10 Juil 2024
Olivier
L’hébergeur web français OVHcloud affirme avoir fait face à la plus grande attaque DDoS jamais répertoriée. Sur son blog officiel, le fournisseur mondial de services cloud s’inquiète d’ailleurs de la croissance du nombre et de l’ampleur des attaques au cours des dernières années.
OVHcloud a avoir fait face à une attaque DDoS en avril 2024 éclipsant tous les records précédents. Cette attaque d’une envergure inégalée a atteint un débit de pointe de 840 millions de paquets par seconde (Mpps), selon les données enregistrées par OVHcloud. Cela représente une augmentation notable de la complexité et de l’intensité des attaques DDoS.
Nous profitons donc de cette sortie public de l’hébergeur français pour abordé la question des attaques par déni de service distribué. Il sera question de l’ampleur croissante de ces attaques, et des avertissements émis par OVHcloud. Nous tenterons autant que possible de vulgariser les éléments techniques de ce phénomène. Vous pourrez ainsi mieux comprendre les données présentées par OVH et ce qu’elles représentent.
Les attaques DDoS ont été une menace persistante. L’ampleur et la fréquence observées depuis novembre 2023 ont toutefois de quoi alarmer. C’est du moins ce qu’affirme OVHcloud dans un article récemment publié sur son blog. Les attaques à haut débit de paquets, en particulier, ont considérablement augmenté.
Ces attaques diffèrent des attaques DDoS traditionnelles au niveau de leurs cibles. Ces dernières visent généralement à saturer la bande passante ou à surcharger les serveurs d’applications. Les attaques à haut débit de paquets se concentrent plutôt sur l’écrasement des moteurs de traitement de paquets des périphériques de réseau.
Cette méthode cible l’infrastructure prenant en charge les services en ligne. Cela comprend notamment les équilibreurs de charge et les systèmes anti-DDoS. Elle exploite alors les limitations de traitement des paquets de ces éléments pour saturer le système.
L’attaque d’avril 2024 a illustré la gravité de cette nouvelle menace, d’après OVHcloud. À son apogée, le débit de l’attaque a atteint 840 Mpps (millions de paquets par seconde). Il a ainsi largement dépassé le record précédent, enregistré lors de l’attaque de 809 Mpps signalée par Akamai en 2020.
L’équipe d’OVHcloud a réussi à atténuer et finalement contrer l’attaque. Son ampleur a néanmoins mis en évidence les capacités croissantes des réseaux modernes de bots (botnets).
L’attaque DDoS du mois d’avril contre OVHcloud était principalement composée de paquets TCP ACK. Ceux-ci provenait d’environ 5000 adresses IP sources. Une petite fraction du trafic était également utilisé dans une attaque par réflexion DNS. Celle-ci aurait exploité environ 15000 serveurs DNS pour cibler le système d’OVHcloud.
La distribution du trafic de l’attaque était très concentrée selon les données collectées. Plus de deux tiers des paquets entrant provenaient de seulement quatre points de présence (PoP) aux États-Unis (dont trois sur la côte ouest). Cette concentration du trafic vient remettre en question l’hypothèse commune selon laquelle les attaques DDoS massives doivent être dispersées géographiquement.
Une enquête plus approfondie a révélé que bon nombre de ces attaques à haut débit de paquets étaient liées à des routeurs “core” compromis. C’est particulièrement le cas des périphériques MikroTik. Ces routeurs, largement sont déployés au sein des FAI d’entreprise et des fournisseurs de services cloud. Ils sont très appréciés pour leurs capacités robustes. Leur popularité en a malheureusement fait des cibles attrayantes pour les pirates, qui les ciblent régulièrement.
L’analyse d’OVHcloud a identifié près de 100 000 périphériques MikroTik Cloud Core Router exposés sur Internet. Ces appareils exécutent souvent des versions de firmware obsolètes ou mal entretenues de RouterOS de MikroTik. Ils sont donc devenus des composants intégraux de puissants botnets. Les routeurs compromis sont capables de générer d’immenses débits de paquets. Ils contribuent ainsi de manière significative à la gravité de ces attaques DDoS.
Les implications de ces résultats sont importantes. L’utilisation de périphériques réseau de base compromis dans les attaques DDoS représente une nouvelle ère de cybermenaces. Elle remet en question l’infrastructure anti-DDoS traditionnelle. Les botnets tirant parti de ces routeurs de grande capacité peuvent potentiellement générer des milliards de paquets par seconde. Ce type de débit exige des mécanismes de défense plus robustes et évolutifs que ce qui existe à l’heure actuelle.
En réponse à ces menaces en constante évolution, OVHcloud dit avoir amélioré ses stratégies d’atténuation des attaques DDoS. L’entreprise a développé des applications de mise en réseau personnalisées qui combinent le logiciel userland (DPDK) avec la technologie FPGA. Cet amalgame permet des systèmes de défense hautement efficaces et adaptables. OVHcloud peut ainsi affiner ses défenses contre la menace croissante que représente les attaques à haut débit de paquets.
L’attaque record d’avril 2024 soulignerait la nécessité d’une innovation continue en matière de cybersécurité. On peut anticiper que les attaques atteindront bientôt des débits de paquets dépassant le milliard par seconde. Les protection anti-DDoS actuelle sont insuffisantes pour contrer des attaques d’une telle ampleur.
L’implication de dispositifs de réseau central dans de telles attaques indique un changement dans la façon dont les cybermenaces sont orchestrées. Cela démontre aussi une hausse du niveau de sophistication que les attaques peuvent atteindre. À mesure que la capacité des réseaux de bots augmente, posséder des défenses robustes et évolutives devient de plus en plus importants.
OVHcloud collabore activement avec MikroTik et d’autres systèmes autonomes. L’objectif est de traiter les vulnérabilités et d’empêcher toute exploitation supplémentaire des périphériques réseau. L’entreprise visent ainsi à améliorer la sécurité de son infrastructure et à assurer la disponibilité et l’intégrité continues de ses services.
L’attaque record de 840 Mpps qui a ciblé OVHcloud en avril 2024 marque une étape importante dans l’escalade des menaces DDoS. L’implication de routeurs “core” compromis dans ces attaques représente un défi redoutable pour le monde de la cybersécurité. Les systèmes de protection anti-DDoS devront évoluer rapidement pour faire face à cette menace croissante.
Cette évolution rapide des botnets souligne la nécessité d’un progrès continu dans les stratégies de défense. Elle démontre aussi le besoin d’une collaboration étroite entre les parties prenantes de l’industrie pour protéger les services en ligne contre ces menaces de plus en plus sophistiquées.
Compte tenu du débit record enregistré par OVHcloud, il y a fort à parier que les attaques DDoS à haut débit de paquets ne tarderont pas à dépasser le milliards de paquets par seconde. On ne peut qu’espérer que les système de cybersécurité sauront évoluer à temps pour repousser ces attaques de plus en plus dangereuses.
Nous espérons que cet article vous a plus et vous a éclairé sur l’attaque DDoS record contrée par OVHcloud. Si c’est le cas, nous vous invitons à consulter nos autres articles et comparatifs de notre blog. Vous y trouverez les informations les plus récentes sur l’industrie l’hébergement et sur la création de sites web.
Si vous désirez en apprendre davantage sur l’attaque DDoS subie par OVH et les avertissements de l’hébergeur sur la croissance su phénomène, n’hésitez pas à consulter l’article complet de l’entreprise sur son blog officiel.