SFR, Bouygues (et d’autres FAI de plus petite taille), ont vu leurs services d’accès fixe à Internet fortement dégradés mardi 1er septembre en fin de journée.

Des milliers d’abonnés ont signalé simultanément des pannes d’accès pour se connecter sur des sites web, relever leurs emails, etc. dans la France entière, et ce, pendant plusieurs heures : il s’agissait d’une attaque DDOS sur les serveurs DNS des FAI, de grande ampleur, confirmée par SFR et Bouygues Telecom aujourd’hui.

Orange et Free semblent avoir été épargnés en partie (pas à cause d’un antiddos miracle, mais par le fait que les box Orange et Free font du cache DNS local… pas forcément idiot, sauf en cas d’entrée dns invalide, obligeant parfois le redémarrage de la box).

Cette attaque n’a pas été annoncée par un groupe, mais elle démontre une fois encore les risques des colosses au pieds d’argile de nos opérateurs, même avec une infrastructure réseau normalement éprouvée.
La technique de modification du source IP UDP avec une amplification des requêtes DNS a permis de faire des points de trafic d’environ 280 Gb/s, ce qui est énorme.

Stéphane Bortzmeyer, spécialiste reconnu des réseaux et architecte de celui de l’Afnic, précise en plus le risque pour nos données personnelles : « comme d’habitude, à chaque panne, cela a amené de nombreux utilisateurs à migrer vers les résolveurs DNS des GAFA, d’où ils ne reviendront probablement pas. ».

A noter qu’il existe une solution, pouvant grandement mitiger (limiter) ce type d’attaque, BCP 38, un ensemble de bonne pratiques, assez logiques, permettant de ne pas autoriser à sortir de son réseau des paquets ayant une adresse IP source usurpée (spoofing).

Chez ICODIA, BCP 38 est mis en place et analysé, afin de remonter d’éventuelles tentatives d’usurpation, sur nos routeurs BGP ; il est toujours dommage de constater, comme pour d’autres techniques, que son utilisation massive limiterait énormément les attaques…