Attaque DDoS sur notre infrastructure DNS

Plusieurs fournisseurs de DNS ont été attaqués pour faire tomber Tutanota.

2020-09-17
La nuit dernière, plusieurs fournisseurs de DNS ont été attaqués pour faire tomber Tutanota. En combinaison avec des entrées DNS mal encaissées pour le domaine tutanota.com sur différents serveurs DNS, cela a entraîné un temps d'arrêt de plusieurs heures pour des millions d'utilisateurs de Tutanota. Nous avions changé d'entrée DNS, mais comme la propagation prend du temps, certains utilisateurs n'ont pas pu récupérer immédiatement l'accès à Tutanota.
S'INSCRIRE

Attaque continue sur Tutanota

Après de multiples attaques directes sur Tutanota, l'attaquant a visé hier deux fournisseurs qui hébergent les enregistrements DNS de Tutanota. En conséquence, ces fournisseurs ont été mis hors service. Nous avons rapidement essayé de mettre à jour nos enregistrements DNS et de les héberger chez un autre fournisseur. Cela n'a pas fonctionné dans un premier temps parce que les entrées DNS ont été verrouillées chez l'un des fournisseurs d'hébergement DNS.

Comme nous ne pouvions pas modifier les entrées DNS de notre domaine, Tutanota a été inaccessible à des millions d'utilisateurs dans le monde entier pendant la majeure partie de la nuit de mercredi.

Changer de fournisseur de DNS

Alors que nous transférions un autre domaine vers un autre bureau d'enregistrement, notre domaine tutanota.com a été à nouveau déverrouillé.

Nous avons alors enregistré notre domaine chez un troisième fournisseur d'hébergement DNS plus robuste, capable de résister aux attaques en cours.

Nous avons mis à jour nos enregistrements DNS, et l'accès universel a finalement été rétabli jeudi matin vers 7h30 CET.

Livraison du courrier électronique

Malheureusement, en raison du blocage de domaine par un fournisseur d'hébergement pendant la période de DDoS, il n'y a pas eu d'entrées DNS disponibles pour Tutanota pendant un certain temps.

De ce fait, certains fournisseurs de messagerie électronique n'ont pas été en mesure de livrer des courriers électroniques à Tutanota en fonction de la durée de leurs tentatives. Si un serveur de courrier électronique arrêtait d'essayer, l'expéditeur recevait un message indiquant que le courrier électronique ne pouvait pas être livré. Ce problème a été résolu à ce jour.

Problèmes d'accessibilité restants

Les problèmes qui subsistent actuellement sont dus à l'encaissement et à la propagation : Chaque serveur DNS ne demande pas la prochaine mise à jour, jusqu'à l'expiration de l'ancienne entrée DNS. Certains serveurs ont encaissé d'anciens serveurs de noms pendant la période où notre domaine était verrouillé.

C'est la raison pour laquelle Tutanota n'est toujours pas accessible pour certains utilisateurs, même si notre page d'état indique que tout est en place et fonctionne. Les entrées DNS se propagent lentement, de sorte que bientôt tous les utilisateurs pourront à nouveau accéder à Tutanota.

Si vous avez besoin d'aide pour accéder à Tutanota, veuillez consulter les conseils de notre communauté publiés ici.

Avec votre aide, nous sommes convaincus qu'aucun attaquant - aussi puissant soit-il - ne pourra nuire à Tutanota. Tant que nous resterons unis, nous serons beaucoup plus forts que n'importe quel agresseur. Merci beaucoup pour votre soutien.

Nous souhaitons également répondre aux questions les plus fréquentes qui nous sont posées par le biais des médias sociaux et du courrier électronique :

Mes données sont-elles sécurisées ?

Oui, toutes les données de Tutanota sont cryptées de manière sécurisée et personne ne peut y accéder, pas même nous.

Qu'est-il arrivé à mes courriels pendant le DDoS ?

Les courriels reçus pendant les attaques DDoS ont été mis en file d'attente et livrés plus tard. Les courriels qui vous ont été envoyés alors qu'il n'y avait pas d'entrée DNS disponible pour Tutanota (domaine verrouillé) n'ont peut-être pas été distribués. Dans ce cas, l'expéditeur a reçu un message de rebond l'informant du problème temporaire.

Quelqu'un a-t-il piraté Tutanota ?

Non, les attaquants n'ont jamais piraté les serveurs de Tutanota ni accédé aux données stockées sur nos serveurs. Aucune donnée n'a été violée.

Dois-je changer mon mot de passe ?

Non, il n'est pas nécessaire de changer le mot de passe. Tutanota stocke des hachages de mots de passe. Il est impossible de déduire le mot de passe réel à partir de ce hachage. Ainsi, personne ne peut connaître votre mot de passe, pas même nous chez Tutanota. Pour protéger votre mot de passe, nous utilisons bcrypt et SHA256.

Disponibilité hors ligne

Nous avons déjà prévu d'ajouter une disponibilité hors ligne à Tutanota. Nous avons maintenant modifié la priorité de cette fonctionnalité pour répondre aux demandes des utilisateurs. Nous comprenons que vous devez pouvoir accéder à votre boîte aux lettres à tout moment, et nous travaillons dur pour répondre à cette demande.

Un grand merci à la communauté

Enfin, nous voulons remercier toute la communauté de Tutanota de nous avoir soutenus pendant cette période difficile. Le DDoS en cours a causé à notre équipe de base quelques nuits d'insomnie, mais nous continuerons à lutter contre les attaques. Avec votre soutien, nous en sortirons encore plus forts qu'avant !

Même si quelqu'un ne veut pas que vous utilisiez un courrier électronique sécurisé et privé, nous continuerons à nous battre pour votre droit à la vie privée.

Merci beaucoup pour votre soutien.

S'INSCRIRE
Author
Black and white picture of Matthias thinking and looking to the right side.
Matthias est cofondateur et développeur de Tuta, se concentrant sur le développement du backend, l'architecture et le traitement des courriels. Il écrit du code et des commentaires politiques pour défendre notre droit à la vie privée. Il veut créer une plateforme de collaboration en nuage cryptée qui soit si facile à utiliser et si sûre qu'elle exclue tous les espions. Nous méritons tous un meilleur internet - un internet où la vie privée est la règle par défaut.
Top posts
Modélisation des menaces en 2024 : Votre guide pour une meilleure sécurité
10 meilleurs services de messagerie privée en 2024
Google paie 1150 fois plus pour son monopole sur les moteurs de recherche que pour ses activités de lobbying dans l'UE et aux États-Unis
Pourquoi utiliser un gestionnaire de mots de passe - et nos 3 meilleurs !
Courriel anonyme : Créez une adresse électronique sans numéro de téléphone.
L'illusion que la "vie privée suisse" est la meilleure
10 meilleurs comptes de messagerie gratuits en 2024
Latest posts
Google Search Is A Problem : How Google Is Crushing Tuta.
La porte dérobée XZ et l'importance des logiciels libres
Apple vous donne enfin le choix : prenez-le et installez un navigateur privé dès maintenant !
Le groupe de pirates russes Sandworm est de retour : Le nouveau logiciel malveillant Kapeka infecte secrètement les systèmes depuis 2022

Aucun commentaire disponible

Résilier l'abonnement
Entreprise
Communauté
Équipe
Recrutement
CGV
Confidentialité
Mentions légales
Développement
Changelog
Planning
Sécurité
Chiffrement
Open-source
GitHub
Fonctionnalités
E-mail sécurisé
Calendrier chiffré et gratuit
Entreprise
Support
Forum
Presse
Support
Langue
Français
Traduire