Ce n’était pas une attaque orchestrée par des cybercriminels, mais une action de spam mal exécutée qui a provoqué ces derniers jours un pic dans le trafic enregistré chez DNS.be. Voilà ce que déclare le CERT dans une réaction à l’incident. Le Computer Emergency Response Team (CERT) national belge a, à l’entendre, découvert la cause de la surcharge des serveurs chez le gestionnaire des noms de domaine belge DNS.be. Plutôt qu’une attaque coordonnée de la part de pirates, il s’agirait d’une action de spam mal exécutée par quelques botnets situés principalement en Europe de l’Est et en Amérique du Sud.
Ce n’était pas une attaque orchestrée par des cybercriminels, mais une action de spam mal exécutée qui a provoqué ces derniers jours un pic dans le trafic enregistré chez DNS.be. Voilà ce que déclare le CERT dans une réaction à l’incident.
Le Computer Emergency Response Team (CERT) national belge a, à l’entendre, découvert la cause de la surcharge des serveurs chez le gestionnaire des noms de domaine belge DNS.be. Plutôt qu’une attaque coordonnée de la part de pirates, il s’agirait d’une action de spam mal exécutée par quelques botnets situés principalement en Europe de l’Est et en Amérique du Sud.
“Tous semble indiquer que les spammers ont mal configuré leur botnet et ont ainsi surchargé les serveurs de noms .be de requêtes fautives”, déclare Jan Torreele, porte-parole du CERT. “Il ne s’agit donc pas d’une attaque ciblée, mais les conséquences sont identiques, à savoir une surcharge au niveau des serveurs. Nous continuons de toute façon à suivre la situation de près, mais actuellement, tout semble rentrer dans l’ordre.”
Depuis dimanche, DNS.be avait enregistré jusqu’à six fois plus de requêtes sur ses serveurs de noms qu’en moyenne. Philip Du Bois, directeur général de DNS.be, ne pouvait préciser l’origine de l’attaque. Voilà pourquoi il avait fait appel au CERT et à la FCCU (Federal Computer Crime Unit).
Les serveurs de noms de DNS.be ont reçu massivement des demandes d’enregistrements MX liés aux noms de domaine. Ce n’est pas normal, dans la mesure où ces enregistrements se trouvent traditionnellement dans les serveurs de noms des titulaires des noms de domaines mêmes et donc pas chez le TLD en question. Comme les serveurs de noms de DNS.be ne pouvaient donc donner de réponse positive aux demandes, le pourcentage de réponses inconnues a grimpé de 10 à 90 pour cent.
Suite à cette démarche, 2 serveurs de noms .be ont été surchargés pendant quelque quatre heures, ce qui fait qu’ils étaient malaisément, voire pas du tout accessibles. “Nous avons attentivement contrôlé le trafic sur nos 8 serveurs de noms”, explique Du Bois. “Sur une période de 20 minutes, 14.000 adresses IP différentes ont été sollicitées auprès d’un seul serveur de noms. C’est six fois plus que la normale. Nous pensions donc que nous étions la cible d’un ou de plusieurs botnets.”
