L'incident qu'a rencontré OVH le 13 octobre a été provoqué par une mauvaise manipulation dans unereconfiguration du réseau. Cette modification avait été décidée pour répondre à un problème de plus en plus prégnant sur le web : les attaques DDOS.

C’est une erreur humaine, dommageable pour de nombreux sites web en France, qui a involontairement remis sur le devant de la scène les attaques DDOS. Ce mercredi 13 octobre, l’hébergeur OVHCloud a été momentanément en difficulté. Manque de chance pour l’entreprise française, l’incident, qui a été résolu depuis, est survenu deux jours avant son introduction en bourse.

L’origine de cet incident, qui a rendu indisponible un petit pan du web français et qui a été détaillée par Octave Klaba, le fondateur d’OVHCloud, vient en fait d’une mauvaise manipulation lors d’une reconfiguration du réseau associé au centre de données de l’entreprise basé à Vint Hill, sur la côte est des États-Unis. L’intervention avait pour but de consolider les capacités du centre face aux attaques DDOS.

Le jour du dysfonctionnement, Octave Klaba a fait remarquer que « ces derniers jours, l’intensité des attaques DDOS a beaucoup augmenté. Nous avons décidé d’augmenter notre capacité de traitement de DDOS en ajoutant de nouvelles infrastructures dans notre centre de données à Vint Hill (US-EST). Une mauvaise configuration du routeur a provoqué la panne du réseau. »

Qu’est-ce que c’est une attaque DDOS ?

Pour qui n’est pas au fait du jargon employé dans le monde des réseaux, une attaque DDOS est une attaque par déni de service distribuée (Distributed Denial of Service attack). L’opération consiste à submerger un serveur par un nombre invraisemblable de requêtes, de manière à ce qu’il ne soit plus en capacité de les traiter. Les requêtes normales en pâtissent alors, car elles se retrouvent prises dans ce tsunami.

Le principe schématisé d’une attaque DDOS.
CC Nasanbuyn

Il existe des contre-mesures pour contenir les attaques DDOS ou pour les rediriger ailleurs (en plus de l’intervention de la police), afin d’éviter de donner l’impression que les sites hébergés par le serveur pris pour cible sont en panne — alors qu’ils sont surtout inaccessibles du fait de l’incapacité du prestataire à absorber une vague de connexions aussi soudaine. Mais ces contre-mesures nécessitent parfois d’acheter des prestations, plus ou moins coûteuses.

L’ampleur des attaques DDOS est diverse, selon la cible qui est considérée, la technique utilisée et l’entité qui est derrière. Mais parfois, des records tombent. On se souvient qu’en 2018, la plateforme GitHub, spécialisée dans les projets de développement informatique, s’était pris une claque à 1,3 térabit par seconde (Tbps). Le record était rapidement tombé la même année, avec une déferlante mesurée à 1,7 Tbps.

L’intensité des attaques DDOS crève le plafond

Aujourd’hui, les niveaux de certaines attaques deviennent absurdes. En 2020, Amazon a dit enregistrer un pic à 2,3 Tbps en février 2020. Et ces jours-ci, c’est Microsoft qui a déclaré avoir encaissé une lame de fond à 2,4 Tbps. La place de numéro un — du moins, pour ce qui est des attaques rendues publiques — restera a priori détenue par Google, avec un DDOS enregistré en 2017 à 2,57 Tbps.

Pour Microsoft, cette attaque est la plus importante jamais enregistrée par ses soins. Elle est survenue à la fin du mois d’août. D’après l’entreprise américaine, la cible de l’attaque comme étant un client Azure en Europe, sans davantage de précision. Ce que la société a toutefois pris soin de préciser, c’est que ses installations ont résisté au choc. Azure n’est ainsi pas tombé en rade.

L’intensité des attaques subies par Microsoft Azure au niveau de la bande passante.

 

L’attaque DDOS, a ajouté Microsoft, s’est déroulée en trois courtes vagues dans une fenêtre d’action de dix minutes. C’est la première qui a été la plus brutale, avec le pic à 2,4 Tbps. Les deux autres ont été moindres, à 0,55 Tbps et à 1,7 Tbps — « moindres », toutes proportions gardées. Cela reste des secousses d’une rare intensité, que beaucoup ne pourraient pas digérer.

L’attaque a été menée à l’aide d’un botnet d’environ 70 000 machines situées surtout dans la région Asie-Pacifique, comme la Malaisie, le Vietnam, Taïwan, le Japon et la Chine, ainsi qu’aux États-Unis. L’entreprise précise que la réflexion UDP a été le vecteur de l’attaque. UDP (User Datagram Protocol) est un protocole de communication sur Internet prisé pour conduire des attaques DDOS.

Les attaques DDOS ne cessent de prendre de l’ampleur

Si Octave Klaba suggère que l’intensité des attaques DDOS explose ces jours-ci, le souci qu’il décrit est bien plus global et ne cesse de croître d’année en année. « L’ère des attaques à coups de térabits est à nos portes », prévenait d’ailleurs Arbor Networks en 2018 quand a eu lieu l’attaque à 1,7 Tbps. À cette occasion, la société avait partagé un graphique montrant les différents records qu’elle avait enregistrés au fil des ans.

Ce constat est partagé par divers acteurs du monde des réseaux. « Nous avons signalé une augmentation de 25 % du nombre d’attaques par rapport au quatrième trimestre de 2020 », observe Microsoft dans son compte rendu de l’attaque à 2,4 Tbps. Cela dit, il note «  une baisse du débit maximal des attaques, qui est passé d’1 Tbps au troisième trimestre de 2020 à 625 Mbps au premier semestre de 2021 ».

Les exemples d’attaques ne manquent pas et les cibles sont très diverses. Il peut s’agir d’un éditeur de jeu vidéo comme Blizzard, qui propose des titres tels World of Warcraft et Overwatchd’un prestataire utilisé par des sites de presse ou d’un autre utilisé encore plus largement (par Twitter, Netflix, PayPal, Spotify, PlayStation Network, etc.). Ces attaques se servent de machines zombies, à l’insu de leur propriétaire, y compris des smartphones ou des caméras de surveillance.

L’évolution des pics d’attaques par DDOS subit par Arbor Networks entre 2007 et 2018.

Un constat similaire a été fait en début d’année par le centre français de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), qui dépend de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), une structure qui officie comme cyber-garde du corps de l’État. Il est évoqué « une recrudescence de menaces d’attaques en déni de service » à des fins d’extorsion.

Autre vigie importante, Cloudflare. L’entreprise américaine spécialisée dans la fourniture de solutions pour les sites (elle vend des services pour se prémunir contre des attaques DDOS et pour encaisser les pics de connexion, mais aussi des outils pour optimiser les pages, détecter des intrusions ou de protection de l’adresse IP) a relevé une multiplication des attaques DDOS.

Dans un point d’étape partagé en juillet 2021, tout est en hausse ou presque et il n’y a, au regard des différents témoignages, aucun signe tangible permettant d’espérer une pause ou une accalmie dans ce domaine. À tel point qu’aujourd’hui, selon Cloudflare, les attaques DDOS sont passées avec le temps « du statut de bruit de fond à celui de problème majeur affectant notre vie quotidienne. »

Partager sur les réseaux sociaux

La suite en vidéo