Nous sommes bien loin ici des cas d’école que présentent régulièrement les vendeurs de solutions anti-DDoS. Ici, pas de trafic à plusieurs giga-octets. C’étaient au mieux 420 adresses IP différentes qui appelaient un composant Joomla non-existant toutes les 30 secondes. Mais cela suffit à faire tomber un petit serveur dédié bien configuré.

« Nous avons commencé par mettre en place un filtrage par geoIP, mais cela nuisait à trop d’utilisateurs légitimes. Nous avons alors essayé de mettre à jour Joomla, dans l’espoir que ça améliore la tenue à la charge. Ca n’a pas fonctionné,« , poursuit Brice Cornet.

L’hébergeur demande alors à Nospot de partir, car le déni de service commence à avoir un impact sur d’autres clients. Le site trouve un autre prestataire, qui prétend pouvoir encaisser la charge (pour un coût bien évidemment supérieur) et lance la migration.

Des frais techniques sont engagés pour ce déménagement – deux ingénieurs pendant trois jours – et une société est embauchée en parallèle pour tenter de blinder le site avant sa remise en fonction (elle consentira d’ailleurs une remise de 50% sur facture afin d’aider Nospot).

Mais une fois de retour sur la toile après ces travaux rien ne change. « Nous sommes revenus en ligne deux jours. Puis l’attaque s’est adaptée à la capacité du nouvel hébergeur. Il nous a donc à son tour demandé de partir… »

Brice Cornet tente alors brièvement d’héberger le site chez Amazon EC2, croyant que le Cloud sera en mesure de supporter le déni de service. « J’ai testé pendant 15 minutes. Cela m’a coûté 0,14$ de frais de trafic pour un CPU occupé à 100%. Autrement dit, je n’aurais certes payé plus que 6$ par jour mais le site n’aurait toujours pas été en ligne ! » se souvient-il.

A ce stade le site est hors-ligne depuis deux mois et ses contrats publicitaires non honorés. Les annonceurs font grise mine et Brice Cornet doit rapidement trouver une autre solution. « Je me suis posé la question de savoir quel était le plus gros hébergeur au monde capable d’encaisser notre DDoS. C’est certainement une idée idiote, mais j’ai alors pensé à Google. Et j’ai donc migré tous nos contenus sur… Blogger ! »

Et effectivement, le DDoS a alors rapidement cessé. C’est une victoire, mais à quel prix ?

« Concrètement j‘ai perdu toute la partie communautaire, qui ne peut bien entendu pas fonctionner sous Blogger. Nous avons également perdu 75% de nos visiteurs, la confiance de nos annonceurs, et nous avons accumulé 8286€ de dettes liées aux frais techniques et d’hébergement« , calcule Brice Cornet.

Mais au delà des frais, les dégâts sont plus profonds. « Je suis dégoûté et je n’ai plus envie de me battre. Un tel acharnement m’a cassé le moral. Et je n’ai de toute manière plus les moyens d’investir pour tout re-développer sur une autre plateforme. Nospot, c’était quatre ans de développement estimé à 38 000 €. Je ne peux pas me relancer dans une telle aventure aujourd’hui« , conclue Brice Cornet.

Fin de l’aventure, donc. Nospot survit sur un blog grand public, avec quatre fois moins de visiteurs qu’auparavant. Tout cela parce qu’un attaquant, quelque part à l’autre bout du monde, a été vexé de ne plus pouvoir exploiter un serveur qu’il venait de compromettre, et a décidé de punir son propriétaire.

Nospot a lancé un appel à la communauté, dans l’espoir de couvrir les dettes accumulées durant cette attaque. Il s’agit d’offrir une « bière virtuelle », via Paypal, à l’équipe (lien disponible dans le corps de ce billet).