La messagerie chiffrée subie depuis maintenant deux jours une série d’attaques DDoS particulièrement virulentes. Si l’entreprise suisse a d’abord impliqué un groupe « en lien avec la Russie », la réalité est bien moins « jamesbondesque » : les attaquants sont simplement des cybercriminels passablement énervés par un tweet vaniteux du CTO de Protonmail.
Au bingo de la cybercriminalité, la case « C’est les Russes » est généralement la première cochée. ProtonMail n’y a pas échappé. Le 27 juin, le service de messagerie sécurisé est victime d’une attaque DDoS « différentes de celles que nous affrontons au quotidien », écrit l’équipe de ProtonMail sur Reddit, citant des pics à 500 Gb/s. Son prestataire, Radware, a dû s’adapter mais le service connaît de nombreuses interruptions. Et ça continue depuis deux jours, ProtonMail subissant de courtes périodes d’indisponibilité.
« Si nous n'avons pas encore notre propre mesure de la taille de l'attaque, nous avons retracé l'attaque à un groupe qui prétend avoir des liens avec la Russie » annonce l’entreprise suisse. Ces DDoS sont-elles commandités par un Etat ? En réalité, il semble que les raisons de cette attaque soient nettement plus terre-à-terre. Bleeping Computer a interrogé le groupe se revendiquant à l’origine des frappes contre Protonmail.
Première information, ceux-ci ne sont pas russes mais britanniques. Plus important, l’attaque contre Proton n’a rien à voir avec la Russie… mais avec le CTO de ProtonMail. Quelques explications s’imposent. Le 27, le groupe de hackers se faisant appeler Apophis lance une attaque contre le service de messagerie. Le but est de tester leur nouvel outil : les DDoS à la demande ont le vent en poupe. L’attaque fait tomber ProtonMail pendant une minute et de l’aveu du groupe, tout aurait dû s’arrêter là.
Se moquer de ses attaquants : mauvaise idée
Sauf qu’Apophis fait sa communication sur Twitter et se félicite d’avoir mis hors service ProtonMail. Leur répond alors le CTO de l’entreprise dans un tweet quelque peu fanfaron, rappelant que le service a été rétabli et qualifiant les cyberméchants de « clowns ». Ils l’ont mal pris… Depuis, les serveurs de ProtonMail subissent DDoS sur DDoS, parfois utilisant différents protocoles. Apophis a décidé de pourrir la vie de Proton tant et si bien qu’il s’est séparé de Radware pour passer chez un autre CDN, possiblement Akamai.
Hier, les hackers demandaient au CTO de s’excuser en échange de quoi ils arrêteront les attaques. Mais ce matin, le groupe a posé un ultimatum : le directeur technique a douze heures pour démissionner ou être licencié, sans quoi il se déchaînera contre ProtonMail et ProtonVPN. Il reste donc à peu près sept heures… Toujours est-il que cette attaque est un excellent coup de com’ pour l’Apophis Squad et son offre DDoSaaS.
