Fondation Wikimedia

Cloudflare Magic Transit rétablit la présence en ligne de Wikimedia après une attaque DDoS massive

La fondation Wikimedia est une organisation à but non lucratif qui gère Wikipédia et d'autres projets liés au savoir libre, notamment Wikimedia Commons, Wikiquote et Wiktionary. La fondation se consacre à la diffusion libre du savoir et s'est fixé pour objectif de créer un monde dans lequel chacun pourra librement obtenir et partager des connaissances.

Bien que ces projets soient gérés par une communauté mondiale de bénévoles, le personnel de la fondation entretient l'infrastructure technologique de ces projets, plaide en faveur de politiques et de mesures de protection soutenant la gratuité du savoir, et appuie les bénévoles dans leurs efforts d'acquisition du savoir, indépendamment des langues, des cultures et des continents.

Défi : arrêter une attaque DDoS massive qui a mis hors ligne les sites de Wikimedia dans le monde entier

« Wikimedia cherche à devenir l'infrastructure essentielle de l'écosystème de la connaissance libre », explique Grant Ingersoll, directeur de la technologie pour la fondation Wikimedia. « Nous souhaitons que chacun puisse accéder à notre contenu, l'utiliser et l'intégrer dans sa vie, afin d'enrichir sa vie et de contribuer à construire un Internet meilleur. »

Pour atteindre cet objectif, les sites de Wikimedia doivent être fiables, sûrs et rapides. « Les bénévoles qui créent et modifient l'ensemble de notre contenu ne peuvent pas faire leur travail si nos sites ne sont pas accessibles, s'ils sont difficiles à utiliser ou s'ils sont vandalisés par des bots », explique Faidon Liambotis, directeur de l'ingénierie chargée de la fiabilité des sites. « Je souhaite que chaque membre de mon équipe puisse dormir sur ses deux oreilles, en étant assuré du bon fonctionnement de tous nos sites web. »

Sur le plan de la sécurité, Wikimedia n'avait pas subi d'attaque DDoS de grande envergure depuis plusieurs années. Malheureusement, la chance a abandonné l'organisation le 7 septembre 2019, lorsqu'une attaque massive a rendu ses sites inaccessibles, d'abord en Europe, en Afrique et au Moyen-Orient, puis dans d'autres parties du monde, notamment aux États-Unis et en Asie. « Au plus fort de l'attaque, cette dernière se comptait en centaines de Gbp/s », se souvient Chris Danis, ingénieur chargé de la fiabilité des sites.

Pendant les premières heures de la panne, l'équipe de Wikimedia a essayé sans succès d'arrêter les attaques et de remettre ses sites en ligne. « Nous avons essayé plusieurs solutions qui consistaient à redéfinir notre équilibrage de charge basé sur GeoDNS. Nous avons ensuite tenté d'autres mesures d'ingénierie du trafic lorsque ce dernier entrait via nos liaisons de peering », nous explique Chris Danis.

Solution : Wikimedia utilise Magic Transit pour rétablir rapidement sa présence en ligne

Cloudflare a contacté Wikimedia et lui a proposé son aide sous la forme d'une solution de protection de l'infrastructure réseau, Magic Transit. Faidon Liambotis se souvient que Cloudflare s'est manifesté immédiatement au moment de l'attaque, même si cette dernière survenait un vendredi soir. « Les membres de leur équipe savaient déjà ce qui se passait lorsqu'ils nous ont contactés », raconte-t-il.

« Je pense que le centre des opérations de sécurité de Cloudflare et l'équipe chargée de la surveillance des menaces avaient déjà reconnu la signature de l'attaque (TCP ACK du port 65535) avant que nous leur demandions quoi que ce soit », ajoute Chris Danis. « Cloudflare nous a communiqué des estimations d'attaque considérablement plus importantes que ce que nous avions pu évaluer. Une fois Magic Transit activé, Cloudflare a mesuré l'attaque (à différents points et selon différentes unités) à environ 300 Gbp/s de bande passante, 105 Mpps de trafic TCP ACK et 340 Mpps de floods UDP. »

Faidon Liambotis rapporte qu'à l'aide de Magic Transit, son équipe a pu arrêter l'attaque en apportant les modifications nécessaires à leurs politiques de routage. « Toutefois », note-t-il, « il s'agit là d'une version simplifiée des choses. L'attaque s'est déroulée par intermittence, en changeant de modèle. Magic Transit a résolu le problème, malgré le caractère mobile de l'attaque. »

Résultats et avantages : Magic Transit constitue désormais un élément essentiel de la stratégie de défense contre les attaques DDoS de Wikimedia

Wikimedia continue à utiliser Magic Transit pour atténuer les attaques DDoS. Faidon Liambotis apprécie le fait que l'outil puisse être activé et désactivé en fonction des besoins. « La possibilité de désactiver les annonces de Cloudflare de notre espace IP nous offre plusieurs options au cas où quelque chose tournerait mal ».

La solution Magic Transit n'entrave pas non plus le chiffrement de bout en bout existant entre les projets Wikimedia et leurs utilisateurs, même lorsqu'elle est active. En plus des capacités techniques intrinsèques du produit, cette caractéristique faisait de Magic Transit le bon choix pour l'équipe. « Nous avons apprécié la réactivité de Cloudflare à nos besoins en matière de sécurité et de confidentialité des données. En tant qu'organisation, nous sommes très sensibles aux questions de confidentialité. »

Wikimedia apprécie également que Magic Transit filtre le trafic en périphérie du réseau plutôt que de le dévier vers un scrubbing center centralisé, comme le font certains prestataires de « scrubbing » du cloud. « Certains fournisseurs utilisent une architecture plus centralisée », explique Faidon Liambotis. « Ils ne filtrent pas le trafic en périphérie, mais dans des scrubbing centers distants. Ils ne répondaient donc pas à nos exigences en matière de capacité et de moyens. En cas de problème dans l'un de leurs scrubbing centers, nous aurions connu des problèmes de latence si notre trafic y avait été détourné. »

« Les changements de routage nécessaires à l'utilisation d'un scrubbing center centralisé ont une incidence à la fois la latence pour les utilisateurs et le délai d'atténuation », ajoute Chris Danis. « Le filtrage global en périphérie, comme le fait Magic Transit, permet d'éviter d'ajouter de la latence au trafic légitime. »

« Du point de vue des risques liés aux infrastructures, les attaques DDoS figurent en très haute place sur notre liste », souligne Faidon Liambotis, « et Cloudflare Magic Transit constitue un élément essentiel de notre stratégie d'atténuation de ce type d'attaques. »

L'équipe de Wikimedia continue d'être impressionnée par la réactivité de Cloudflare en cas de problème. « Nous avons dû collaborer avec les membres l'équipe de Cloudflare à plusieurs reprises depuis le déploiement de Magic Transit, notamment au sujet d'une question délicate impliquant des boucles de routage dans certaines parties du réseau de Cloudflare », se souvient Chris Danis. « Nous avons été impressionnés par leur réactivité et leur compétence technique. »

« Cloudflare dispose d'une infrastructure fiable et d'une équipe extrêmement compétente et réactive. Elle est bien placée pour contrer toutes les attaques, même celles de grande ampleur », ajoute Grant Ingersoll.