Visé par des attaque DDoS, ProtonMail appelle à l’aide

ProtonMail est accessible en pointillés depuis ce mardi 3 novembre, la faute à « une attaque DDoS soutenue », explique son équipe dans un billet de blog : « nous travaillons avec des fournisseurs de solutions pour trouver un moyen de contrer cette attaque, mais elle est sans précédent en intensité et en périmètre et trouver une solution qui fonctionne n’est pas simple ».

Et de replacer cette attaque en déni de service distribué dans le contexte plus vaste d’une opération visant la Suisse et décrite par le Cert du pays : « un groupe de pirates essaie d’extorquer de l’argent à des cibles à haute valeur […] le collectif Aramda fait chanter ses victimes en demandant [une rançon]. En parallèle, les pirates lancent une attaque en déni de service distribué sur le site Web de la victime pour montrer leur puissance. Cette attaque DDoS de démonstration dure 15 à 30 minutes, avec une bande passante variant de 300 Mbps à 15 Gbps, voire occasionnellement plus ».

Dans le cas de ProtonMail, la bande passante utilisée aurait dépassé les 100 Gbps. La rançon a été réglée, « dans l’espoir d’éviter à d’autres entreprises d’être affectée par l’attaque contre nous », mais en vain : une autre attaque à suivi. Mais pas menée par le même groupe ! « Les criminels qui nous ont extorqués ont jugé nécessaire de nous écrire pour nier toute responsabilité pour la seconde attaque ».

Sur Twitter, de nombreux utilisateurs de ProtonMail ont suggéré des pistes, dont l’hébergement chez un autre fournisseur – dont OVH, mentionné là pour ses protections contre les DDoS. Mais, au-delà des protections techniques, les créateurs du service tiennent à la protection juridique qu’offre la Suisse, en dehors des juridictions européenne et américaine.

Fondé à l’été 2013 au Cern, afin de renforcer la vie privée en ligne et la sécurité des communications électroniques, ProtonMail a été mis à jour en version 2.0 dans le courant de l’été, et passé à l’Open Source. Ce service de courrier électronique s’appuie essentiellement sur une clé de chiffrement connue exclusivement de l’utilisateur et s’utilisait jusqu’ici intégralement dans un navigateur Web. Les tiers non utilisateurs du service peuvent recevoir des messages chiffrés sur leurs adresses habituelles mais devront les ouvrir dans leur navigateur Web, en suivant un lien contenu dans le message, et à condition de connaître la clé de chiffrement qui aura été communiquée par un autre canal. Les messages peuvent être assortis d’une contrainte d’expiration.

Aujourd’hui, les opérateurs du service lancent un appel aux dons, pour alimenter un fond de défense de ProtonMail qui doit en particulier lui permettre de couvrir les coûts induits par un service robuste de protection contre les DDoS, estimé à 100 000 $/an.