Comment LeBonCoin éteint les attaques DDoS de niveau 7

Avec plus de 25 millions de visiteurs uniques par mois, LeBonCoin est régulièrement dans le Top 10 des sites Web les plus visités en France. Son infrastructure est en outre conçue pour monter à l’échelle très rapidement afin de pouvoir répondre très rapidement à une hausse de l’audience due à une publicité TV ou une opération promotionnelle, comme la livraison à 99 centimes le week-end. Cette flexibilité doit aussi valoir dans l’autre sens, afin de ne pas voir la facture AWS exploser à la fin du mois.

Cette capacité s’appuie sur des équilibreurs de charge HAProxy qui font grossir l’infrastructure si l’audience s’accroît : des machines virtuelles additionnelles sont instanciées. Pour protéger cette infrastructure technique, LeBonCoin exploite le pare-feu d’application Web (WAF) d’AWS ainsi que son service de protection anti-DDoS AWS Shield Advanced. À cela s’ajoute Datadome pour analyser le trafic et repousser les robots dits scrapers, qui viennent récupérer des informations sur les produits mis en vente, et indexer les prix.

Enfin, au niveau applicatif, le site a fait le choix de la solution RASP (Runtime Application Self-Protection) Sqreen, solution aujourd’hui rachetée par Datadog. Zakaria Rachid, CISO du site LeBonCoin jusqu’en septembre 2023 et aujourd’hui en charge de la sécurité du système d’information de Believe, précise : « HAProxy est un choix historique du BonCoin, car nous avons des ingénieurs qui maîtrisent bien la solution et c’est une solution qui est moins coûteuse qu’AWS Cloudfront, la solution d’équilibrage d’Amazon Web Services. HAProxy monte en charge très très bien et l’enjeu c’est le coût : nous voulons scaler tout en restant efficients ».

Cet empilement de solutions de sécurité s’explique par cette audience massive qui fait du site de petites annonces une cible pour de nombreux acteurs malveillants. Zakaria Rachid raconte : « à chaque événement, nous avons des groupes d’hacktivistes qui s’intéressent à nous, pas uniquement aux scale-up et aux marketplaces, mais également aux médias, aux grandes entreprises. »

« Nous avons vu des modes d’attaque nouveaux : notamment le Burst DDoS. Il s’agit d’un déni de service classique, mais qui a intégré la façon dont les infrastructures dynamiques fonctionnent. »

« Or les attaquants deviennent de plus en plus intelligents : il ne s’agit plus que des attaques DDoS classiques stoppées par Google au niveau 3. Nous avons vu des modes d’attaque nouveaux : notamment le Burst DDoS. Il s’agit d’un déni de service classique, mais qui a intégré la façon dont les infrastructures dynamiques fonctionnent. L’attaque dure 3 minutes seulement, le temps pour que le HAProxy se mette en action. Il lui faut une minute pour lancer une machine virtuelle et l’infrastructure tombe », explique le CISO du site LeBonCoin.

Contrairement à l’apparence un peu désuète du site, la stack LeBonCoin est très moderne avec du Go, du node.js et beaucoup de traitements réalisés côté client. La contrainte de cette architecture est que toutes les couches de sécurité placées devant les serveurs ajoutent des millisecondes de traitement. Or la mission de l’IT du site est de réduire au maximum les temps de traitement, le fameux « Time to First packet ». En outre, plus il y a de solutions, plus celles-ci vont amplifier l’attaque DDoS par engorgement les solutions de protection. 

Si l’ex-CISO estime que cette forteresse fonctionne plutôt bien, la multiplication des attaques de Burst DDoS à chaque élection ou événement international a poussé le responsable à chercher une solution devant des attaques difficiles à contrer : « le Burst DDoS consiste à produire un pic d’attaque au niveau applicatif, ce qui a pour conséquence de nous gêner. Notre première réaction a été d’opérer un géoblocking de la zone de provenance de l’attaque. Bloquer les USA sans aucune distinction ne marche pas, car le business nous appelle pour râler, et LeBonCoin a aussi des clients qui se connectent depuis les États-Unis pour acheter sur le site. D’autre part, l’attaquant peut opérer un pivot, tuer son infrastructure et migrer chez un prestataire français, comme nous avons pu le constater. Mais lorsqu’on a bloqué les États-Unis, et bloqué la Russie, on ne peut pas se permettre de bloquer la France… ».

Face au Burst DDoS sur le niveau 7, les briques de sécurité en place restaient impuissantes. Datadome n’a pas pour vocation de lutter contre le DDoS. Sqreen ne détectait rien et le WAF génère tellement de faux positifs pendant l’attaque qu’il ne fait qu’amplifier les effets de l’attaque.

Philippe Humeau, CEO de CrowdSec, souligne que « lors des attaques DDoS de niveau 3, les acteurs comme Akamai ou AWS vont stopper des tonnes de paquets, ce qu’ils savent bien gérer. Par contre, les DDoS applicatifs de niveau 7 provoquent le démarrage de plusieurs serveurs pour répondre à la charge applicative. Par exemple, une demande d’authentification va déclencher le lancement de nouvelles machines. Or lors d’une attaque DDoS sur le niveau 7, on ne reçoit que des données qui n’ont globalement aucun sens. Un WAF en mode règle va passer un temps fou à analyser des données pourtant totalement incohérentes… Sqreen est un RASP et cherche à interpréter la logique, mais il n’y en a aucune. Enfin, Datadome gère les séquences d’événements. Or les données étant incohérentes et les étapes suivantes étant absentes, cela fait exploser sa mémoire ».