La messagerie chiffrée ProtonMail paie 5 000 euros de rançon pour rien
Il ne faut jamais céder à un chantage, d'autant moins lorsqu'il est exercé par des personnes qui se cachent derrière l'anonymat.
Victime d'une attaque DDOS massive lancée contre lui le mardi 3 novembre pour rendre ses serveurs indisponibles, le service suisse avait reçu dans la soirée un e-mail lui demandant de payer une rançon pour que l'attaque s'arrête. La demande serait venue, raconte l'entreprise, d'un « groupe de criminels responsable d'une série d'attaques DDOS qui se sont produites en Suisse ces dernières semaines ».
Une attaque très sophistiquée
Une nouvelle attaque a démontré la détermination des maître-chanteurs, qui ont rendu les e-mails de ProtonMail inaccessibles pendant 15 minutes. Puis d'autres vagues ont été orchestrées, s'attaquant cette fois directement aux infrastructures de l'hébergeur, avec des flux de données de plus de 100 Gbps, envoyées pour saturer les cartes réseau et rendre les services indisponibles.
S'estimant mis « sous pression » par l'hébergeur ou par d'autres clients qui étaient victimes collatérales de l'attaque, Protonmail a donc accepté de payer la rançon demandée. Une somme relativement faible pour des malfrats, de 15 Bitcoins, soit un peu plus de 5 100 euros au cours actuel. Tout étant public sur Bitcoin, le paiement est visible ici.
[floating-quote float="right"]Les attaques ont continué, et l'hébergeur a pris la décision de débrancher les serveurs
Mais il n'a servi à rien. Les attaques ont continué, et l'hébergeur a pris la décision de débrancher les serveurs (ou plutôt de ne plus annoncer les routes permettant d'accéder aux serveurs via la plage d'adresses IP réservée à ProtonMail, ce qui revient au même). Les hackers auraient écrit au service pour affirmer qu'ils n'étaient pour rien dans la nouvelle vague d'attaques.
Les autorités suisses ont été associées au travail d'enquête, qui ne concerne pas seulement ProtonMail. L'attaque intéresse en particulier les services de sécurité du pays car elle se serait produite en deux phases. D'abord une attaque DDOS classique contre ProtonMail, déjà vue de très nombreuses fois y compris ces dernières semaines en Suisse. Ensuite, une attaque beaucoup plus sophistiquée, contre des points faibles identifiés chez l'hébergeur.
Cette seconde vague fait craindre que les attaquants ne voulaient pas seulement rendre indisponible ProtonMail le temps d'un chantage, mais bien le détruire. Le coût de la sécurisation des infrastructures est évaluée à 100 000 dollars par an, ce que le service suisse ne peut pas s'offrir actuellement. Il a donc ouvert un fonds pour sa défense.