OVH vient de donner le coup d’envoi du VAC, son service maison de protection contre les attaques DDoS (déni de service). Pour le moment en version bêta, il est proposé gratuitement à l’ensemble des clients disposant d’un serveur dédié, mais il deviendra payant à partir du 1er septembre. Question tarif, il faudra compter entre 0,50 € et 10 € par mois. De son côté, OVH assure pouvoir « encaisser n’importe quelle attaque ».
OVH : les attaques DDoS se généralisent, un coup d’aspirateur pour régler le problème
Dans un long message posté fin juin sur ses forums, Octave Klaba, PDG d’OVH, dévoilait en détail son offre anti-DDoS. Un phénomène qui, selon lui, a pris de l’ampleur au cours des dernières années : « depuis la fin 2010 avec l’affaire de Wikileaks, les DDoS ont fait les unes des médias et avec le DNS AMP qui s’est généralisé depuis début de l’année 2013, n’importe lequel gamin peut lancer un DDoS de plusieurs dizaines de Gbps et mettre en péril une activité ».
Afin de pallier ce problème, une solution maison était mise en place : le VAC pour « vacuum », ou aspirateur en anglais. Elle se compose de deux routeurs Cisco (ASR 9001 et Nexus 7009) qui sont capables de « nettoyer » jusqu’à 160 Gbps de trafic. Au total, trois couples sont installés : un à Roubaix, un à Strasbourg et un autre à Beauharnois au Canada.
Ils fonctionnent tous les trois en parallèle et ils aspirent le trafic le plus proche d’eux. Ainsi, une attaque émise depuis Miami en Floride et visant un serveur dédié en France passera par le VAC de Beauharnois avant de transiter sur le réseau interne d’OVH. La société précise qu’il faut entre 15 et 120 secondes pour activer la mitigation et commencer à filtrer le trafic entrant à travers le VAC. De son côté, le serveur continue de répondre normalement aux requêtes. De plus amples informations sont disponibles sur cette page.
« Nous savons encaisser n’importe quelle attaque »
Octave Klaba qui a largement communiqué sur le sujet sur son compte Twitter ces dernières semaines, semble très satisfait de son infrastructure et précise que « le service de protection n’est pas limité ni en terme de la taille de l’attaque ni en terme de la durée de l’attaque ni en terme de type de l’attaque. Nous savons encaisser n’importe quelle attaque et l’objectif pour nous est de vous fournir un service qui va vous protéger réellement le jour J où vous allez recevoir une attaque ». Reste à voir ce qu’il en sera dans la pratique et si la promesse pourra être tenue dans toutes les situations.
Il ajoute que cette protection va plus loin que les attaque DDoS : « le VAC va aspirer et dupliquer “le trafic email sortant” d’un datacenter pour le faire analyser par un anti-spam et un anti-virus. Nous allons pouvoir faire les statistiques du nombre de spam par IP SRC dans nos Datacenters puis bloquer le flux SMTP d’une IP lorsqu’on estime qu’il s’agit d’un spammeur ».
Il ajoute qu’« un VAC ne fait pas de stockage, c’est un analysateur de trafic, il n’y a donc pas de stockage des emails mais juste l’analyse en temps réel d’un échantillon des emails qui sortent de nos Datacenters ». Une fonction intéressante sur le papier, mais qui risque tout de même de faire grincer quelques dents, surtout en cette période où l’affaire Prism est dans toutes les mémoires.
Une option obligatoire de 0,50 € à 10 € par mois, mais gratuite avec un paiement annuel
Quoi qu’il en soit, la mise en place des VAC a un coût non négligeable, estimé à environ 3 millions d’euros par le PDG de la société. L’hébergeur a décidé de le mutualiser et de proposer sa solution à tous les clients via « une option obligatoire pour tous les serveurs dédiés existants ».
Notez que les clients qui ont souscrit à l’option « Utilisation professionnelle » pourront en plus profiter de l’API, d’une mitigation permanente (plus besoin d’attendre entre 15 et 120 secondes donc) ainsi que de nombreuses options de personnalisation.
Voici la liste des tarifs suivant le type de serveur dédié dont vous disposez :
- VPS : + 0.5 € par mois
- KS : + 1 € par mois
- SP : + 1 € par mois
- EG : + 2 € par mois
- MG : + 2 € par mois
- HG : + 3 € par mois
- pCC : + 5 € par mois
- Housing: + 10 € par mois
Cela concerne aussi bien les clients existants que les anciens. Octave Klaba précise par contre que cette « option obligatoire » sera gratuite dans le cas d’un paiement annuel. Quoi qu’il en soit, elle est offerte durant la phase bêta qui devrait se terminer le 1er septembre. Après, il faudra obligatoirement payer… ou changer d’hébergeur.
Mai le pire dans tout ça, c’est le défi masqué que le dirigeant d’OVH envoi subrepticement aux pirates informatiques du monde entier… Comme si la récente intrusion (et le vol des informations personnelles de milliers de clients européens) n’avais pas suffit, instaurer ce genre de challenge en disant expressément “nous somme invulnérables et nous pouvons résister à n’importe quelle attaque” semble assez ironique et surfait… A voir donc ce que ça donnera dans les prochains mois.
Sources : PCInpact, OVH