Les horloges d’Internet victimes des abonnés au haut-débit

Aux Etats-Unis et en Australie, des serveurs chargés de donner l’heure exacte aux ordinateurs ont subi des attaques par saturation. En cause, l’insouciance de fabricants de routeurs grands public permettant de partager connexion câble et DSL.

Depuis trois ans, les attaques par déni de service (DDOS), ces tentatives de paralyser des serveurs sous un flot massif de requêtes, sont devenues un des grands fléaux du Web. Mais l’université américaine de Madison, dans le Wisconsin, et l’équivalent australien du CNRS viennent de subir les conséquences d’une variante originale : le DDOS involontaire. Ils sont en effet soumis au bombardement de centaines de milliers de routeurs grand public (destinés à distribuer les données des modems câble et DSL) mal développés par leurs fabricants.

Sont visés ici des « serveurs horloge ». L’université du Wisconsin dispose en effet de serveurs Network Time Protocol (NTP) chargés de donner l’heure exacte aux ordinateurs et autres routeurs. Courant mai, un responsable informatique de cette université constate un accroissement massif du trafic vers son réseau. Et découvre rapidement qu’est visé un serveur NTP auquel sont destinés jusqu’à 150 mégabits par seconde.

Des routeurs qui demandent l’heure toutes les secondes

Une petite enquête lui permet d’identifier le coupable. Ici, pas de pirate adolescent dépassant les cent kilos, mais un fabricant bien établi : Netgear. Et plus particulièrement une nouvelle gamme de routeurs Netgear permettant à un particulier de partager une connexion câble ou DSL.

Ne disposant pas d’horloge interne, ceux-ci ont besoin régulièrement de demander l’heure pour des tâches annexes. Un concept standard très mal exploité par les ingénieurs de Netgear. D’abord parce qu’un seul serveur NTP a été désigné pour répondre à cette requête, celui de l’université du Wisconsin. Ensuite, et surtout, parce chaque routeur reçoit pour instruction de contacter cette machine une fois par seconde tant qu’il n’a pas reçu de réponse.

Puisque le constructeur annonce avoir livré plus de 700 000 de ces produits, ce sont donc au moins 700 000 paquets de données qui peuvent en partir chaque seconde, soit un trafic pouvant atteindre 426 mégabits par seconde.

Confus, Netgear a tenté de régler le problème. Sauf que ses ingénieurs ont eu la bonne idée de graver l’ adresse IP du serveur américain dans l’électronique des routeurs. Appliquer le correctif logiciel, mis à disposition par le constructeur, se révèle alors une manoeuvre périlleuse dans laquelle ne se lanceront que peu d’utilisateurs.

Fataliste, l’université du Wisconsin s’est donc faite à l’idée d’être inondée pendant des années de requêtes NTP. Des solutions sont envisagées mais toutes, comme sacrifier le bloc d’adresses IP autour du serveur visé, se révèleront coûteuses.

Plus surprenant, le cas américain n’est pas isolé. Selon Australian IT, le CSIRO, version locale du CNRS, a subi récemment le même désagrément. Cette fois, les routeurs de la société SMC seraient en cause. Une solution, brutale, a été trouvée : interdire l’accès aux serveurs NTP du CSIRO à toute requête ne provenant pas d’Australie. Ne reste plus qu’à espérer que les serveurs NTP français n’auront pas à subir de telles attaques.

[source – 01net.com] Ludovic Nachury