theNet by CLOUDFLARE

La nouvelle ère des attaques DDoS

La vulnérabilité HTTP/2 « Rapid Reset » constitue un virage au sein du panorama des menaces

En octobre 2023, Cloudflare a contribué à la divulgation d'une vulnérabilité zero-day au sein du protocole HTTP/2. Cette dernière permet le lancement d'attaques DDoS à haut indice volumétrique contre les ressources HTTP, comme les serveurs web et les applications web. Quelques semaines après la découverte de la vulnérabilité, les acteurs malveillants l'ont exploitée pour lancer des centaines d'attaques brisant tous les records.

Les responsables de la sécurité voient passer d'innombrables annonces d'attaques « record » et « porteuses de transformations » comme celle-ci. Ils peuvent d'ailleurs généralement prendre la plupart d'entre elles avec des pincettes. Toutefois, celle-ci s'avère différente pour plusieurs raisons. Elle constitue un virage dans le panorama global des menaces.

Pour passer ce cap, les responsables de la sécurité devront accélérer les aspects clés de la migration vers le cloud et bénéficier d'une meilleure visibilité des risques sur l'ensemble de leur infrastructure web accessible aux clients.



Un virage important au sein du panorama des attaques DDoS

Dans les années 2010, bon nombre des attaques DDoS les plus volumineuses et les plus percutantes exploitaient les couches 3 et 4 du modèle OSI. Les acteurs malveillants ont compris qu'ils disposaient d'une tactique relativement fiable et s'en sont servi à plusieurs reprises. Parmi les exemples célèbres, nous pouvons citer l'attaque SpamHaus de 2013, l'attaque Dyn de 2016 et l'attaque Wikimedia de 2019, la seconde ayant généré plus de 1,3 Tb/s de trafic malveillant.

Bien entendu, les entreprises se sont adaptées au fil du temps. Le taux d'adoption du cloud a augmenté (un effort qui leur a permis de réduire la part de leur propre infrastructure réseau à protéger) et les entreprises ont investi dans une technologie spécialisée, conçue pour atténuer les plus volumineuses attaques DDoS visant le réseau.

L'histoire se répète aujourd'hui et il n'est pas surprenant de voir les acteurs malveillants changer de technique. Ces dernières années, un certain nombre d'attaques DDoS notables ont exploité les protocoles de couche 7 et cette observation montre ainsi la nouvelle tendance. Ces attaques étaient :

  • Hyper-volumétriques du point de vue de la taille.

  • Plus axées sur le volume du trafic (fréquence et volume des requêtes sur une période donnée) que sur la taille du trafic elle-même (bande passante consommée par chaque paquet, chaque requête, etc.).

  • Basées sur des tactiques plus complexes, comme l'exploitation de vulnérabilités zero-day. Elles recyclaient ainsi d'anciennes techniques sous de nouvelles formes ou visaient des secteurs et des entreprises spécifiques.

La nouvelle vulnérabilité HTTP/2 constitue un exemple frappant de ces tendances et place les entreprises face à plusieurs défis uniques. Afin de comprendre pourquoi, il convient d'expliquer brièvement le fonctionnement de cette vulnérabilité.


La nouvelle vulnérabilité HTTP/2 présente un risque unique

Cette vulnérabilité de type « zero-day » a été surnommée « Rapid Reset » (réinitialisation rapide), car elle exploite la fonction d'annulation de flux du protocole HTTP/2.

Dans le protocole HTTP/2, les flux sont des séquences de requêtes et de réponses entre un client et un serveur. Fondamentalement, il est essentiel qu'un utilisateur à l'origine d'une requête puisse établir ou annuler un flux de manière unilatérale. Il existe de nombreuses raisons légitimes à l'utilisation de cette fonction, mais dans les attaques de type « Rapid Reset », les acteurs malveillants génèrent des flots de requêtes d'annulation qui contournent les mesures de contrôle du volume de requêtes habituelles d'un serveur ciblé. (Cliquez ici pour afficher une analyse technique détaillée de l'exploitation).

À partir du mois d'août 2023, Cloudflare a constaté que les acteurs malveillants utilisaient cette méthode avec beaucoup d'efficacité. Au cours de cette période, des centaines d'attaques de type « Rapid Reset » ont dépassé le précédent record de Cloudflare, qui culminait à 71 millions de requêtes malveillantes par seconde (r/s). La plus volumineuse d'entre elles a multiplié ce record par trois.

En quoi cette situation est-elle préoccupante ?

L'une de ces raisons réside dans l'infrastructure utilisée par les acteurs malveillants. L'attaque record a été conduite à l'aide d'un botnet composé de 20 000 machines. Or, ce chiffre de 20 000 demeure relativement modeste par rapport aux standards des botnets modernes. Cloudflare détecte régulièrement des botnet composés de centaines de milliers, voire de millions de machines.

En outre, la vulnérabilité elle-même s'avère extrêmement répandue. Près de 62 % de l'ensemble du trafic Internet repose sur le protocole HTTP/2. La majorité des applications et des serveurs web sont donc intrinsèquement vulnérables. Les premières recherches effectuées par Cloudflare révèlent que le protocole HTTP/3 est probablement vulnérable lui aussi. Le HTTP/1.1 reste donc le seul protocole non affecté. Pourtant, hormis dans de rares cas, le retour au HTTP/1.1 n'est pas une option réaliste, car une grande partie de l'Internet moderne repose sur les améliorations de performances apportées par les protocoles HTTP/2 et HTTP/3.

La vulnérabilité présente donc un potentiel important d'adaptation et d'exploitation dans les mois et les années à venir. Lorsque de nouveaux groupes d'acteurs malveillants disposant de davantage de ressources l'expérimenteront, il n'est pas déraisonnable d'imaginer qu'un nouveau record soit établi en matière d'attaques DDoS.

Que doivent faire les responsables de la sécurité et leurs équipes pour s'assurer qu'ils sont protégés ?


Protéger votre entreprise de la vulnérabilité HTTP/2 et du panorama des attaques DDoS dans son ensemble

Chaque pratique de sécurité implique un mélange réussi de technologies et de processus. La réponse à cette nouvelle génération d'attaques DDoS sur la couche 7 ne diffère en rien.

Sur le plan technologique, les responsables de la sécurité doivent accorder la priorité aux étapes suivantes :

  • Déplacez les fonctions d'atténuation des attaques DDoS sur la couche 7 hors de vos datacenters. Même les équipements d'atténuation des attaques DDoS les plus robustes risqueraient de céder sous les effets d'une attaque hyper-volumétrique de type « Rapid Reset ». Si votre entreprise a déjà pensé à la migration des fonctions d'atténuation des attaques DDoS sur la couche 7 vers le cloud, c'est le moment d'agir.

  • Envisagez un fournisseur secondaire d'atténuation des attaques DDoS sur la couche 7 basé sur le cloud pour assurer la résilience. S'il est difficile de prédire avec précision l'ampleur des attaques futures, il s'agit souvent d'une bonne pratique générale pour les applications web particulièrement essentielles.

  • Veillez à déployer les correctifs appropriés pour votre serveur web et votre système d'exploitation, sur l'ensemble des serveurs web accessibles depuis Internet. Assurez-vous également que tous les systèmes d'automatisation, comme les versions et les images Terraform, aient reçu tous les correctifs nécessaires, afin que d'anciennes versions des serveurs web ne soient pas accidentellement déployées en production par le biais d'images sécurisées.

La technologie seule n'assure pas une protection suffisante. L'une des raisons est liée au processus de déploiement de correctifs. S'il s'agit d'une opération plutôt simple à mener à bien en environnement isolé, sa mise en œuvre de manière cohérente au fil du temps demeure plus difficile. À titre d'exemple de cette triste vérité, pensez au fait qu'un an après la divulgation de la vulnérabilité Log4J et la publication d'un correctif, la majorité des entreprises restaient encore partiellement exposées.

En outre, les applications web modernes dépendent plus que jamais de partenariats et d'intégrations d'outils tiers, qui pourraient eux-mêmes être également vulnérables. Il est donc tout aussi important pour les responsables de la sécurité d'accorder la priorité à ces étapes supplémentaires :

  • Comprendre la connectivité externe du réseau de votre partenaire. Ces partenaires (et les autres tiers) sont-ils pleinement conscients de la vulnérabilité ? Agissent-ils en fonction des étapes technologiques susmentionnées ?

  • Comprendre vos procédures et vos habitudes existantes afin de détecter et de répondre à une attaque, avant de déployer des mesures de correction aux problèmes du réseau. Ce n'est pas au début d'une attaque active qu'il convient de commencer à évaluer la résilience et l'efficacité de votre équipe. L'heure est alors à la gestion des incidents, au déploiement de correctifs et à la transformation de vos protections en processus permanents.

Grâce à ces améliorations, les entreprises adopteront une position plus judicieuse face à l'éventuelle exploitation d'une vulnérabilité de type « Rapid Reset » à l'avenir. Elles se prépareront également à d'autres changements au sein du panorama des attaques DDoS dans son ensemble.



Ce que Cloudflare peut vous apporter

Cloudflare a été l'une des premières entreprises à identifier cette vulnérabilité zero-day et a suivi son évolution en permanence, en collaborant avec l'ensemble du secteur pour s'assurer que les entreprises soient protégées. Ces efforts comprennent le développement et le lancement d'une nouvelle technologie spécialement conçue pour arrêter ces attaques, mais aussi l'amélioration de la capacité du réseau Cloudflare à atténuer d'autres attaques de grande ampleur à l'avenir.

Ces améliorations s'appuient sur les avantages existants de Cloudflare, conçus pour aider les entreprises à se protéger contre les attaques les plus volumineuses :

  • Plus de 321 Tb/s de capacité de réseau, afin d'absorber le plus grand volume de trafic malveillant possible.

  • Des fonctions d'atténuation réparties à l'échelle mondiale, afin que l'expérience de vos clients ne souffre pas de la redirection (backhauling) du trafic.

  • Des modèles d'apprentissage automatique (Machine Learning) nourris par un système d'informations sur les menaces d'une ampleur unique, afin de repérer de nombreuses vulnérabilités zero-day avant qu'elles ne soient annoncées.

Cloudflare est le leader dans le domaine du cloud de connectivité. Nous fournissons aux entreprises tous les moyens nécessaires pour rendre leurs collaborateurs, leurs applications et leurs réseaux plus rapides et plus sûrs, partout dans le monde, tout en réduisant la complexité et les coûts. Le cloud de connectivité Cloudflare propose la plateforme unifiée la plus complète en matière de produits et d'outils de développement cloud-native, permettant à toutes les entreprises de bénéficier des mesures de contrôle dont elles ont besoin pour travailler, développer et dynamiser leur activité.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.



Approfondir le sujet

Téléchargez l'e-book Prévenir l'interruption de service : guide des modèles de défense contre les attaques DDoS pour en savoir plus sur l'atténuation des attaques DDoS.



Points clés

Cet article vous permettra de mieux comprendre les points suivants :

  • Comment l'exploitation de la vulnérabilité « Rapid Reset » donne lieu à des attaques DDoS d'ampleur énorme.

  • Comment les acteurs malveillants combinent les tactiques entre elles (p. ex. les attaques DDoS et l'exploitation de vulnérabilité zero-day) pour s'en prendre aux entreprises.

  • La marche à suivre pour protéger votre entreprise de cette vulnérabilité.


Ressources associées


Recevez un récapitulatif mensuel des tendances Internet les plus populaires !