Google Cloud signale la plus grande attaque DDoS jamais enregistrée

by admin

Google Cloud signale la plus grande attaque DDoS jamais enregistrée

Image : Google.

Les attaques DDoS (attaques par déni de service distribué), sont probablement les cyberattaques les moins sophistiquées, mais elles peuvent malgré tout faire de gros dégâts. Aujourd’hui, Google et d’autres grandes entreprises du cloud ont repéré et signalé la plus grande attaque DDoS jamais enregistrée.

En août dernier, Google Cloud a été touché par la plus grande attaque DDoS de l’histoire. L’assaut numérique avait alors atteint le chiffre sans précédent de 398 millions de requêtes par seconde (RPS). Pour comprendre l’ampleur de ce chiffre, Google explique que cela signifie que Google Cloud a reçu plus de requêtes par seconde que Wikipédia pendant tout le mois de septembre 2023.

En d’autres termes, c’est énorme. L’attaque contre Google Cloud, qui a utilisé une nouvelle technique – dite de « réinitialisation rapide » – a été 7,5 fois plus importante que toutes les attaques DDoS précédemment enregistrées. En 2022, la « plus importante attaque DDos jamais enregistrée » n’avait atteint « que » 46 millions de RPS.

publicité

Une réponse coordonnée

Google n’est pas le seul à avoir été touché. Cloudflare, l’un des principaux Content Delivery Network (CDN), et Amazon Web Services (AWS), le plus grand fournisseur de services cloud dans le monde, ont également déclaré avoir été victimes d’une attaque. Cloudflare a repoussé une attaque de 201 millions de RPS, tandis qu’AWS a résisté à une attaque de 155 millions de RPS.

Ces attaques DDoS, qui ciblent les principaux fournisseurs d’infrastructure, ont commencé à la fin du mois d’août et « se poursuivent encore aujourd’hui », selon Google. Malgré l’ampleur et l’intensité de ces attaques, l’infrastructure mondiale d’équilibrage de la charge et d’atténuation des attaques DDoS des grandes entreprises technologiques a permis de contrer efficacement la menace et d’assurer un service ininterrompu à leurs clients.

Dans le sillage de ces attaques, les entreprises ont coordonné une réponse intersectorielle, en partageant leurs informations et leurs stratégies d’atténuation avec d’autres fournisseurs cloud et mainteneurs de logiciels. Cet effort de collaboration a permis de mettre au point des correctifs et des techniques d’atténuation que la plupart des grands fournisseurs d’infrastructure ont déjà adoptés.

Rapid Reset

La technique dite de « réinitialisation rapide » (« Rapid Reset » en anglais) exploite la fonction de multiplexage de flux du protocole HTTP/2, qui constitue la dernière étape de l’évolution des attaques de couche 7. Cette attaque fonctionne en poussant plusieurs connexions logiques à être multiplexées sur une seule session HTTP.

Il s’agit d’une « mise à niveau » de la fonctionnalité HTTP 1.x, dans laquelle chaque session HTTP était logiquement distincte. Ainsi, comme son nom l’indique, une attaque de réinitialisation rapide HTTP/2 consiste en de multiples connexions HTTP/2 avec des requêtes et des réinitialisations l’une après l’autre. Si vous avez mis en place le protocole HTTP/2 pour votre site web ou vos services internet, vous êtes une cible potentielle.

En pratique, l’attaque de réinitialisation rapide consiste à transmettre une série de demandes pour plusieurs flux, suivies immédiatement d’une réinitialisation pour chaque demande. Le système ciblé analysera et agira sur chaque demande, générant des journaux pour une demande qui est ensuite réinitialisée ou annulée. Ainsi, le système ciblé perd du temps et de l’argent à générer ces journaux, même si aucune donnée du réseau n’est renvoyée à l’attaquant. Un acteur malveillant peut abuser de ce processus en émettant un volume massif de requêtes HTTP/2, submergeant ainsi le système ciblé.

Il s’agit en fait d’une version accélérée d’un type d’attaque très ancien : l’attaque DDoS par inondation de requêtes HTTP. Pour se défendre contre ce type d’attaques, il faut mettre en œuvre une architecture qui aide à détecter spécifiquement les requêtes indésirables et à s’adapter pour absorber et bloquer ces requêtes HTTP malveillantes.

La vulnérabilité exploitée par les attaquants a été identifiée comme CVE-2023-44487.

Comment s’en protéger ?

Il est conseillé aux organisations et aux personnes qui utilisent des charges de travail basées sur HTTP sur internet de vérifier la sécurité de leurs serveurs et d’appliquer les correctifs du fournisseur pour CVE-2023-44487 afin d’atténuer les attaques similaires. Les correctifs sont en cours d’acheminement. Mais tant qu’ils ne seront pas installés à grande échelle, d’autres attaques de type Rapid Reset devraient avoir lieu.

La plupart des entreprises ne disposent pas des ressources nécessaires pour faire face à de telles attaques. Pour pouvoir les repousser, il faudrait des services de défense DDoS étendus et puissants, comme Amazon CloudFront, AWS Shield, Google Cloud Armor ou CloudFlare Magic Transit.

Cette attaque finira par être corrigée, mais en attendant, des attaques similaires vont se produire, probablement très bientôt. N’oubliez pas, « la sécurité n’est pas un produit, c’est un processus ».

Source : ZDNet.com

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading