Microsoft a confirmé avoir subi une série d’attaques DDoS à grande échelle sur Outlook et OneDrive au début du mois. Les pirates seraient liés à la Russie.
Outlook, Onedrive et d’autres services Azure étaient inaccessibles ou limités au début de ce mois ? Dans un article de blog, Microsoft fait le point sur ces incidents deux semaines plus tard. La première vague d’attaques sur le service de messagerie a eu lieu le 5 juin, puis s’est étendue entre autres à OneDrive et Azure Portal, et a duré jusqu’au 9 juin.
Selon Microsoft, c’était une attaque DDoS de couche 7 (« Layer 7 »), dans laquelle les attaquants ont visé la couche d’application de l’infrastructure Azure qui est censée garantir qu’un courriel est visible dans votre boîte aux lettres. Les attaquants ont utilisé diverses techniques pour surcharger les serveurs de Microsoft, allant de l’envoi de millions de requêtes HTTPS par seconde à des techniques plus ingénieuses telles que la demande de fichiers sources sans les télécharger, afin de maintenir la connexion active.
Anonymous Sudan
Au pic de l’attaque, les services de Microsoft ont été interrompus pour dix à vingt mille clients. Pour réussir un tel exploit, les attaquants ont dû disposer à la fois d’un vaste réseau de bots et de capacités suffisantes pour l’héberger dans le cloud. En d’autres termes, ces attaques n’étaient pas le fruit des amateurs.
Bien que Microsoft ne donne pas de noms dans son analyse, le blog fait référence aux auteurs de Storm-1356, l’entreprise le fait bien sans hésiter à AP. Un porte-parole accuse le groupe Anonymous Sudan. Contrairement à ce que son nom suggère, les experts pensent que ce groupe est originaire de Russie et opère pour des motifs pro-russes.
Microsoft a confirmé que les clients ne devaient pas s’inquiéter des données capturées. Ce n’est d’ailleurs généralement pas l’objectif principal des attaques DDoS, qui visent avant tout à perturber les opérations. Toutefois, une attaque DDoS peut servir de tremplin ou de distraction pour des attaques de logiciels malveillants.