Méthodologie d’exclusion des signatures liées aux attaques

date de publication: le 03.01.2022 à 19h00

Comme évoqué dans le fil technique, la pétition a été (et est encore) victime de hackers qui tentent de gonfler artificiellement le nombre de signataires.

Les Lignes Bougent a mis en place un processus rigoureux pour, d’une part, réduire en amont autant que possible les impacts de ces attaques et, d’autre part, identifier a posteriori les signatures frauduleuses ayant eu lieu afin de les supprimer. Les 3 étapes-clés sont les suivantes:

1- Identification en amont via un firewall des tentatives de hack et blocage immédiat des IP concernées

2- Identification a posteriori des signatures frauduleuses étant passées au travers du firewall

3- Annulation des signatures identifiés comme frauduleuses

La figure ci-dessous illustre l’articulation de ces 3 étapes. Celles-ci sont brièvement décrites dans les paragraphes suivants.

1- Identification en amont via un firewall des tentatives de hack et blocage immédiat des IP concernées
A COMPLETER (résumé succinct des grandes lignes des mesures techniques prises par la DSI) = condensé du fil technque → BTE ?

2- Identification a posteriori des signatures frauduleuses étant passées au travers du firewall
Pour cela, une analyse fine des signatures multiples sur une même adresse IP a été réalisée.

Après vérification, le meilleur paramètre pour identifier ces fausses signatures s’avère être le nombre de signatures par intervalle de 5’ sur une même adresse IP. Ainsi, nous avons déterminé que toute IP pour laquelle on observe plus de 30 signatures sur un intervalle de 5’ correspond à une attaque. Inversement, en dessous de ce seuil de 30, nous avons vérifié que les signatures multiples par IP restantes n’avaient pas été réalisées par des robots. Ce seuil pourrait être ajusté en cas de modification des types d’attaques. Nous restons très vigilants sur ce point.

3- Annulation des signatures identifiées comme frauduleuses
Un processus asynchrone vient plusieurs fois par jour désactiver en base de données les signatures ayant été identifiées comme frauduleuses au point précédent.

Au terme de cette troisième étape, les signatures légitimes sont clairement identifiables dans la base de données. Pour autant, les logs des signatures frauduleuses sont également conservés (et pourront être utilisés dans le cadre d’éventuelles poursuites judiciaires).

 

 

Le 03.01.2022 à 18h28, 425 IP ont ainsi été identifiés comme source d’attaques ce qui permet d’annuler les 918’634 signatures qui y sont liées.

On dénombre ainsi 1’186’132 signatures légitimes (non liées à des attaques) le 03.01.2022 à 18h28

Le graphique ci-dessous illustre l’évolution par jour et heure du nombre de signatures liées à des attaques (en rouge) et celles jugées légitimes (en vert).

Voici la liste des IP qui ont été blacklistées avec :

  • la date de début d’attaque (arrondi à la minute 5 inférieure)
  • la date de fin/blocage de l’attaque (arrondi à la minute 5 supérieure)
  • le nb de signatures totales effectuées sur l’IP
HACK ID IP HACK_START_DATE HACK_END_DATE NB_SIGNATURES
1 192.40.57.234 12/28/2021 11:00 12/28/2021 22:10 10678
2 89.187.171.228 12/28/2021 22:05 12/29/2021 8:35 3111
3 79.89.230.120 12/28/2021 23:35 12/29/2021 13:05 395
4 109.210.184.43 12/29/2021 2:10 12/29/2021 2:15 73
5 90.52.83.184 12/29/2021 11:50 12/29/2021 18:25 3175
6 185.107.95.229 12/30/2021 19:15 12/30/2021 20:10 3829
7 45.14.71.23 12/30/2021 20:55 12/31/2021 10:25 13515
8 78.202.202.138 12/30/2021 22:35 12/30/2021 22:40 65
9 46.166.182.68 12/30/2021 23:55 12/31/2021 0:50 51316
10 45.14.71.22 12/31/2021 9:05 12/31/2021 9:10 188
11 45.14.71.11 12/31/2021 9:10 12/31/2021 9:35 4775
12 37.19.200.9 12/31/2021 10:25 12/31/2021 10:35 578
13 146.70.90.20 12/31/2021 18:50 12/31/2021 19:05 666
14 3.215.23.246 12/31/2021 19:00 12/31/2021 19:15 5462
15 3.234.214.40 12/31/2021 19:05 12/31/2021 19:15 3983
16 100.26.176.61 12/31/2021 19:10 12/31/2021 19:15 554
17 34.204.172.171 12/31/2021 19:10 12/31/2021 19:15 529
18 161.35.28.26 12/31/2021 19:55 12/31/2021 20:10 5878
19 217.138.218.198 12/31/2021 20:05 12/31/2021 20:15 1198
20 77.153.253.16 1/1/2022 15:50 1/1/2022 22:35 694
21 165.232.190.47 1/1/2022 16:15 1/1/2022 16:25 1506
22 178.128.171.128 1/1/2022 16:20 1/1/2022 16:30 1491
23 145.239.2.231 1/1/2022 16:25 1/1/2022 17:40 33432
24 51.68.142.141 1/1/2022 16:35 1/1/2022 16:50 11571
25 95.215.45.60 1/1/2022 16:45 1/1/2022 16:55 3507
26 143.110.220.143 1/1/2022 16:50 1/1/2022 16:55 12897
27 46.101.76.106 1/1/2022 16:50 1/1/2022 17:00 8408
28 51.68.142.45 1/1/2022 16:55 1/1/2022 17:05 5984
29 209.97.140.182 1/1/2022 17:00 1/1/2022 17:05 3359
30 95.143.192.110 1/1/2022 17:00 1/1/2022 18:40 3052
31 94.237.64.251 1/1/2022 17:20 1/1/2022 17:30 2845
32 191.96.97.58 1/1/2022 17:35 1/1/2022 18:30 1968
33 95.215.45.58 1/1/2022 17:35 1/1/2022 17:40 4579
34 51.68.142.19 1/1/2022 17:50 1/1/2022 18:00 2221
35 95.215.45.61 1/1/2022 18:00 1/1/2022 18:15 1652
36 51.68.142.63 1/1/2022 18:10 1/1/2022 18:20 264
37 79.95.87.75 1/1/2022 18:35 1/1/2022 18:40 318
38 79.95.87.248 1/1/2022 18:55 1/1/2022 21:55 39786
39 79.95.87.193 1/1/2022 19:00 1/1/2022 19:10 17943
40 79.95.87.102 1/1/2022 19:05 1/1/2022 19:10 16001
41 79.95.87.125 1/1/2022 19:10 1/1/2022 19:15 14330
42 79.95.87.199 1/1/2022 19:10 1/1/2022 19:20 9702
43 79.95.87.108 1/1/2022 21:10 1/1/2022 21:20 11479
44 79.95.87.200 1/1/2022 21:15 1/1/2022 21:30 20835
45 79.95.87.221 1/1/2022 21:25 1/1/2022 21:30 10003
46 79.95.87.254 1/1/2022 21:25 1/1/2022 21:35 10008
47 79.95.87.140 1/1/2022 21:30 1/1/2022 21:35 9984
48 79.95.87.190 1/1/2022 21:35 1/1/2022 21:45 19984
49 79.95.87.111 1/1/2022 21:50 1/1/2022 22:00 21000
50 79.95.87.34 1/1/2022 21:55 1/1/2022 22:05 20003
51 79.95.87.65 1/1/2022 22:00 1/1/2022 22:05 5997
52 79.95.87.5 1/1/2022 22:05 1/1/2022 22:15 26040
53 79.95.87.244 1/1/2022 22:15 1/1/2022 22:20 7979
54 139.59.238.177 1/1/2022 22:35 1/1/2022 22:45 16173
55 83.205.36.111 1/3/2022 14:55 1/3/2022 15:05 156
56 154.83.44.61 1/3/2022 15:05 1/3/2022 15:30 424
57 154.83.45.45 1/3/2022 15:15 1/3/2022 15:30 284
58 154.83.46.123 1/3/2022 15:15 1/3/2022 15:30 282
59 154.83.47.17 1/3/2022 15:15 1/3/2022 15:30 280
60 156.248.100.118 1/3/2022 15:15 1/3/2022 15:30 280
61 156.248.101.189 1/3/2022 15:15 1/3/2022 15:30 280
62 156.248.102.34 1/3/2022 15:15 1/3/2022 15:30 281
63 156.248.96.70 1/3/2022 15:15 1/3/2022 15:30 280
64 156.248.98.184 1/3/2022 15:15 1/3/2022 15:30 288
65 156.248.99.107 1/3/2022 15:15 1/3/2022 15:30 283
66 109.70.100.33 1/3/2022 15:30 1/3/2022 16:15 1586
67 109.70.100.34 1/3/2022 15:30 1/3/2022 15:35 1480
68 212.47.229.4 1/3/2022 15:30 1/3/2022 15:35 1288
69 217.79.179.7 1/3/2022 15:30 1/3/2022 15:40 1908
70 185.130.47.58 1/3/2022 15:35 1/3/2022 15:40 1347
71 185.170.114.243 1/3/2022 15:35 1/3/2022 15:40 749
72 185.220.100.246 1/3/2022 15:35 1/3/2022 18:15 2792