GitHub est la plus grande plateforme d’hébergement de code source au monde. C’est une ressource essentielle pour des millions de programmeurs, leur permettant de collaborer sur des projets privés ou open source.
Mercredi (28), GitHub a subi la plus grande attaque DDoS jamais enregistrée. Il était de 1,35 térabit par seconde de trafic en utilisant une méthode qui ne nécessite pas de botnet.
Les raisons de l’attaque sont encore inconnues. Après la première vague de 1,3 Tb/s, qui n’a fait tomber le site que pendant six minutes, une deuxième vague de 400 Gb/s est arrivée. Akamai a protégé le site en acheminant le trafic vers des centres de débogage.
Jusqu’alors, la plus grande attaque DDoS avait été enregistrée en 2016. Dyn, l’un des principaux fournisseurs de services DNS, a dû faire face à des pics de 1,2 Tb/s. Cela a provoqué l’instabilité de plusieurs services à l’époque, dont Twitter, Spotify et SoundCloud. Les dommages ont été causés par un botnet conçu pour faire tomber les serveurs de Minecraft.
GitHub a également dû faire face à des attaques DDoS massives. En 2015, la plate-forme a été confrontée à un flot de circulation pendant six jours d’affilée.
On pense que des pirates informatiques chinois sont derrière tout cela. En raison d’un code malveillant, des millions de Chinois chargeaient sans le savoir le dépôt GreatFire.org pour lutter contre la censure, ainsi que le dépôt de l’édition en mandarin du New York Times.
C’est un problème, car GitHub est vital pour de nombreux développeurs. Il compte 20 millions d’utilisateurs et 57 millions de dépôts. Comme le souligne Matteo Gavagnin sur Twitter, il héberge des dépôts dont dépendent la plupart des gestionnaires de paquets ou de dépendances – tels que npm, bower, yarn, gems et cocoapods -.
La plus grande attaque
Comment s’est produite la dernière attaque contre GitHub ? Tout d’abord, vous devez connaître le memcached : il s’agit d’un système de mise en cache distribué utilisé par les serveurs pour accélérer les réseaux et les sites web. Il est conçu uniquement pour les ordinateurs qui ne sont pas exposés à l’internet, car il ne nécessite pas d’authentification.
Cependant, il y a actuellement plus de 50 000 serveurs vulnérables sur Internet, selon Akamai. Le problème est que la façon dont le memcached fonctionne, il peut être utilisé pour des attaques DDoS.
“15 octets de requête peuvent déclencher une réponse de 134 Ko envoyée à la cible. C’est un facteur d’agrandissement de 10 000 fois ! En pratique, nous avons vu qu’une requête de 15 octets se traduisait par une réponse de 750 Ko (soit une amplification de 51 200x)”, explique Cloudflare.
En effet, lorsqu’un système avec le memcached reçoit une demande “get”, il collecte les valeurs demandées dans la mémoire et envoie le tout dans un flux ininterrompu.
Un pirate informatique peut alors pirater un serveur exposé et y placer un gros fichier qu’il demandera ensuite avec la commande “get”. La destination sera l’adresse IP de la cible, qui recevra une quantité absurde de trafic.
Si vous faites cela avec plusieurs serveurs, vous aurez une attaque par déni de service distribué, ou DDoS. C’est ce qui s’est passé avec GitHub.
