Microsoft déjoue une méga-attaque DDoS sur la plateforme Azure

L’équipe Azure Networking de Microsoft a partagé des détails sur la façon dont elle a repoussé l’une des plus grandes tentatives d’attaques par déni de service distribué (DDoS) de l’histoire d’Internet, qui ciblait un client Azure anonyme en Europe.

L’attaque de 2,4 térabits par seconde (Tbps) a eu lieu au cours de la dernière semaine d’août et était plus du double de la taille de la plus grande attaque précédente sur une seule adresse IP détectée sur Azure, un événement de 1 Tbps survenu au printemps 2020, au début de la pandémie de Covid-19. Il est également plus élevé que tout événement volumétrique réseau précédemment détecté sur Azure.

Dans un blog de divulgation, Alethea Toh, responsable du programme Microsoft Azure Networking, et Syed Pasha, ingénieur réseau principal, ont révélé que le trafic d’attaque provenait d’environ 70 000 sources dans plusieurs pays de l’APAC et aux États-Unis.

Le vecteur était une réflexion UDP (User Datagram Protocol) couvrant une période d’un peu plus de 10 minutes, avec trois rafales de courte durée qui se sont accélérées en quelques secondes. Le premier pic était de 2,4 Tbps, le deuxième de 0,55 Tbps et le troisième de 17 Tbps.

« Des attaques de cette taille démontrent la capacité des mauvais acteurs à faire des ravages en inondant des cibles avec des volumes de trafic gigantesques essayant d’étouffer la capacité du réseau », ont écrit Toh et Pasha.

« Cependant, la plateforme de protection DDoS d’Azure, basée sur des pipelines distribués de détection et d’atténuation DDoS, peut absorber des dizaines de térabits d’attaques DDoS. Cette capacité d’atténuation distribuée agrégée peut évoluer massivement pour absorber le plus grand volume de menaces DDoS, offrant ainsi à nos clients la protection dont ils ont besoin. »

L’attaque a été atténuée avec succès par la logique du plan de contrôle DDoS d’Azure, qui a alloué dynamiquement des ressources à des emplacements optimaux physiquement proches de l’origine de l’attaque, ce qui signifie qu’aucun trafic malveillant n’a atteint la région client. Cette logique entre en jeu lorsque la surveillance continue détecte que les écarts par rapport aux lignes de base du volume de trafic sont extrêmement importants et se produisent en quelques secondes pour atténuer et prévenir les dommages collatéraux.

« Que ce soit dans le cloud ou sur site, chaque organisation présentant des charges de travail exposées à Internet est vulnérable aux attaques DDoS », ont écrit les auteurs du blog. « En raison de l’échelle d’absorption globale d’Azure et de sa logique d’atténuation avancée, le client n’a subi aucun impact ou temps d’arrêt. »

Le fondateur d’ImmuniWeb, Ilia Kolochenko, qui est également membre du réseau d’experts en protection des données d’Europol, a déclaré qu’il s’agissait d’une excellente démonstration de la façon dont les cybercapacités des grands fournisseurs de cloud public peuvent être plus avantageuses.

« Pratiquement aucune infrastructure sur site ne résisterait à un tel anéantissement des DDoS, même si elle était protégée par une solution anti-DDoS basée sur le cloud », a déclaré Kolochenko à Computer Weekly dans des commentaires envoyés par courrier électronique. « Nous avons été témoins de la façon dont les plus grands fournisseurs anti-DDoS ont abandonné certains de leurs clients sous des attaques DDoS extrêmes pour éviter tout impact négatif sur d’autres clients.

« Les principaux fournisseurs de cloud, notamment AWS et Azure, offrent probablement la protection DDoS la plus complète et la plus efficace à leur clientèle. Toutes les fonctionnalités premium sont assez coûteuses, mais elles offrent un rapport qualité-prix incroyable par rapport à d’autres solutions.

Kolochenko a ajouté que bien que beaucoup citent les problèmes de cybersécurité et de conformité comme un obstacle au déplacement des données dans un environnement de cloud public, en réalité, une infrastructure cloud correctement configurée et renforcée devrait améliorer la posture de sécurité de chacun grâce à de meilleures capacités d’automatisation et de réponse aux incidents.

« Il est toutefois essentiel de s’assurer que votre équipe est correctement formée avant de déplacer vos joyaux de la couronne vers un cloud – la grande majorité des incidents dévastateurs liés au cloud proviennent de mauvaisesconfigurations et d’erreurs humaines », a-t-il ajouté.