VFemail, spécialiste de l’e-mail anonyme, balayé par une attaque dévastatrice

Cela peut-être, dans les mois ou les années à venir, un cas d’école. VFemail vient de subir une attaque dévastatrice de grande ampleur : toute son infrastructure, aux Etats-Unis, a été purement et simplement écrasée.

VFemail opère un service de fourniture d’adresses de messagerie électronique anonyme, gratuitement et contre paiement. Au programme, dès le premier compte gratuit, des adresses e-mail jetables en quantité illimitée. Si le service analyse les messages entrants pour protéger contre des maliciels ou des pourriels, il n’en figure pas moins sur les listes de services recommandés aux internautes soucieux de la confidentialité de leurs échanges. VFemail offre d’ailleurs des accès via Tor. Pour l’anecdote, on peut trouver la trace de courriels envoyés par ses services dans des publications de Wikileaks.

L’attaque, brève mais d’une efficacité redoutable, semble avoir commencé ce lundi 11 février. Sur son fil Twitter, l’opérateur du service explique au début : « cela n’a pas l’air bon. Tous les systèmes exposés à l’extérieur, avec systèmes d’exploitation et authentification distante différents, dans de multiples centres de calcul, sont tombés ».

Deux heures après ce premier message, l’opérateur indique avoir pris l’attaquant la main dans le sac, « en plein formatage du serveur de sauvegarde », commande Linux à l’appui. Avec une adresse IP renvoyant à un fournisseur de services d’hébergement de Sofia, en Bulgarie – un simple intermédiaire de rebond, probablement, utilisé par l’attaquant pour brouiller les pistes.

At this time, the attacker has formatted all the disks on every server. Every VM is lost. Every file server is lost, every backup server is lost. NL was 100% hosted with a vastly smaller dataset. NL backups by the provideer were intact, and service should be up there.

— VFEmail.net (@VFEmail) February 11, 2019

Rapidement, le constat tombe : « l’attaquant a formaté tous les disques de chaque serveur. Toutes les machines virtuelles sont perdues. Tous les serveurs de fichiers sont perdus. Tous les serveurs de sauvegarde sont perdus ». Sur son site Web, l’opérateur de VFemail indique que l’attaquant « a détruit toutes les données aux Etats-Unis, sur les systèmes primaires et de sauvegarde ».

La reprise d’activité est cours, graduellement, notamment grâce aux systèmes hébergés aux Pays-Bas et à leurs sauvegardes, qui n’ont pas été affectés. L’opérateur prévoit également de se pencher sur le serveur de fichiers dont il a pu interrompre le formatage pour voir « s’il peut être restauré ».

Dans ce scénario qui relève du « désastre de niveau cauchemar », il n’y a pas eu de demande de rançon, « seulement attaque et destruction ». Et il serait surprenant que l’opération relève de l’amateurisme car, comme le souligne l’opérateur de VFemail, « toutes les VM ne partageaient pas la même authentification, mais toutes ont été détruites. C’était plus qu’un exploit à base de mots de passe multiples via ssh ». Reste à savoir qui et pourquoi.