Tutanota est un fournisseur de messagerie chiffrée allemand revendiquant deux millions d’utilisateurs. Le service est fréquemment comparé à celui de Protonmail. Dimanche 13 septembre, de nombreux utilisateurs ont eu du mal à accéder à leurs e-mails. En cause ? L’attaque DdoS qui a perturbé les systèmes du service et la contre-mesure mise en place pour protéger le service. « Bien que nous ayons pu atténuer l’essentiel de l’attaque DdoS, un blocage IP excessif pour lutter contre les attaques a conduit des centaines d’utilisateurs à ne pas pouvoir accéder à Tutanota pendant plusieurs heures ce dimanche », expliquent-ils dans un post de blog.
Tutanota est la cible d’attaques DdoS récurrentes depuis le mois d’août. Un premier post sur le blog faisait état d’une première attaque au 15 août, et ces attaques ont depuis continué, prenant une nouvelle ampleur dans le courant du mois de septembre. Chaque semaine, Tutanota fait le point sur les attaques ayant visé son service et explique la stratégie mise en œuvre pour les contrer.
Les premières attaques visaient directement les serveurs de Tutanota. « Le samedi 15 août, une attaque DDoS sophistiquée et exploitant des vecteurs multiples a été lancée contre Tutanota, ce qui a entraîné un temps d’arrêt de tous les serveurs. Au cours de cette attaque, aucune donnée n’a été perdue ou volée. » Ces attaques n’étaient pas assorties de demandes de rançon et les attaquants n’ont pas pris contact avec le service de messagerie. La société a de toute façon indiqué dès le départ qu’elle refuserait de payer une éventuelle rançon. Pour les fondateurs de Tutanota, cela indique que l’objectif des attaquants est d’empêcher l’accès au service de Tutanota et aux services d’e-mails sécurisés que la société propose.
Chiffrer ou trier, il faut se décider
Tutanota explique que le choix d’une solution anti-DdoS traditionnelle est compliquée dans son cas de figure : de nombreuses solutions nécessitent en effet la mise en place d’un déchiffrement du trafic SSL, ce qui permet d’identifier et de caractériser le trafic afin de rejeter les paquets malveillants envoyés par les attaquants et de laisser passer les paquets légitimes des utilisateurs. C’est cette logique qui les a conduit à mettre en place leur propres outils de défense anti-DdoS. « Comme nous sommes un service axé sur la confidentialité, nous ne pouvons pas simplement cacher notre application derrière des services d’atténuation qui nécessitent notre clé SSL pour leur service. C’est le défi de créer un service de messagerie sécurisée et respectueux de la confidentialité », explique Matthias Pfau, fondateur de Tutanota.
Tutanota explique avoir choisi de travailler avec le prestataire Level11, qui propose une solution ne nécessitant pas de déchiffrer le trafic SSL de ses utilisateurs. « Jusqu’à présent, nous avons réussi à atténuer les attaques DdoS sans partager nos certificats SSL, et nous prévoyons de continuer à le faire afin de protéger votre vie privée », indiquait la société dans un post de blog daté du 14 septembre.
Cet exercice d’équilibriste ne se fait néanmoins pas sans heurts. « Ce week-end, cependant, nous avons commis une erreur en améliorant le système d’atténuation DdoS. Cette erreur a conduit à une réaction excessive du système anti-DdoS, qui a ensuite conduit au blocage de l’IP de plusieurs utilisateurs normaux. En conséquence, des centaines d’utilisateurs n’ont pas pu accéder à Tutanota dimanche dernier, même si Tutanota était en ligne et accessible pour le reste des utilisateurs », explique la société.
Les DNS s’emmêlent
Malgré les dégâts collatéraux, les mesures mises en œuvre par Tutanota ont permis de pousser les attaquants à changer de tactique. Comme l’indique la société dans un post de blog daté du 17 septembre, les attaquants ont choisi de s’en prendre ensuite aux infrastructures DNS utilisées par Tutanota. « Après plusieurs attaques directes contre Tutanota, l’attaquant a visé hier deux fournisseurs qui hébergent les enregistrements DNS de Tutanota. En conséquence, ces fournisseurs ont été rendus inaccessibles. Nous avons rapidement essayé de mettre à jour nos enregistrements DNS et de les héberger chez un autre fournisseur. Cela n’a pas fonctionné au départ car les entrées DNS ont été verrouillées chez l’un de nos fournisseurs d’hébergement DNS », explique la société. Le problème a finalement été résolu et Tutanota a pu migrer son service vers un nouveau fournisseur de DNS plus robuste, capable d’encaisser le volume des attaques.
Des problèmes de connexion ont persisté pour certains utilisateurs. « Les problèmes qui subsistent actuellement sont causés par la mise en cache et la propagation : les serveurs DNS ne demande pas de mise à jour tant que l’ancienne entrée DNS n’a pas expiré. Certains serveurs ont mis en cache d’anciens serveurs de noms pendant la période de verrouillage de notre domaine. » Tutanota explique que ces problèmes sont résolus mais admet que les changements de DNS ont pu conduire à la perte de certains e-mails reçus par les utilisateurs pendant l’attaque DdoS. Le service est de nouveau accessible depuis le jeudi 17 septembre.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "http://connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));