Passer au contenu

L’arme secrète d’OVH contre les attaques par déni de service

Pour espérer pouvoir damer le pion aux pirates, l’hébergeur français a développé sa propre technologie qu’il garde jalousement pour lui. Explications.

L’arrivée du malware Mirai en 2016 nous a fait prendre conscience du risque que représentent les objets connectés. Ils sont nombreux et faciles à pirater. Ils représentent donc une cible de choix pour les pirates qui peuvent ainsi se doter d’énormes botnet capables de faire tomber une partie de web par des attaques par déni de service. Celles-ci consistent à saturer un serveur en lui envoyant une grande quantité de requêtes. Face à cette menace, les professionnels de l’Internet sont obligés de réagir. Chez le géant de l’hébergement OVH, qui gère plus de 260.000 serveurs dans le monde, l’heure est à la fortification. D’ici un an, l’hébergeur veut créer une « digue numérique » capable de résister à un flot de 7 terabits/s. Actuellement, le record constaté au niveau des attaques DDoS se situe autour de 1 terabits/s.

Un risque qui va rester et s’amplifier

Il faut dire que pour OVH, cet investissement est une nécessité économique. Tous ses clients profitent par défaut d’une protection anti-DDoS, car un client dont les serveurs ne sont pas accessibles risque forcément d’aller voir ailleurs. Mais le challenge est difficile car les futures attaques seront de plus en plus puissantes et de plus en plus distribuées. « Les débits continuent d’augmenter, tout comme le nombre d’objets connectés, donc d’adresses IP. Les attaques risquent plutôt de s’intensifier de manière exponentielle », estime Stéphane Lesimple, responsable Security operating center chez OVH.

Comment, dans ces conditions, espérer de damer le pion aux pirates? « Pour y arriver, il faut principalement deux choses : une grande capacité d’interconnexion et une grande capacité de filtrage de paquets », explique le responsable. En effet, contrer une attaque DDoS consiste essentiellement à détecter dans le flux  des requêtes celles qui sont malveillantes et à les supprimer. Mais pour cela, l’hébergeur doit déjà être en mesure d’accueillir la totalité des requêtes sur son réseau. « Sinon, cela veut dire que les communications seront bloquées sur les réseaux des autres opérateurs et le serveur qui a été pris pour cible se retrouvera de fait indisponible », poursuit Stéphane Lesimple. Pour éviter cela, OVH doit donc négocier des capacités d’interconnexion suffisamment grandes avec les autres opérateurs, soit au niveau des nœuds d’échange Internet (« peering »), soit par le biais d’accords directs avec les opérateurs de transit. « Cette capacité d’interconnexion représente un coût assez élevé », nous glisse le responsable.

OVH – Stéphane Lesimple, responsable SOC

Des algorithmes maison sur des circuits programmables

Une fois que les requêtes arrivent sur le réseau, il faut séparer le bon grain de l’ivraie. Et pour cela, OVH dispose d’une arme secrète : le « VAC » (diminutif de « vacuum »). Il s’agit d’un système matériel fait maison, basé sur des circuits logiques programmables de type FPGA (Field-programmable gate array), sur lesquels les ingénieurs de l’hébergeur implémentent des algorithmes de filtrage qu’ils ont développés eux-mêmes. « Au début, nous avons utilisé des produits du marché. Mais ils ne sont pas assez flexibles. Les pirates sont malins et trouvent toujours un moyen pour contourner un système de filtrage. Il faut donc constamment pouvoir s’adapter, ce qui n’était pas possible avec ces produits-là. Nous avons donc commencé à créer nos propres solutions. Il n’est pas question, d’ailleurs, de les revendre », explique Stéphane Lesimple.

A ce jour, OVH dispose de trois VAC, répartis à travers le monde. Chacun est capable de traiter un débit de 160 Gbits/s, ce qui représente une capacité de filtrage totale de 480 Gbits/s. D’ici un an, l’objectif est d’avoir une douzaine de VAC, chacun avec une capacité de traitement de 600 Gbits/s, soit un total de 7,2 terabits/s. « En les répartissant à travers le monde, cela nous permet de traiter les attaques là où elles surviennent », souligne le responsable.

Parallèlement à ce déploiement, les ingénieurs vont continuer de décortiquer toutes les nouvelles attaques, et en particulier celles provenant de Mirai et de ses variantes. A l’avenir, il faudra par exemple s’attendre à une augmentation d’attaques provenant des box ADSL. L’infection d’un million de routeurs de Deutsche Telekom en novembre dernier avait donné un avant-goût de cette menace. « Le problème, c’est que ces box ont souvent des adresses IP dynamiques, ce qui rend d’autant plus complexe la détection d’attaques », souligne Stéphane Lesimple. On le voit, le métier d’ingénieur anti-DDoS n’est pas prêt de disparaître.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN