Elle était considérée par certains comme l'attaque DDoS (déni de service distribué) la plus importante de l'histoire d'Internet. Google, Amazon, Microsoft et Cloudflare disent avoir réussi à conjointement mitiger cette menace qu'ils appellent HTTP/2 Rapid Reset. "Cette vulnérabilité mondiale confère aux acteurs malveillants la possibilité de générer des attaques d'un volume encore jamais observé sur Internet", écrit Cloudflare dans une note de blog publiée le 10 octobre.



De son côté, Google, dont les services, l'infrastructure cloud et les clients ont été visés par l'attaque, au même titre que d'autres entreprises, a détaillé l'ampleur du phénomène. "L'année dernière, nous avons bloqué la plus grande attaque DDoS enregistrée à l'époque, écrit l'entreprise. En août dernier, nous avons stoppé une attaque DDoS encore plus importante – 7 fois et demi plus importante – qui utilisait également de nouvelles techniques pour tenter de perturber les sites web et les services Internet."

Une coopération entre géants du web

HTTP/2 Rapid Reset exploite une vulnérabilité du protocole HTTP/2 standard dont sont équipés la plupart des sites web qui s'en servent pour requérir l'affichage rapide de certains éléments tels que des blocs de texte et des images. "Cette nouvelle attaque fonctionne en effectuant des centaines de milliers de "requêtes" et en les annulant immédiatement, détaille Cloudflare. En automatisant ce processus de "requête, annulation, requête, annulation" à grande échelle, les acteurs malveillants parviennent à submerger les sites web et peuvent entraîner la mise hors ligne de n'importe quel équipement utilisant le HTTP/2." Un pic de 398 millions de requêtes par seconde a été constaté par la filiale d'Alphabet.



Malgré la complexité de cette attaque codifiée CVE-2023-44487, son impact a été limité grâce aux efforts conjoints de plusieurs acteurs du secteur, dont Google, Amazon et Cloudflare. Microsoft a aussi été averti par ses concurrents au début du mois de septembre, alors que des attaques avaient déjà été constatées plusieurs jours auparavant. "Microsoft a rapidement ouvert une enquête et a ensuite commencé à travailler avec des partenaires de l'industrie pour une divulgation coordonnée et un plan d'atténuation", écrit la firme de Redmond dans une note de blog.

Des marches à suivre

Bien qu'ils disent avoir mitigé l'attaque à grande échelle, en mettant au point des correctifs et des techniques d'atténuation des risques, Microsoft, Amazon, Cloudflare et Google recommandent aux acteurs de l'industrie et aux détenteurs de sites Internet d'être prudents. Microsoft conseille ainsi à ceux qui hébergent des applications web de corriger leurs serveurs web et proxy le plus rapidement possible, mentionnant la disponibilité d'un correctif open source.



Malgré leur association face à un ennemi commun, chaque acteur y va également de la promotion de sa propre infrastructure, vantée comme particulièrement sécurisée vis-à-vis de ce type de cybermenaces. Amazon met en avance ses services Shield et CloudFront disponible via AWS quand Google recommande son Google Cloud Armor et Microsoft le Web Application Firewall de son offre Azure.