Amazon : un premier client du Cloud victime d'une attaque par déni de service

C'est fait : un premier client Amazon semble avoir été victime d'une attaque en déni de service sur la plate-forme qu'il loue au géant du Cloud Computing. Selon nos confrères de The Register, le site dédié au développement BitBucket a connu 19 heures d'interruption de service au cours du week-end dernier. De nombreux développeurs n'ont ainsi pu accéder au code qu'ils hébergent sur la plate-forme. BitBucket fait reposer son service sur Amazon EC2 (Elastic Compute Cloud) et emploie également le système de stockage du fournisseur, Elastic Block Store (EBS), pour y conserver ses bases de données, ses logs et ses données utilisateurs.

Dans un billet de blog, Jesper Nøhr, le développeur danois à la tête de BitBucket, explique que, si le mécanisme de la panne reste encore incertain, elle était certainement liée à EBS. Le dysfonctionnement a débuté vendredi soir ; les équipes d'Amazon n'ont restauré le service que samedi. Plus étonnant, le fournisseur a demandé à son client de ne pas divulguer la cause du dysfonctionnement. Conseil que le Danois s'est empressé de ne pas suivre. Il explique : "nous avons enregistré l'arrivée d'un flux massif de paquets UDP (User Datagram Protocol, un des protocoles de transport de TCP/IP, ndlr) sur notre adresse IP, ce qui a mobilisé toute notre bande passante. Donc, il s'agit d'une attaque massive en déni de service (DDoS)". Après découverte du problème - 16 heures après le début de l'attaque quand même -, Amazon a rapidement bloqué le trafic à l'origine de l'attaque et remis sur pied sur le service. Avant une nouvelle attaque du même genre le dimanche matin, qui, elle, a été contrée en deux heures. Jesper Nøhr soupçonne également l'existence d'un troisième assaut lundi, qui lui ne serait pas parvenu à mettre totalement le service en panne.

Une réponse au DDoS insuffisante chez Amazon ?

Pour le Danois, l'incident pose plusieurs questions. "Je pense qu'ils auraient pu prendre des dispositions pour, au minimum, être alertés quand un de leurs routeurs commencent à transmettre des millions de paquets UDP bogués à une seule IP. Et je pense également que prendre plus de seize heures pour découvrir la cause du problème, c'est beaucoup trop long", écrit Jesper Nøhr, dans un billet de blog.

CloudWatch, première réponse

Pour Maxime Gaillard, gérant de StartX, un petit intégrateur qui emploie les services d'Amazon (AWS) pour des besoins internes et auprès de ses clients, ce premier cas de DDoS n'est pas vraiment une surprise. Et d'observer que tous les grands noms d'Internet en ont fait les frais. "Pour se prémunir, un client pourrait toutefois imaginer de faire appel au service CloudWatch, qu'Amazon propose en bêta et qui permet d'étendre automatiquement les ressources en fonction de la charge, avec un provisionnement automatique des machines permettant d'encaisser la charge". Une voie vers laquelle les équipes d'AWS ont d'ailleurs orienté Jesper Nøhr, ce qui lui a permis de confirmer l'importance des pics de charge. "Mais la mise en œuvre de ceprovisionnement automatique nécessite en amont un gros travail du client, qui doit préparer son architecture de répartition de charges. Amazon ne mâche pas le travail", explique Maxime Gaillard. L'option CloudWatch est bien évidemment payante.

Pour le dirigeant de StartX, la déconvenue de BitBucket ne suffit pas à gommer les avantages d'AWS, services sur lesquels la petite société va s'appuyer pour lancer prochainement un progiciel pour PME. "Par rapport à un hébergeur classique, Amazon fournit d'autres possibilités, une fluidité dans la gestion de ses environnements", explique-t-il. L'engagement d'Amazon en matière de qualité de service s'élève à 99,95 %, soit une indisponibilité maximale d'un peu moins de 4 heures et demie par an.

En complément :

- Cloud computing : l'inquiétude grandit autour de la sécurité