DDoS : Cedexis suspecte une attaque d’un botnet IoT [MAJ]

« Nous avons subi trois grosses salves », commente Julien Coulon. Le fondateur de Cedexis est revenu sur l’attaque DDoS qui a fait tomber une partie de son réseau hier, mercredi 10 mai, dans l’après-midi. « La première a été absorbée sans difficulté, poursuit le dirigeant, la deuxième a été plus difficile à contrer et la troisième a été très violente. »

Et même fatale. Plusieurs sites qui exploitent les services d’optimisation des connexions du fournisseur sont restés inaccessibles pendant près d’une heure. Parmi ceux-là, des sites de presse (Le Monde, L’Équipe, Le Parisien, Le Figaro, France TV, l’Obs, 20 Minutes…), de commerces en ligne (Rue du Commerce, Top Achat…) et d’entreprises (Hermès, Longchamp…). Au total, « une bonne centaine de sites », nous confie le dirigeant. Le réseau de Cedexis était rétabli dans la soirée.

75 fois la charge d’une journée

Rappelons que Cedexis propose un service visant à assurer la meilleure connexion possible aux sites en mesurant en permanence l’état du réseau et en proposant la meilleure route possible pour assurer le transfert des données à un instant T. Qualifié « d’aiguilleur du Net », le service est assuré par une infrastructure de 106 datacenter et apprécié par quelque 4 millions de sites dans le monde. Ce modèle qui centralise ainsi l’accès à un grand nombre de supports n’a pas manqué d’attirer l’intérêt des cybercriminels.

Selon Julien Coulon, l’infrastructure de Cedexis « a reçu en une heure 75 fois ce que nous recevons en une journée ». Le dirigeant ne souhaite pas entrer dans les détails de la charge pour ne « pas donner trop d’informations aux hackeurs ». Mais il a pu identifier l’origine de l’attaque. Elle proviendrait d’Asie. Et, qui plus est, d’objets connectés, probablement des caméras IP infectées, selon lui.

Origine asiatique

Comment en arrive-t-il à cette première conclusion ? « Nous avons identifié 6,5 millions de nouvelles adresses IP sur le milliard que nous traitons quotidiennement, explique le dirigeant. Ce sont des IP inconnues [de notre base], elles ne proviennent pas de navigateurs. Personne ne peut créer un tel volume d’adresses, donc elles proviennent probablement d’un réseau d’objets connectés, certainement des caméras, qui n’ont rien à faire sur le réseau de Cedexis. »

La motivation des assaillants reste pour l’heure à déterminer.  « On est dans le radar car on est devenu un acteur clé de l’Internet. Mais peut-être que l’attaque visait précisément un de nos clients. On cherche », assure le responsable qui reconnaît avoir subi la plus grosse attaque de toute sa carrière. La rançon de la gloire, en quelque sorte.

Mise à jour : Nous avions initialement titré l’article sur une demande de rançon qui aurait été à l’origine de l’attaque. « C’est faux », nous a assuré notre interlocuteur. Qui nous explique que, comme c’est souvent le cas quand le réseau connaît des dysfonctionnements, des individus profitent de l’occasion pour essayer de monnayer des informations sur de potentielles vulnérabilités de l’infrastructure. « On attend alors qu’ils montrent patte blanche et, comme généralement il n’y a rien derrière, l’affaire s’arrête là », nous a expliqué Julien Coulon. C’est ce qui s’est passé lorsque nous étions échangions avec lui précédemment et que nous avons interprété comme une demande de rançon. Dont acte.

Lire également
Julien Coulon, Cedexis : « La France s’est endormie sur les lauriers de l’ADSL»
Attaques DDoS : une facture moyenne de 2,5 M$ pour les entreprises
IoT : plus de 100 000 caméra IP infectées par le malware Persirai