Aurich Lawson / Getty
En août et septembre, des acteurs malveillants ont déclenché les plus grandes attaques par déni de service distribué de l’histoire d’Internet en exploitant une vulnérabilité jusqu’alors inconnue dans un protocole technique clé. Contrairement à d’autres attaques Zero Day de grande gravité ces dernières années – Heartbleed ou log4j, par exemple – qui ont semé le chaos à cause d’un torrent d’exploits aveugles, les attaques les plus récentes, baptisées HTTP/2 Rapid Reset, étaient à peine perceptibles, sauf pour quelques privilégiés. ingénieurs.
HTTP2/Rapid Reset est une nouvelle technique permettant de lancer des attaques DDoS, ou attaques par déni de service distribué, d’une ampleur sans précédent. Il n’a été découvert qu’après avoir été exploité pour livrer des DDoS record. Une attaque contre un client utilisant le réseau de diffusion de contenu Cloudflare a culminé à 201 millions de requêtes par seconde, soit presque le triple du précédent record que Cloudflare avait enregistré, soit 71 millions de rps. Une attaque contre un site utilisant l’infrastructure cloud de Google a atteint 398 millions de rps, soit plus de 7,5 fois plus que le précédent record enregistré par Google de 46 millions de rps.
Faire plus avec moins
Les DDoS frappant Cloudflare provenaient d’un réseau d’environ 20 000 machines malveillantes, un nombre relativement faible comparé à de nombreux réseaux de zombies. L’attaque était d’autant plus impressionnante que, contrairement à de nombreuses DDoS dirigées contre les clients Cloudflare, celle-ci entraînait des erreurs 4xx et 5xx intermittentes lorsque des utilisateurs légitimes tentaient de se connecter à certains sites Web.
« Cloudflare détecte régulièrement des botnets d’un ordre de grandeur plus important, comprenant des centaines de milliers, voire des millions de machines », a écrit Grant Bourzikas, directeur de la sécurité de Cloudflare. « Le fait qu’un botnet relativement petit génère un si grand volume de requêtes, avec le potentiel de neutraliser presque n’importe quel serveur ou application prenant en charge HTTP/2, souligne à quel point cette vulnérabilité est menaçante pour les réseaux non protégés. »
La vulnérabilité exploitée par HTTP/2 Rapid Reset réside dans HTTP/2, qui est entré en vigueur en 2015 et a subi plusieurs refontes depuis lors. Par rapport aux protocoles HTTP/1 et HTTP/1.1 qui l’ont précédé, HTTP/2 offrait la possibilité pour une seule requête HTTP de transporter 100 « flux » ou plus qu’un serveur peut recevoir en même temps. Le débit qui en résulte peut conduire à une utilisation près de 100 fois plus élevée de chaque connexion, par rapport aux protocoles HTTP antérieurs.
L’efficacité accrue n’était pas seulement utile pour la distribution de vidéo, d’audio et d’autres types de contenu inoffensif. Les DDoS ont commencé à exploiter HTTP/2 pour lancer des attaques d’un ordre de grandeur plus important. Il existe deux propriétés dans le protocole permettant ces nouvelles DDoS efficaces. Avant d’en discuter, il est utile de revoir le fonctionnement général des attaques DDoS, puis de passer au fonctionnement des protocoles HTTP antérieurs à la version 2.0.
Il existe plusieurs types d’attaques DDoS. Les formes les plus connues sont les attaques volumétriques et de protocole réseau. Les attaques volumétriques bourrent les connexions entrantes vers un site ciblé avec plus de bits que la connexion ne peut en transporter. Cela équivaut à acheminer plus de véhicules sur une autoroute qu’elle ne peut en accueillir. Finalement, la circulation s’arrête. L’année dernière, le plus gros DDoS volumétrique enregistré était de 3,47 térabits par seconde.
Les DDoS du protocole réseau ont pour effet de submerger les routeurs et autres appareils situés dans les couches 3 et 4 de la pile réseau. Parce qu’ils fonctionnent sur ces couches réseau, ils sont mesurés en paquets par seconde. L’une des attaques de protocole les plus importantes a été bloquée par la société de sécurité Imperva, avec un pic de 500 millions de paquets par seconde.
Le type d’attaque menée par HTTP/2 Rapid Reset relève d’une troisième forme de DDoS connue sous le nom d’attaques de couche application. Plutôt que d’essayer de saturer la connexion entrante (volumétrique) ou d’épuiser l’infrastructure de routage (protocole réseau), les DDOS au niveau des applications tentent d’épuiser les ressources informatiques disponibles dans la couche 7 de l’infrastructure d’une cible. Les inondations vers les applications serveur pour la voix HTTP, HTTPS et SIP sont parmi les moyens les plus courants d’épuiser les ressources informatiques d’une cible.