Description du problème

Vers 9:30 ce lundi matin l’un de nos sites a été victime d’une attaque coordonnée visant à le saturer de demandes pour l’empêcher de fonctionner. Bien que ce site n’ait pas d’importance significative dans la bonne marche de nos services, le volume de trafic traité a provoqué une saturation partielle sur l’un de nos routeurs. Cette saturation s’est traduite, pour environ 5 à 10% de notre trafic, des impossibilités de connexion, tous services confondus.

L’impact fonctionnel en a donc été la difficulté d’accès à nos sites, des déconnexions de nos outils et/ou des difficultés pour passer ou recevoir des appels.

Bien qu’une partie significative du trafic malveillant (environ 40 millions de requêtes) ait été bloquée automatiquement par notre partenaire Cloudflare, nos règles de détection et de blocage automatisées se sont révélées trop laxistes, et n’ont donc pas pu empêcher la saturation de cet équipement.

Remédiation

Nous avons agi à deux niveaux :

• blocage du trafic malveillant : nous avons ajusté les paramètres de détection et de blocage de trafic
• accroissement de la capacité de traitement du routeur concerné (x10)

Bien que les attaques n’aient cessé que tard dans l’après-midi, il n’y avait plus d’impact pour la plupart de nos clients peu après 10h, cependant que le retour total à la normale est intervenu vers 10:40.

Conclusion

Bien que nous soyons outillés pour faire face à ce type de situation, il est difficile d’anticiper et de simuler ce genre d’incident. Nous avons cependant pu, à l’occasion de celui-ci, ajuster nos systèmes et rendre significativement plus robuste notre infrastructure face à de telles attaques.

Nous sommes évidemment conscients de la gêne occasionnée et vous prions de nous en excuser. Nous nous tenons à votre disposition pour tout renseignement complémentaire.