La plus grosse attaque par déni de service de l'Histoire a été bloquée, avec des chiffres qui vous feront bondir

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 16 février 2023 à 16h50

L'entreprise Cloudflare indique avoir bloqué la plus grande attaque DDoS jamais enregistrée, dont le pic fut mesuré à 71 millions de requêtes par seconde. Elle surpasse, de loin, le précédent record, avec l'attaque subie par Google l'été dernier.

Cloudflare a vécu le week-end de tous les records. Il y a quelques jours, l'entreprise spécialisée dans la sécurité sur Internet, qui dispose d'une plateforme cloud mondiale, a été particulièrement bousculée après avoir détecté et atténué des dizaines d'attaques DDoS (attaques par déni de service), la plus importante d'entre elles dépassant les 71 millions de requêtes par seconde. Le record était jusque-là attribué à l'attaque DDoS subie par Google en août 2022, qui avait atteint les 46 millions de requêtes par seconde.

Des attaques hyper-volumétriques provenant de 30 000 adresses IP

L'attaque absorbée par Cloudflare est ainsi 35 % supérieure au précédent record. Il s'agissait ici d'attaques HTTP/2, un type d'assaut DDoS, qui provenait de plus de 30 000 adresses IP. Parmi les sites web attaqués, on retrouve un fournisseur de jeux bien connu du grand public, des fournisseurs d'hébergement, des plateformes de cloud computing ou encore des sociétés de crypto-monnaie. Leur identité n'a pas filtré.

Ces attaques DDoS, qualifiées d'hyper-volumétriques, ont duré un peu moins de 5 minutes, atteignant leur pic environ 1 minute après leur lancement, avant que celles-ci ne s'atténuent et prennent fin quelques dizaines de secondes plus tard.

La courbe des attaques DDoS subies par Cloudflare ce week-end © Cloudflare

Dans son bulletin, Cloudflare explique que les attaques provenaient de multiples fournisseurs de Cloud, avec lesquels l'entreprise a pu travailler pour lutter contre les botnets.

Difficile d'identifier où se trouvent les attaquants

Concernant les motivations et les acteurs à l'origine des attaques survenues ce week-end précédant la Saint-Valentin, Cloudflare refuse de les attribuer au Super Bowl (qui avait lieu dans la nuit du 12 au 13 février pour nous Français) ou à la Russie. Mais ce qui est certain, c'est que l'exploitation des botnets pour mener de telles attaques nécessite d'importants moyens.

Les attaques bloquées par Cloudflare interviennent dans un contexte où les attaques DDoS ont encore récemment augmenté. Au dernier trimestre 2022, leur croissance fut mesurée à 14 % par rapport au troisième trimestre. Et ces attaques sont plus longues et plus fortes que par le passé. Celles durant plus de 3 heures ont ainsi augmenté de 87 % par rapport au troisième trimestre. Le tourisme (les sites d'aviation et aérospatial pèsent pour 35 % des attaques DDoS HTTP), l'événementiel, le gaming et le secteur de l'éducation concentrent la majorité des attaques.

La parfaite illustration de ce que représente une attaque DDoS © Cloudflare

Les attaques par déni de service distribué consistent à inonder un site avec le plus grand nombre de requêtes possible (plus qu'il ne peut en gérer du moins) à l'aide d'un réseau de bots. Elles demeurent particulièrement efficaces pour toute organisation, tout groupe ou État qui souhaite bloquer une machine ou un site web non protégé. Leur efficacité est souvent jugée aux perturbations qu'elles provoquent, et elles peuvent être parfois très importantes, outre le fait que leur coût soit financièrement peu élevé pour les pirates. Si le nombre de requêtes est suffisamment grand, les utilisateurs qui adressent des requêtes légitimes peuvent faire face à un délai d'attente à l'entrée ou à une impossibilité de se connecter.

Source : Cloudflare

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Cybersécurité

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (9)

mcbenny

Mais quelle était la cible ? Quelque chose hébergé sur Cloudflare je suppose mais qui ? Quoi ?

Etrange comme vous mettez au même niveau le Super Bowl et la Russie comme raisons de l’attaque. J’ai comme l’impression que l’un serait la raison de moment de l’attaque quand l’autre serait le responsable de l’attaque…

AlexLex14

Pour information, on évoque les cas du Super Bowl et de la Russie parce que c’est… Cloudflare qui a directement et spontanément évoqué ces deux derniers

Ouk

Cloudflare ne parle pas de la Russie mais de Killnet ,un groupe de hackers pro-russe (en fait un groupe USA travaillant sous faux drapeau).

arnaques_tutoriels_aide_informatique_tests

Impressionnant !! 70 millions de requêtes par secondes !! C’est dingue ! Ces gens sont trop forts ! Techniquement ca doit en demander de la préparation…ou pas…c vrai que lancer des requêtes sur un site, c’est ezsy, suffit de trouver les bons pigeons, d’y mettre le script et hopla…qui veut participer :ppp

nickOh

C’est une fourberie technique ^^
En fait il y a des milliers de façons de générer ce trafic, quelques exemples:
-le méchant envoie des paquets spécifiques à n’importe qui incluant une IP d’origine maquillée (celle de la cible et pas du vrai emetteur), comme ça ces serveurs renvoient des réponse à la cible malgré eux,
-il y a des effets amplificateurs, certain serveurs de temps quand on leur envoyait une demande spécifique renvoyaient 5 réponses, donc sur le même principe ça permettait d’amplifier l’attaque.
etc…
toujours le principe de ne jamais attaquer directement mais de générer du trafic par les autres, fourberie ^^
De plus ils essaient de « zombifier » au maximum des postes dans le CLOUD, car ils ont des débit internet très élevés, donc attaques plus fortes.

Une attaque DDOS, c’est bien pareil que quand tes gosses font un ramdam impossible qui t’empêche de tenir une conversation avec madame tellement c’est assommant et bruyant

xryl

Absolument pas. Ce n’est certainement pas un navigateur qui lance ce genre de requêtes. Pour 2 raisons:

Il est impossible de synchroniser des utilisateurs (qui ont une latence de quelques secondes à quelques minutes).
Lors d’une requête du navigateur, les DNS sont interrogés (lesdits DNS proviennent de CloudFlare et sont donc load-balanced sur les différents serveurs rev. proxy de CloudFlare et rate limited). Ici, il faut que les 70 millions de requêtes s’adressent au même serveur (même IP) et en même temps. Donc pas de load balancing, pas de DNS, bref, c’est un bon vieux programme qui blinde un port UDP pour du HTTP/2 (et je pense, ne fait même pas de négo TLS, impossible à faire pour une telle charge).

Je suppose que les bases de données IP des pare feu de CloudFlare ont dû bien chauffer.

LeChien

2400 req/s par IP source, ça reste un ordre de grandeur pas fou fou pour des instances visiblement hébergées principalement sur ces plateformes cloud à grosse infra.

Comme toujours, le facteur important c’est la quantité de zombies qui partent à l’assaut.

Sans investir, Ii suffit d’avoir un simple fail2ban sur quelques hôtes pour constater très vite comment l’environnement de l’hébergé public (de l’auto hébergé IP domestique au dédié corpo cloud ou on prem en passant par la petite dedibox ou vps) est sous tension constante… Soit parce que déjà compris soit parce que cible de tentatives d’intrusions.

Tant qu’il n’y aura pas un grand nettoyage dans l’existant et tant que le marché ne changera pas de modèle (il faut des parts de marché, pour les contraintes on verra plus tard), ça continuera à croître dans un contexte, qui a démarré pas hier, où tout doit être connecté et administrable de n’importe où facilement (qui a dit hyperviseur ESX en frontal ?) par des gens dont ça n’est pas toujours le métier.

arnaques_tutoriels_aide_informatique_tests

Hello merci ^^

arnaques_tutoriels_aide_informatique_tests

Hello.
Jai pas parlé de navigateur ^^