Méthodologie d’exclusion des signatures liées aux attaques
date de publication: le 03.01.2022 à 19h00
Comme évoqué dans le fil technique, la pétition a été (et est encore) victime de hackers qui tentent de gonfler artificiellement le nombre de signataires.
Les Lignes Bougent a mis en place un processus rigoureux pour, d’une part, réduire en amont autant que possible les impacts de ces attaques et, d’autre part, identifier a posteriori les signatures frauduleuses ayant eu lieu afin de les supprimer. Les 3 étapes-clés sont les suivantes:
1- Identification en amont via un firewall des tentatives de hack et blocage immédiat des IP concernées
2- Identification a posteriori des signatures frauduleuses étant passées au travers du firewall
3- Annulation des signatures identifiés comme frauduleuses
La figure ci-dessous illustre l’articulation de ces 3 étapes. Celles-ci sont brièvement décrites dans les paragraphes suivants.
1- Identification en amont via un firewall des tentatives de hack et blocage immédiat des IP concernées
A COMPLETER (résumé succinct des grandes lignes des mesures techniques prises par la DSI) = condensé du fil technque → BTE ?
2- Identification a posteriori des signatures frauduleuses étant passées au travers du firewall
Pour cela, une analyse fine des signatures multiples sur une même adresse IP a été réalisée.
Après vérification, le meilleur paramètre pour identifier ces fausses signatures s’avère être le nombre de signatures par intervalle de 5’ sur une même adresse IP. Ainsi, nous avons déterminé que toute IP pour laquelle on observe plus de 30 signatures sur un intervalle de 5’ correspond à une attaque. Inversement, en dessous de ce seuil de 30, nous avons vérifié que les signatures multiples par IP restantes n’avaient pas été réalisées par des robots. Ce seuil pourrait être ajusté en cas de modification des types d’attaques. Nous restons très vigilants sur ce point.
3- Annulation des signatures identifiées comme frauduleuses
Un processus asynchrone vient plusieurs fois par jour désactiver en base de données les signatures ayant été identifiées comme frauduleuses au point précédent.
Au terme de cette troisième étape, les signatures légitimes sont clairement identifiables dans la base de données. Pour autant, les logs des signatures frauduleuses sont également conservés (et pourront être utilisés dans le cadre d’éventuelles poursuites judiciaires).
Le 03.01.2022 à 18h28, 425 IP ont ainsi été identifiés comme source d’attaques ce qui permet d’annuler les 918’634 signatures qui y sont liées.
On dénombre ainsi 1’186’132 signatures légitimes (non liées à des attaques) le 03.01.2022 à 18h28
Le graphique ci-dessous illustre l’évolution par jour et heure du nombre de signatures liées à des attaques (en rouge) et celles jugées légitimes (en vert).
Voici la liste des IP qui ont été blacklistées avec :
- la date de début d’attaque (arrondi à la minute 5 inférieure)
- la date de fin/blocage de l’attaque (arrondi à la minute 5 supérieure)
- le nb de signatures totales effectuées sur l’IP
HACK ID | IP | HACK_START_DATE | HACK_END_DATE | NB_SIGNATURES |
1 | 192.40.57.234 | 12/28/2021 11:00 | 12/28/2021 22:10 | 10678 |
2 | 89.187.171.228 | 12/28/2021 22:05 | 12/29/2021 8:35 | 3111 |
3 | 79.89.230.120 | 12/28/2021 23:35 | 12/29/2021 13:05 | 395 |
4 | 109.210.184.43 | 12/29/2021 2:10 | 12/29/2021 2:15 | 73 |
5 | 90.52.83.184 | 12/29/2021 11:50 | 12/29/2021 18:25 | 3175 |
6 | 185.107.95.229 | 12/30/2021 19:15 | 12/30/2021 20:10 | 3829 |
7 | 45.14.71.23 | 12/30/2021 20:55 | 12/31/2021 10:25 | 13515 |
8 | 78.202.202.138 | 12/30/2021 22:35 | 12/30/2021 22:40 | 65 |
9 | 46.166.182.68 | 12/30/2021 23:55 | 12/31/2021 0:50 | 51316 |
10 | 45.14.71.22 | 12/31/2021 9:05 | 12/31/2021 9:10 | 188 |
11 | 45.14.71.11 | 12/31/2021 9:10 | 12/31/2021 9:35 | 4775 |
12 | 37.19.200.9 | 12/31/2021 10:25 | 12/31/2021 10:35 | 578 |
13 | 146.70.90.20 | 12/31/2021 18:50 | 12/31/2021 19:05 | 666 |
14 | 3.215.23.246 | 12/31/2021 19:00 | 12/31/2021 19:15 | 5462 |
15 | 3.234.214.40 | 12/31/2021 19:05 | 12/31/2021 19:15 | 3983 |
16 | 100.26.176.61 | 12/31/2021 19:10 | 12/31/2021 19:15 | 554 |
17 | 34.204.172.171 | 12/31/2021 19:10 | 12/31/2021 19:15 | 529 |
18 | 161.35.28.26 | 12/31/2021 19:55 | 12/31/2021 20:10 | 5878 |
19 | 217.138.218.198 | 12/31/2021 20:05 | 12/31/2021 20:15 | 1198 |
20 | 77.153.253.16 | 1/1/2022 15:50 | 1/1/2022 22:35 | 694 |
21 | 165.232.190.47 | 1/1/2022 16:15 | 1/1/2022 16:25 | 1506 |
22 | 178.128.171.128 | 1/1/2022 16:20 | 1/1/2022 16:30 | 1491 |
23 | 145.239.2.231 | 1/1/2022 16:25 | 1/1/2022 17:40 | 33432 |
24 | 51.68.142.141 | 1/1/2022 16:35 | 1/1/2022 16:50 | 11571 |
25 | 95.215.45.60 | 1/1/2022 16:45 | 1/1/2022 16:55 | 3507 |
26 | 143.110.220.143 | 1/1/2022 16:50 | 1/1/2022 16:55 | 12897 |
27 | 46.101.76.106 | 1/1/2022 16:50 | 1/1/2022 17:00 | 8408 |
28 | 51.68.142.45 | 1/1/2022 16:55 | 1/1/2022 17:05 | 5984 |
29 | 209.97.140.182 | 1/1/2022 17:00 | 1/1/2022 17:05 | 3359 |
30 | 95.143.192.110 | 1/1/2022 17:00 | 1/1/2022 18:40 | 3052 |
31 | 94.237.64.251 | 1/1/2022 17:20 | 1/1/2022 17:30 | 2845 |
32 | 191.96.97.58 | 1/1/2022 17:35 | 1/1/2022 18:30 | 1968 |
33 | 95.215.45.58 | 1/1/2022 17:35 | 1/1/2022 17:40 | 4579 |
34 | 51.68.142.19 | 1/1/2022 17:50 | 1/1/2022 18:00 | 2221 |
35 | 95.215.45.61 | 1/1/2022 18:00 | 1/1/2022 18:15 | 1652 |
36 | 51.68.142.63 | 1/1/2022 18:10 | 1/1/2022 18:20 | 264 |
37 | 79.95.87.75 | 1/1/2022 18:35 | 1/1/2022 18:40 | 318 |
38 | 79.95.87.248 | 1/1/2022 18:55 | 1/1/2022 21:55 | 39786 |
39 | 79.95.87.193 | 1/1/2022 19:00 | 1/1/2022 19:10 | 17943 |
40 | 79.95.87.102 | 1/1/2022 19:05 | 1/1/2022 19:10 | 16001 |
41 | 79.95.87.125 | 1/1/2022 19:10 | 1/1/2022 19:15 | 14330 |
42 | 79.95.87.199 | 1/1/2022 19:10 | 1/1/2022 19:20 | 9702 |
43 | 79.95.87.108 | 1/1/2022 21:10 | 1/1/2022 21:20 | 11479 |
44 | 79.95.87.200 | 1/1/2022 21:15 | 1/1/2022 21:30 | 20835 |
45 | 79.95.87.221 | 1/1/2022 21:25 | 1/1/2022 21:30 | 10003 |
46 | 79.95.87.254 | 1/1/2022 21:25 | 1/1/2022 21:35 | 10008 |
47 | 79.95.87.140 | 1/1/2022 21:30 | 1/1/2022 21:35 | 9984 |
48 | 79.95.87.190 | 1/1/2022 21:35 | 1/1/2022 21:45 | 19984 |
49 | 79.95.87.111 | 1/1/2022 21:50 | 1/1/2022 22:00 | 21000 |
50 | 79.95.87.34 | 1/1/2022 21:55 | 1/1/2022 22:05 | 20003 |
51 | 79.95.87.65 | 1/1/2022 22:00 | 1/1/2022 22:05 | 5997 |
52 | 79.95.87.5 | 1/1/2022 22:05 | 1/1/2022 22:15 | 26040 |
53 | 79.95.87.244 | 1/1/2022 22:15 | 1/1/2022 22:20 | 7979 |
54 | 139.59.238.177 | 1/1/2022 22:35 | 1/1/2022 22:45 | 16173 |
55 | 83.205.36.111 | 1/3/2022 14:55 | 1/3/2022 15:05 | 156 |
56 | 154.83.44.61 | 1/3/2022 15:05 | 1/3/2022 15:30 | 424 |
57 | 154.83.45.45 | 1/3/2022 15:15 | 1/3/2022 15:30 | 284 |
58 | 154.83.46.123 | 1/3/2022 15:15 | 1/3/2022 15:30 | 282 |
59 | 154.83.47.17 | 1/3/2022 15:15 | 1/3/2022 15:30 | 280 |
60 | 156.248.100.118 | 1/3/2022 15:15 | 1/3/2022 15:30 | 280 |
61 | 156.248.101.189 | 1/3/2022 15:15 | 1/3/2022 15:30 | 280 |
62 | 156.248.102.34 | 1/3/2022 15:15 | 1/3/2022 15:30 | 281 |
63 | 156.248.96.70 | 1/3/2022 15:15 | 1/3/2022 15:30 | 280 |
64 | 156.248.98.184 | 1/3/2022 15:15 | 1/3/2022 15:30 | 288 |
65 | 156.248.99.107 | 1/3/2022 15:15 | 1/3/2022 15:30 | 283 |
66 | 109.70.100.33 | 1/3/2022 15:30 | 1/3/2022 16:15 | 1586 |
67 | 109.70.100.34 | 1/3/2022 15:30 | 1/3/2022 15:35 | 1480 |
68 | 212.47.229.4 | 1/3/2022 15:30 | 1/3/2022 15:35 | 1288 |
69 | 217.79.179.7 | 1/3/2022 15:30 | 1/3/2022 15:40 | 1908 |
70 | 185.130.47.58 | 1/3/2022 15:35 | 1/3/2022 15:40 | 1347 |
71 | 185.170.114.243 | 1/3/2022 15:35 | 1/3/2022 15:40 | 749 |
72 | 185.220.100.246 | 1/3/2022 15:35 | 1/3/2022 18:15 | 2792 |