La cyberattaque qui a perturbé le bon fonctionnement de Roularta – et donc aussi de Data News – en début de semaine était une attaque de type DDoS-as-a-Service: ‘Elle a été payée par quelqu’un’, déclare Jeroen Mouton, chief operating officer chez Roularta.
Un jeu du chat et de la souris avec des cyber-agresseurs a perturbé hier le bon fonctionnement de Roularta, l’éditeur de Knack, Trends et Libelle notamment, mais aussi de Data News. Selon le COO de Roularta, Jeroen Mouton, il s’agissait d’une attaque DDoS (Distributed Denial of Service) extrêmement complexe, par laquelle les serveurs ont été continuellement soumis à du trafic intense et ont donc été surchargés. ‘Lors des moments de pic, nous avons dû traiter 3 millions d’appels entrants par seconde, contre quelques milliers en temps normal’, déclare Mouton.
Le CCB a été le premier à découvrir l’attaque
C’est à 8H20’ que les premiers signaux ont révélé qu’il y avait un problème sous la forme d’un retard sur le réseau interne. Alors que le service IT interne en recherchait la cause et dénicha très vite les traces d’une éventuelle cyberattaque, Roularta fut contacté par le CCB, le Centre pour la Cybersécurité Belgique. Le CCB avait en effet découvert une importante attaque réseautique coordonnée lancée sur le domaine Roularta.be et sur les adresses IP sous-jacentes. ‘Le CCB était aussitôt certain qu’il s’agissait d’une attaque DDoS-as-a-Service, à savoir une attaque DDoS exécutée sur commande et qu’un commanditaire a payée’, apprend-on. Les sites d’actualité mêmes sont en grande partie restés hors d’atteinte: l’attaque ciblait vraiment le réseau interne, mais eut certes un effet de retombée externe. L’authentification via MijnMagazines n’était par exemple plus possible.
Les agresseurs s’adaptent continuellement
Toutes les mesures internes possibles ont été prises pour repousser l’attaque, comme l’affinement des filtres sur le trafic de données entrant. ‘Initialement, il s’agissait d’une attaque en provenance des Etats-Unis. Nous avons adapté les filtres de géolocalisation, ce qui maintint ce trafic à l’extérieur et entraîna une normalisation de la situation. Mais à peine 20 minutes plus tard, nous avons été soudainement soumis à des attaques émanant du Canada et de la France’, affirme Mouton. Ce qui s’ensuivit, fut un jeu du chat et de la souris avec les agresseurs, qui dura toute la journée. ‘Les agresseurs changeaient aussi constamment de méthode, dès qu’ils détectaient la façon dont nous tentions de les contrer. A un moment donné, nous avions bloqué tout le trafic, à l’exception de la Belgique et des Pays-Bas, après quoi 20 minutes plus tard, les attaques émanèrent subitement de ces deux pays.’
L’IT-partner Proximus, co-responsable du trafic réseau entrant, et les autres partenaires NTT et The Collective ont tout mis en œuvre pour intercepter le trafic agressif et pour le détourner. ‘Et nos propres équipes ont elles aussi fait le maximum toute la journée pour limiter l’impact’, ajoute Mouton.
Le hub Internet belge BNIX s’arme contre les DDoS
Pas d’attaque sous-jacente
On sait qu’une attaque DDoS sert aussi souvent d’écran de fumée à une véritable tentative de piratage ou à la mise en place possible d’un ransomware (rançongiciel) par exemple. Une attaque DDoS vise alors la porte d’entrée, alors que les hackers entrent par la cave, façon de parler. Selon le COO de Roularta, tel ne semblait pas être le cas ici. ‘Nous n’avons pas constaté de traces de tentative d’effraction ou de ransomware’, affirme-t-il résolument. Somme toute, les dommages sont restés relativement limités. Le fait est cependant que suite à l’attaque, le magazine Knack arrivera un peu plus tard que d’habitude chez la moitié des abonnés.
Entre-temps, la situation s’est normalisée. ‘L’attaque s’est arrêtée hier soir’, ajoute encore Mouton. Des leçons ont déjà été tirées par Roularta, selon lui: ‘Comme le fait de simuler plus souvent une cyberattaque comme une sorte d’exercice d’incendie. Ce n’est que quand cela brûle vraiment qu’on prend soudainement conscience que l’exercice précédent remontait trop loin dans le temps. Et cela implique alors souvent de petites choses comme des données de contact désuètes de partenaires, mais qu’il faut absolument éviter.’
Cinquième jour de cyberattaques contre des sites d’institutions belges et de médias