tbps. Il s’agit pour le coup de la plus grande attaques DDoS jamais enregistrée sur Internet à ce jour.
CyberGhost VPN

OVH compte parmi les plus importantes société d’hébergement Web du monde. Cependant, le réseau de l’hébergeur Web doit faire face à une gigantesque cyberattaque de type déni de service distribué (DDoS) atteignant un pic de trafic de flood record, encore jamais atteint à ce jour sur Internet : 1 Tbps.

Une attaque DDoS record

Dès jeudi, le fondateur et actuel dirigeant d’OVH, Octave Klaba, a averti de l’attaque massive via Twitter, tout en indiquant l’immense quantité de trafic que les assaillants envoyaient. En effet, les captures d’écran partagées prouvent que les multiples cyberattaques visant OVH ont atteint des pics de trafic respectifs de 1156Gbps puis 901Gbps. Les 1 Tbps ont donc été allègrement dépassé, ce qui constitue un record sans précédent à ce jour dans l’histoire d’Internet.

Mais comment les cybercriminels à l’origine de cette violente attaque s’y sont-ils pris pour envoyer autant de trafic ? Octave Klaba a répondu partiellement à cette question cruciale en expliquant, toujours via son compte Twitter, que les assaillants ont utilisé des objets connectés (Internet des Objets), et plus particulièrement des caméras de surveillance IP pour mener la cyberattaque à l’encontre de l’entreprise (sans toutefois donner la marque des appareils incriminés et non sécurisés) :

This botnet with 145 607 cameras/dvr (1-30Mbps per IP) is able to send >1.5Tbps DDoS. Type: tcp/ack, tcp/ack+psh, tcp/syn.

Bien que OVH ait un système anti-DDoS très avancé, beaucoup de clients ont pu remarquer des crashs inexpliqués sur leur hébergement Web, ce qui n’est pas franchement étonnant au vue de l’envergure de l’attaque très complexe à mitiger…

Rappelons que ce type de cyberattaque est très prisée par les cybercriminels, et vise souvent les entreprises. Par exemple, il y a à peine quelques jours, c’est le blog du journaliste d’investigation en cybercriminalité Brian Krebs (KrebsOnSecurity) qui a été visé par une attaque DDoS de 665 Gbps (l’attaque a fait suite à une dénonciation d’un important opérateur d’attaques DDoS dans un article). Et juste une semaine avant cela, c’était la BBC qui était frappé par une cyberattaque du même type atteignant 600 Gbps. A chaque fois, des objets connectés ont été repérés en masse au sein des botnets ayant mener les attaques massives, peuvent que ce type d’objet n’est pas sécurisé et peut être un redoutable danger pour les infrastructures Web !

Notons que l’intensité de l’attaque a été réduite en amont par Akamai, mais que les attaquants n’ont pas abandonné pour autant et que le site officiel d’OVH a été hors ligne durant un moment.

La faute des objets connectés non sécurisés

L’Internet des objets créer une énorme masse croissante d’objets physiques de toute sorte disposant d’une adresse IP et utilisant le réseau Internet. Or, dans le cas mentionné ci-dessus, les attaquants ont massivement piraté des caméras de surveillance IP pour développer un réseau de zombies capable de lancer une large attaque DDoS et cibler les serveurs d’OVH. Les systèmes de vidéosurveillance sont souvent livrés avec des identifiants et des mots de passe de connexion faibles ou par installés par défaut, pouvant être piraté soit par simple dictionnaire, soit par une légère attaque par force brute. Dans le cas présent, il s’agit d’un immense botnet contenant 145 607 caméras IP détournées !

Il y a quelques mois, des chercheurs en sécurité avaient pointé du doigt le fait que le groupe de pirates informatiques Lizard Squad avait largement exploité les systèmes de vidéosurveillance pour mener d’importantes attaques DDoS. Les cabinets de prévention des attaques DDoS Sucuri et Incapsula ont révélé de leur côté que des dizaines de milliers de caméras de vidéosurveillance connectées dans le monde ont non seulement été piratée, mais aussi transformée botnet DDoS géant. La cause à tout cela est l’authentification très faible à ces dispositifs.

Note : Actuellement, tout est redevenu normal chez OVH.

Source : undernews.fr, le 25 septembre 2016.

vivien · « **Réponse #1 le:** 26 septembre 2016 à 08:51:24 »

Quelle est la marque des caméras de surveillance ?

Fab_38 · « **Réponse #2 le:** 26 septembre 2016 à 10:23:45 »

https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html ?

kgersen · « **Réponse #3 le:** 26 septembre 2016 à 12:59:46 »

Il manque l'info importante: ça ne dit pas qui était visé chez OVH et combien de cibles simultanées cela représente. Vu le nombre de sites chez OVH ca n'est pas étonnant que le flux total d'attaques soit important.

et "145607" c'est affreusement précis comme nombre ...

Je suis toujours dubitatif quand y'a ce genre de news. "A qui profite le crime". Je vois juste du buzz/pub pour OVH d'autant que son PDG communique activement la dessus.

Hugues · « **Réponse #4 le:** 26 septembre 2016 à 13:09:44 »

L'attaque visait des serveurs Minecraft, visiblement.

underground78 · « **Réponse #5 le:** 26 septembre 2016 à 16:32:32 »

Citation de: kgersen le 26 septembre 2016 à 12:59:46

et "145607" c'est affreusement précis comme nombre ...

En quoi c'est étonnant, j'imagine que c'est le nombre d'IP qui ont été repérées par les outils de mitigation d'OVH.

Boris de Bouygues Telecom · « **Réponse #6 le:** 26 septembre 2016 à 17:15:03 »

Ce sont des caméras vendues en France ?

Je ne vois aucune augmentation du trafic Bouygues Telecom => OVH (le trafic dans ce sens est en plus très faible, Bouygues Telecom reçois bien plus de trafic d'OVH qu'il n'en envoie vers OVH)

Je suppose donc que les produits en questions n'étaient pas localisés en France (à moins qu'une autre raison explique que les IP Bouygues n'ont pas participé à l'attaque)

Leon · « **Réponse #7 le:** 26 septembre 2016 à 19:03:13 »

Franchement, quel est l'intérêt de communiquer sur ce genre d'attaque?
* si c'est vrai, OVH montre qu'ils sont à la limite de ce qu'ils peuvent encaisser... Donc cela montre aux hackers qu'il est possible de faire tomber le réseau d'OVH, et surtout ça montre comment le faire. Avouez que c'est idiot.
* si c'est faux, ça sera vite démontré, comme est en train de le faire Boris. Est-ce quel quelqu'un stocke l'historique des weathermaps d'OVH? (comme underground le fait pour Online)

Bref, encore une fois, je me répète, mais je ne comprends pas la communication d'Octave Klaba.

PS: Bon, je crois que je vais devoir regarder MR.ROBOT ce soir pour rester dans le sujet...

Leon.

David75 · « **Réponse #8 le:** 26 septembre 2016 à 19:36:54 »

Sur le HS Mr Robot: attention, entre les approximations de la traduction et certaines conneries vues à l'écran, je suis pas certain que c'est la meilleure série à regarder pour un fibreux....

Optix · « **Réponse #9 le:** 26 septembre 2016 à 19:38:12 »

En fait, précision importante, le groupe qui contrôle le botnet semble segmenter celui-ci par AS. Et ça, ça change tout !

Le premier à en faire les frais, c'est Telefonica Espagne. Ils n'ont pas assez d'interco avec OVH et ça sature et là le DDOS "segmenté" réussi parce que c'est ciblé. Du coup, OVH a tenté de riposter en coupant le PNI, mais là aussi, les autres intercos tirent la tronche (car le DDOS a davantage de place dans le tuyau d'un coup, et ça attaque encore plus fort).

OVH a fait une grosse tâche travaux où ils expliquent cela en détail.

Hugues · « **Réponse #10 le:** 26 septembre 2016 à 19:42:09 »

Citation de: David75 le 26 septembre 2016 à 19:36:54

Sur le HS Mr Robot: attention, entre les approximations de la traduction et certaines conneries vues à l'écran, je suis pas certain que c'est la meilleure série à regarder pour un fibreux....

Faut pas regarder en VF visiblement. Pour le reste, c'est la série la moins "informatico bullshit" que j'ai jamais vue.

Leon · « **Réponse #11 le:** 26 septembre 2016 à 20:02:13 »

Citation de: David75 le 26 septembre 2016 à 19:36:54

Sur le HS Mr Robot: attention, entre les approximations de la traduction et certaines conneries vues à l'écran, je suis pas certain que c'est la meilleure série à regarder pour un fibreux....

Comme je l'ai dit, c'est juste pour se mettre dans l'ambiance. Tant pis si c'est approximatif, ça me va très bien.

Citation de: Optix le 26 septembre 2016 à 19:38:12

OVH a fait une grosse tâche travaux où ils expliquent cela en détail.

Mais quel est l'intérêt de détailler tout ça en public? Quel est l'intérêt de montrer l'ampleur de ses propres défenses, et le type de parades? Les gros transitaires gèrent ce genre de problème, et pour autant, ils ne le montrent pas en public. Ou alors ils en parlent avec plusieurs mois de décalage, le temps d'ajuster leur défense plus un certain délai.

A la guerre, garder ses stratégies secrètes, c'est juste vital. Car c'est bien de guerre dont on parle. Si des hacker (quels qu'ils soient) réussissent à faire tomber régulièrement OVH, vous imaginez les conséquences? C'est combien de dizaines de millions de chiffre d'affaire, OVH? Combien d'emplois directs et indirects? On ne gère pas ce type d'entreprise comme on gère une petite startup, il faut savoir changer d'échelle, y compris en terme de communication vers l'extérieur.

Leon.