La semaine dernière, le service d’accès à Internet fixe de SFR et Bouygues Telecom est resté indisponible durant plusieurs heures. La faute à une attaque informatique sur laquelle nous revenons plus en détail aujourd’hui.
Ce sont les serveurs DNS (Domain Name System) de plusieurs opérateurs qui ont été affectés. « Les serveurs DNS sont utilisés par toutes les entreprises. C’est un peu comme s’ils jouaient le rôle d’un annuaire téléphonique. Ils traduisent le nom de domaine d’un site web en adresse IP pour lui parler. Ils ont donc un rôle clef d’aiguilleurs. Ils figurent bien souvent dans le Top 3 des applications critiques pour les fournisseurs d’accès à Internet », nous explique Ronan David, responsable de la stratégie d’Efficient IP. C’est une société française qui fournit des serveurs DNS avec des solutions de protection logicielles intégrées et qui compte comme clients des acteurs comme Orange, Three ou Vodafone.
Les serveurs DNS sont particulièrement vulnérables
Vous utilisez par défaut les serveurs DNS d’un opérateur lorsque vous êtes abonnés à son service d’accès à Internet fixe. D’où l’impossibilité de se connecter pour la plupart des clients SFR et Bouygues Telecom mardi dernier. Ils auraient pourtant pu se connecter à d’autres serveurs DNS, comme ceux de Google ou d’un autre opérateur, en paramétrant la connexion réseau de leur box. Car les serveurs DNS sont prêts en permanence à communiquer avec tout un chacun. Et c’est bien ce qui fait leur faiblesse. « Comme ils sont par définition très ouverts, ils sont aussi très vulnérables. Ils représentent donc des cibles privilégiées pour les hackers », précise Ronan David. Ce qui explique qu’une entreprise sur quatre ait subi une attaque DNS (réussie ou non) en 2019, d’après un rapport mené par Efficient IP en partenariat avec IDC.
Si ce type d’agression est courant chez les FAI, l’agression a été jugée particulièrement virulente par SFR et Bouygues Telecom. D’après les informations de l’organisation de protection anti-DDos néerlandaise NBIP, l’attaque DDos (ou par déni de service) a aussi touché d’autres FAI en Belgique et aux Pays-Bas. Elle a relevé des pics volumétriques de près de 300 Gbit/s en volume. Un niveau très au-dessus de la moyenne. « Le volume de 89% des attaques DNS de type DDos se situe en-dessous de 50 Gbit/s. Là, c’était jusqu’à 300 Gbit/s, soit six fois plus que d’habitude. C’est complètement atypique », nous confirme Ronan David.
Des questions en suspens
Il s’agissait notamment d’une attaque par réflexion. « Dans le cas d’une attaque DNS de type DDos par amplification, il y a une cible, le serveur DNS, et puis il y a de la réflexion, c’est-à-dire que l’on se sert d’autres serveurs DNS pour amplifier les attaques et submerger le serveur cible de requêtes pour qu’il ne soit plus disponible », détaille Ronan David.
Les serveurs DNS d’autres FAI ont-ils servi à amplifier l’attaque ? SFR et Bouygues Telecom ont-ils été visés spécifiquement ou leur panne est-elle un dommage collatéral d’une plus vaste opération ? Mystère. Mais cette perspective serait redoutable pour tous les opérateurs. Free, qui n’a pas été touché, nous avait d’ailleurs confié rester extrêmement vigilant à ce sujet.
Reste également une autre énigme : qui sont les agresseurs ? Plusieurs hypothèses peuvent être avancées. Il pourrait d’un gang crapuleux… A moins que l’objectif était politique : tester les communications et faire tomber une passerelle Internet. Dans ce cas, il pourrait s’agir de puissances étrangères hostiles.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.