Au mois d'avril 2024 le groupe français OVHCloud (anciennement OVH) a été confrontée à une attaque DDos record. Voici comment le géant du cloud a réussi à s'en sortir.
Alors que le dernier assaut qu'a subit le fournisseur de services cloud s'élevait à 809 Mpps – un chiffre déjà colossal – le mois d'avril a été un véritable cauchemar pour l'entreprise. Cette dernière a dû affronter une attaque DDos d'une ampleur complètement inédite, puisque celle-ci a atteint les 840 millions Mpps. Ces attaques, de plus en plus fréquentes et intenses, s'inscrivent dans un contexte mondial où la cybermenace ne cesse de croître, obligeant les entreprises du secteur à améliorer en permanence leurs stratégies de défense pour contrer des adversaires toujours plus sophistiqués et déterminés.
Une attaque sans précédent
L'incident de cybersécurité en question conjuguait astucieusement deux méthodes d'assaut distinctes. D'une part, une submersion de paquets TCP ACK émanant d'un réseau tentaculaire de 5 000 adresses IP, et d'autre part, une attaque par réflexion DNS mobilisant quelque 15 000 serveurs. Bien que disséminée à l'échelle mondiale, cette offensive présentait une particularité géographique : les deux tiers du flux malveillant convergeaient depuis seulement quatre points névralgiques aux États-Unis, dont trois situés sur la façade Pacifique. Cette configuration singulière met en lumière l'ingéniosité des assaillants, capables de canaliser une déferlante de données par un nombre restreint de voies, posant ainsi un défi colossal aux défenseurs.
Depuis le début de l'année 2023, OVHCloud constate, non sans inquiétude, une recrudescence alarmante des attaques DDoS, tant en termes de récurrence que d'intensité. Sébastien Meriot, responsable de l'équipe de réponse aux incidents de sécurité informatique de l'entreprise, dresse un constat éloquent : « Au cours des 18 derniers mois, les attaques de plus de 1 Tbps sont passées de rares à hebdomadaires, puis quasiment quotidiennes […] Nous avons même observé un débit maximal d'environ 2,5 Tbps pendant cette période ».
La rapidité dans la riposte : la clé du succès
Les analyses menées par OVHCloud révèlent une inquiétante prolifération d'attaques DDoS caractérisées par des flux de paquets dépassant les 100 Mpps. Ces attaques tirent leur origine principalement de routeurs MikroTik Cloud Core Router (CCR) compromis. Un constat alarmant met en lumière la vulnérabilité de près de 99 382 routeurs MikroTik, dont les interfaces d'administration demeurent accessibles sur la toile et qui fonctionnent sous des versions obsolètes de leur système d'exploitation, les rendant ainsi particulièrement exposés aux menaces.
Les malfaiteurs semblent exploiter la fonctionnalité de test de bande passante intégrée au système d'exploitation RouterOS pour orchestrer ces offensives dévastatrices. Les projections les plus pessimistes suggèrent qu'un détournement, même minime, d'à peine 1 % des appareils vulnérables au sein d'un réseau botnet DDoS pourrait théoriquement déclencher des attaques de couche 3 ou 4 d'une ampleur vertigineuse, atteignant potentiellement 2,28 milliards de paquets par seconde (Gpps).
Il est important de souligner que les routeurs MikroTik ont déjà été instrumentalisés pour ériger des réseaux botnet redoutables, tels que Mēris, et pour déployer des services de botnet à la demande. « En fonction du nombre de dispositifs compromis et de leurs capacités réelles, cela pourrait inaugurer une nouvelle ère pour les attaques à taux de paquets : avec des botnets potentiellement capables d'émettre des milliards de paquets par seconde, cela pourrait sérieusement remettre en question la façon dont les infrastructures anti-DDoS sont construites et évoluent », a conclu Meriot.
Tirant parti de sa connaissance approfondie des failles inhérentes aux routeurs MikroTik compromis, OVHCloud a déployé des mécanismes de filtrage particulièrement robustes, spécifiquement conçus pour contrecarrer ces menaces émergentes. En déviant le flux malveillant loin de ses infrastructures critiques, l'hébergeur est parvenu à préserver la continuité opérationnelle de ses services, et ce, en dépit de l'ampleur considérable de l'attaque subie.
Source : The Hacker News
