Aux mois d’août et de septembre, les attaques DDoS ont atteint un niveau sans précédent. Google, Cloudflare, AWS et Microsoft mettent en garde contre ces attaques.
Les quatre géants de l’internet Google, Cloudflare, AWS et Microsoft ont tous dû réagir à des attaques DDoS contre leurs clients au cours des derniers mois. Les attaques DDoS sont monnaie courante pour ces entreprises, mais cette fois-ci, ce sont les attaques les plus importantes qu’elles aient jamais connues. AWS rapporte un pic de 155 millions de requêtes par seconde, Cloudflare 201 millions. Le triste champion est Google, avec des attaques atteignant un nombre colossal de 398 millions de requêtes.
Restauration rapide
Toutes ces attaques récentes exploitent un talon d’Achille du protocole HTTP/2, rebaptisé Rapid Reset. Dans un blog, Google explique en détail les aspects techniques, bien que le principe fondamental soit en fait assez simple : les attaquants envoient une requête aux serveurs d’hébergement et l’annulent immédiatement. En faisant cela à grande échelle et de manière automatisée, les serveurs sont plongés dans un flux sans fin de « demande, annulation, demande, annulation » pour finalement être surchargés.
Les tests en pratique
Selon Cloudflare, ce n’est pas pour rien que de nombreuses attaques de cette ampleur ont lieu en peu de temps contre de grandes entreprises de l’internet. Les criminels qui découvrent de nouvelles techniques trouvent qu’il est extrêmement difficile de tester et de comprendre leur efficacité, à cause du manque d’infrastructure pour bloquer les attaques. C’est pourquoi ils testent souvent les fournisseurs pour mieux comprendre l’efficacité de leurs attaques.
Google, Cloudflare, Microsoft et AWS affirment tous avoir réussi à repousser les attaques sans affecter leurs clients. Quand même, ils insistent sur la gravité de la vulnérabilité Rapid Reset. HTTP/2 est à la base d’environ 60 % des applications web, dont certaines ne peuvent pas compter sur une mémoire tampon solide. La vulnérabilité n’affecte que HTTP/2 et non le nouveau protocole HTTP/3.