Abonnez-vous pour recevoir des notifications sur les nouveaux articles :

Atténuation illimitée : la protection contre les attaques DDoS, sans limite

2017-09-25

Lecture: 3 min.
Cet article est également disponible en English, en 繁體中文, en Deutsch, en Italiano, en 日本語, en 한국어, en Português, en Español et en 简体中文.

C'est la semaine du septième anniversaire de Cloudflare. Il est devenu pour nous une tradition d'annoncer une série de produits chaque jour de cette semaine et d'offrir à nos clients de formidables nouveaux avantages. Nous allons commencer par un avantage dont je suis particulièrement fier : l'atténuation illimitée.

CC BY-SA 2.0 image par Vassilis

Cloudflare exploite l’un des plus vastes réseaux DNS du monde. Un de nos services clés est l'atténuation des attaques DDoS ; toutes les trois minutes, nous repoussons une nouvelle attaque DDoS ciblant nos clients. Pour y parvenir, nous disposons d'une capacité d'atténuation des attaques DDoS de plus de 15 térabits par seconde. C'est plus que la capacité publiquement annoncée de tous les autres services d'atténuation des attaques DDoS que nous connaissons, réunis. Et nous continuons à investir dans notre réseau à un rythme croissant, afin d'accroître sa capacité.

Facturation des pics de trafic

Pratiquement tous les concurrents de Cloudflare vous factureront un supplément tarifaire si vous avez la malchance d'être la cible d'une attaque. Nous avons vu des exemples de petites entreprises survivre à des attaques colossales pour ensuite être terrassées par les factures que leur ont adressées certains autres fournisseurs de solutions d'atténuation des attaques DDoS. Depuis le commencement de l'histoire de Cloudflare, il ne nous a jamais paru normal de vous demander de payer davantage en cas d'attaque. Cette pratique nous semble être à peine différente de l'extorsion.

Avec notre annonce aujourd'hui, nous mettons fin à cette norme industrielle de « facturation des pics de trafic » en cas d'attaques DDoS. Pourquoi les clients devraient-ils payer davantage pour se défendre ? Il nous paraît immoral de facturer un surcoût à un client qui subit une attaque délétère, de la même manière que les suppléments facturés par les services de covoiturage par temps de pluie portent préjudice à leurs clients lorsqu'ils ont vraiment besoin d'un transport.

La fin du « FINT »

Cela dit, dès le commencement, il nous arrivait d'exclure des clients de notre réseau si l'ampleur d'une attaque qu'ils subissaient était suffisamment importante pour affecter d'autres clients. En interne, nous appelons cette pratique « FINT » (pour « Fail INTernal »).

Les critères selon lesquels un client pouvait être déclaré « FINT » dépendaient de la situation. Nous avions établi des seuils approximatifs en fonction de l'offre souscrite par le client, mais la règle générale était de maintenir un client en ligne tant que l'ampleur de l'attaque n'affectait pas d'autres clients. Pour les clients souscripteurs d'offres de niveau supérieur, lorsque nos systèmes automatisés ne parvenaient pas à gérer les attaques eux-mêmes, notre équipe spécialiste des opérations techniques pouvait prendre des dispositions manuelles pour les protéger.

Chaque matin, je reçois une liste de tous les clients qui ont été déclarés « FINT » la veille. Au cours des quatre dernières années, le nombre d'occurrences de « FINT » a diminué. La réalité est qu'aujourd'hui, l'ampleur de notre réseau est telle que nous sommes en mesure d'atténuer même les attaques DDoS les plus vastes sans qu'elles n'affectent d'autres clients. Cette opération est presque toujours gérée automatiquement. Et, lorsqu'une intervention manuelle est nécessaire, notre équipe technique est devenue suffisamment compétente pour pouvoir remédier à la situation sans déployer d'efforts démesurés.

Répondre aux attentes de nos clients

C'est pourquoi aujourd'hui, premier jour de la célébration de notre Semaine anniversaire, nous officialisons l'annonce pour tous nos clients : Cloudflare n'exclura plus ses clients de son réseau, quelle que soit l'ampleur des attaques DDoS qu'ils subissent et quel que soit le niveau de l'offre qu'ils ont souscrite. Et, contrairement à la pratique dominante dans le secteur, nous n'augmenterons jamais le montant de votre facture après une attaque, car très sincèrement, cette pratique est perverse.

CC BY-SA 2.0 image par Dennis Jarvis

Nous appelons cela l'atténuation illimitée. Elle émane d'une idée fondamentale : vous ne devriez pas avoir à payer davantage pour être protégé contre les acteurs malveillants qui tentent de vous réduire au silence en ligne. Quelle que soit l'offre Cloudflare que vous utilisez (gratuite, Pro, Business ou Entreprise), nous ne vous demanderons jamais de partir, et nous ne vous annoncerons jamais que vous devez nous verser un supplément en raison de l'ampleur d'une attaque.

Les offres de niveau supérieur de Cloudflare continueront à proposer des fonctions de création de rapports, des outils et un support client plus sophistiqués, permettant de mieux ajuster nos protections contre toutes les menaces auxquelles vous êtes confronté en ligne. En revanche, l'atténuation volumétrique des attaques DDoS est désormais officiellement illimitée.

Établir la nouvelle norme

En 2014, à l'occasion de la Semaine anniversaire de Cloudflare, nous avons annoncé que nous rendions le chiffrement gratuit pour tous nos clients. Nous l'avons fait parce que c'était une mesure juste, et parce que nous avions enfin développé les systèmes techniques indispensables pour la déployer à grande échelle. À l'époque, beaucoup ont dit que nous étions fous. Je suis fier de constater que, trois ans plus tard, le reste du secteur a suivi notre exemple et que le chiffrement par défaut est devenu la norme.

J'espère qu'il en sera de même pour l'atténuation des attaques DDoS. Si le reste du secteur s'éloigne de la pratique consistant à facturer les pics de trafic et intègre par défaut des mesures d'atténuation des attaques DDoS, cela pourrait mettre un terme définitif à ce type d'attaques. Aujourd'hui, nous avons fait un pas dans cette direction et nous espérons, comme pour le chiffrement, que le reste du secteur suivra.Vous souhaitez en savoir plus ? Lisez ces articles (en anglais uniquement) : No Scrubs: The Architecture That Made Unmetered Mitigation Possible et Meet Gatebot - a bot that allows us to sleep.

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons tous les sites web ou applications Internet, repoussons les attaques DDoS, tenons les pirates informatiques à distance et pouvons vous accompagner dans votre parcours d'adoption de l'architecture Zero Trust.

Accédez à 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en apprendre davantage sur notre mission, à savoir contribuer à bâtir un Internet meilleur, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.
Nouveautés produitsDDoSReliabilityBirthday Week (FR)SécuritéAttacks (FR)Mitigation

Suivre sur X

Matthew Prince|@eastdakota
Cloudflare|@cloudflare

Publications associées

24 octobre 2024 à 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

09 octobre 2024 à 13:00

Improving platform resilience at Cloudflare through automation

We realized that we need a way to automatically heal our platform from an operations perspective, and designed and built a workflow orchestration platform to provide these self-healing capabilities across our global network. We explore how this has helped us to reduce the impact on our customers due to operational issues, and the rich variety of similar problems it has empowered us to solve....