Plusieurs serveurs exploités par Ubuntu et sa société mère Canonical ont été attaqués et mis hors ligne depuis jeudi matin, heure locale. L'interruption a duré plus de 24 heures jusqu'à présent, affectant sérieusement la communication normale de la distribution Linux grand public avec les utilisateurs après la révélation d'une faille de sécurité majeure.

Au cours des dernières 24 heures, la plupart des sites Web Ubuntu et Canonical ont été presque inaccessibles et les utilisateurs n'ont pas réussi à obtenir des mises à jour du système auprès des serveurs officiels à plusieurs reprises. Cependant, les services de mise à jour des sites miroirs du monde entier restent normaux. Hormis Canonical déclarant dans une annonce de statut que « son infrastructure réseau subit des attaques transfrontalières continues auxquelles nous nous efforçons de répondre », les responsables d'Ubuntu et de Canonical sont restés largement silencieux tout au long de la panne.

Un groupe de hackers se réclamant du gouvernement iranien a « revendiqué » l'attaque sur les réseaux sociaux, affirmant avoir lancé une attaque par déni de service distribué (DDoS) via une plateforme appelée Beam. Beam prétend être un service de « tests de stress » utilisé pour tester la capacité du serveur à résister à la pression sous une charge élevée, mais comme d'autres « facteurs de stress » ou « boosters », il s'agit essentiellement d'un outil que les criminels doivent payer pour paralyser les sites Web tiers. Ces derniers jours, ce groupe pro-iranien a également affirmé avoir lancé des attaques DDoS similaires sur la plateforme de commerce électronique eBay.

Selon un modérateur de la communauté de questions-réponses AskUbuntu.com, les domaines et services actuellement inaccessibles ou gravement affectés incluent : security.ubuntu.com, jaas.ai, archive.ubuntu.com, canonical.com, maas.io, blog.ubuntu.com, Developer.ubuntu.com, Ubuntu Security API (couvre CVE et les avis de sécurité), academy.canonical.com, ubuntu.com, portail.canonical.com et actifs.ubuntu.com. Ces services incluent les mises à jour de sécurité, les référentiels de packages et les index d'images d'Ubuntu, ainsi que les multiples secteurs d'activité de Canonical pour les développeurs, les entreprises clientes et les plateformes d'apprentissage.

Cette panne d'infrastructure à grande échelle a coïncidé avec la divulgation par des chercheurs en sécurité d'un morceau de code d'exploitation doté de puissantes capacités d'attaque, qui peut permettre à des utilisateurs ordinaires non fiables d'obtenir le contrôle root avec les privilèges les plus élevés sur presque tous les serveurs de distribution Linux grand public (y compris Ubuntu) dans des environnements multi-locataires tels que les centres de données et les réseaux universitaires. Ce chevauchement dans le temps a contraint Ubuntu à publier des directives de sécurité, des plans d'atténuation des risques et des instructions de correctifs aux utilisateurs concernés. La diffusion d’informations de sécurité pertinentes est obligée de s’appuyer dans une large mesure sur des sites miroirs tiers et des canaux communautaires. Néanmoins, les packages de mises à jour actuellement distribués via des sources miroir à divers endroits sont toujours disponibles, offrant aux utilisateurs une voie alternative pour obtenir des correctifs critiques à court terme.

Les machines à pression ou plates-formes de « location de trafic zombie » existent depuis des décennies, et le modèle d'exploitation commerciale du DDoS-as-a-service figure depuis longtemps sur la liste des organismes chargés de l'application des lois dans divers pays. Bien que la police de nombreux pays ait pris à plusieurs reprises des mesures conjointes pour saisir des sites Web et arrêter des opérateurs, cette industrie clandestine qui repose sur la location de réseaux de zombies et l'attaque du trafic n'a jamais été éradiquée, et de nouvelles plateformes et marques continuent de réapparaître dans de nouvelles coquilles. Cette attaque contre Ubuntu et Canonical montre que les équipes de sécurité commerciales et les opérateurs d'infrastructures matures peuvent encore être pris au dépourvu par des attaques à trafic aussi élevé dans un court laps de temps.

On ne sait pas pourquoi l'infrastructure d'Ubuntu et de Canonical a mis si longtemps à devenir pleinement accessible au monde extérieur. Le secteur estime généralement qu’il existe un grand nombre de services de protection DDoS matures sur le marché, dont au moins un fournit gratuitement des capacités de protection de base. Par conséquent, cette longue interruption a soulevé de nombreuses questions sur l'état de préparation de Canonical en termes de plans d'urgence, de nettoyage de la circulation et de redondance architecturale. Cependant, au moment de mettre sous presse, Canonical n'a pas divulgué davantage les détails spécifiques de l'attaque, ses stratégies de protection et un calendrier pour la restauration complète des services.

Même si les conséquences de cet incident ne se sont pas atténuées, la communauté de la sécurité digère encore les effets d'entraînement de « l'une des menaces Linux les plus graves depuis des années », et la crise de l'infrastructure d'Ubuntu a tiré la sonnette d'alarme sur la façon dont l'ensemble de l'écosystème open source reste résilient entre les attaques à haute pression et les réponses de sécurité d'urgence.