Retrouver toute notre actualité,            
et nos études de cas client.

Comment Netflix s'est infligé un DDOS pour mieux s'en protéger

Actualité
01 Août 2017

Netflix, le géant de la VOD en ligne, a récemment publié un article passionnant à propos de sa démarche de sécurité, qui a fait l'objet d'une présentation lors de la célèbre Defcon. Lors d'un exercice de test, appelé Chaos Kong chez eux, la société a mis en place une attaque par déni de service destinée à sa propre infrastructure.

Un DDOS traditionnel contre Netflix serait un joli challenge pour un attaquant. Le service est prévu pour supporter plus de 35TB par seconde. C'est comme attaquer Google, autant attaquer tout Internet et voir si on arrive à le faire tomber... 

Dans ce cas précis, il s'agit d'un DDOS assez particulier. Et les leçons tirées par Netflix vont profiter à tout le monde ! Il s'agissait d'un déni de service applicatif, et non d'un DDOS destiné à faire tomber l'infrastructure supportant le site. Pour être précis, le DDOS visait en particulier les sites les plus modernes, basés sur des architectures micro-services.

Ce type d'attaque est particulièrement intéressant car il nécessite moins de ressources - et pourrait donc être plus accessible par les attaquants. Quelques requêtes sont envoyées aux sites, et construites de façon à en générer beaucoup (beaucoup !) plus sur les couches middle et backend. Dans l'exemple de Netflix, une requête simple demande l'accès à 1000 objets qui ne sont pas dans le cache... et termine par générer 6000 appels au backend. Un coefficient multiplicateur qui donnera des idées aux attaquants ! 

Le test mené par Netflix s'accompagne de nombreux apports pour la communauté. D'abord leur équipe Sécurité a partagé quelques pistes préventes pour mieux se protéger. Une fois de plus : back to basics ! Il faut connaitre son système, le monitorer et ne pas laisser trainer des valeurs par défaut ou définir les bonnes valeurs pour les seuils (limiter la charge associée à une requête par exemple). Et ensuite l'équipe Netflix a publié deux outils open source, Repulsive Grizzly et Cloudy Kraken,  le premier pour faciliter ce genre de test à petite échelle puis pour le passer à l'échelle supérieure.

Un bel exemple de ce que les géants du Web apportent jour après jour à la sécurité globale d'Internet !