EDPnet depuis des jours déjà touché par une grave attaque DDoS

© Getty Images

Le fournisseur internet EDPnet est depuis quelques jours déjà la cible d’une sérieuse attaque DDoS exploitant une technique malaisément contournable. Le hacker réclame une rançon, mais l’entreprise refuse de payer.

Les adresses IP d’EDPnet sont agressées depuis mercredi par des volumes allant jusqu’à plus de 250 Gbps. Il en résulte que les clients éprouvent des difficultés à surfer sur internet. Les attaques se manifestent par phases. L’auteur a déjà envoyé quelques mails à l’entreprise pour exiger le versement d’une rançon en bitcoins, mais l’entreprise ne veut pas accéder à sa demande.

Protégé contre les attaques quotidiennes

Ce n’est pas la première fois que le petit opérateur, qui dessert quasiment 45.000 clients, est la victime d’attaques. En septembre de l’année dernière, il dut en effet y faire face, avant de prendre les mesures qui s’imposaient.

‘Nous avons mis en place un système complet et utilisons aussi NaWas’, explique le COO Joachim Slabbaert à Data News. NaWas est l’acronyme de Nationale Wasstraat qui s’oppose aux attaques DDoS. Il s’agit d’une initiative d’opérateurs néerlandais, par laquelle l’énorme trafic ciblant les adresses IP concernées est contourné et filtré. Il en résulte que les adresses IP touchées sont de nouveau accessibles au bout de quelques minutes, même en cas d’attaques DDoS.

L’année passée déjà, cela a porté ses fruits. ‘Les clients retrouvent en effet leur trafic, même si c’est avec du retard. Ils ne sont donc pas inaccessibles, et notre réseau est ainsi délesté. Nous sommes quasiment chaque jour la cible d’une attaque DDoS, sans qu’elle ait vraiment d’impact. Et ce, jusqu’avant-hier’, précise Slababert.

‘Carpet bombing’

L’attaque subie à présent est de type ‘carpet bombing DDoS’. ‘Normalement, une ou deux adresse(s) est(sont) attaquée(s) et une fois que le système fonctionne, tout revient à la normale. Ce qui se passe à présent, c’est que si une adresse IP est sécurisée par NaWas, l’attaque se poursuit sur une autre adresse IP.’

EDPnet dispose de plus de cent mille adresses IP. Slabbaert: ‘Quiconque s’y connait un peu en la matière, peut les retrouver.’ Cette technique est donc nettement plus malaisée à filtrer par les systèmes que l’entreprise a introduits l’année dernière.

Rançon

Aussitôt après l’attaque, EDPnet reçut un mail réclamant le versement d’une rançon en bitcoins. ‘Nous l’avons ignoré. Payer n’a aucun sens, car on peut seulement espérer que cela s’arrête. Et même dans ce cas, qui dit que cela ne va pas recommencer de plus belle la semaine prochaine’, ajoute Slabbaert.

Dans ce mail, le fournisseur est également sommé de ne pas prendre contact avec la FCCU, mais ici non plus, l’opérateur n’a pas tenu compte de la menace. ‘Nous collaborons à présent étroitement avec la FCCU, le CERT et d’autres encore pour voir ce qu’on peut faire. Mais nous ne paierons pas.’ Ces derniers jours, l’auteur a envoyé de nouveaux mails pour réclamer la rançon, même avec un plan de versements.

On ne connaît rien sur son identité. C’est ainsi que le premier mail avait une ligne d’objet en néerlandais, mais un contenu en anglais. L’auteur signale aussi qu’il se trouve dans un pays avec qui la Belgique n’a pas conclu de traité d’extradition. Mais rien n’est certain quant à la véracité de ces propos.

Au moment d’écrire cet article, les attaques DDoS se sont interrompues, mais dans sa dernière communication, l’auteur laissait entendre qu’il relancerait des attaques aujourd’hui même. Entre-temps, EDPnet fait tout pour limiter autant que possible l’impact sur sa clientèle.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire