Le 29 octobre 2024, Cloudflare a enregistré la plus puissante attaque DDoS de tous les temps. Pour rappel, une attaque par déni de service distribué consiste à rendre un site web ou un service en ligne indisponible en le submergeant de trafic.
Concrètement, les pirates vont bombarder le serveur avec des requêtes. Cette surcharge va paralyser le site web visé pendant un temps. Bien souvent, les pirates s’appuient sur les DDoS pour mener des campagnes de communication ou de protestation à grande échelle. C’est d’ailleurs l’une des armes principales dans l’arsenal des hacktivistes, ces hackers qui défendent une cause ou une idéologie.
La cyberattaque épinglée par Cloudflare a atteint le seuil des 5,6 térabits par seconde. Cette unité de mesure désigne des volumes de données numériques. Dans le cas d’une DDoS, elle évoque la quantité de données envoyées vers les serveurs d’un site. L’opération n’a pas duré plus de 80 secondes, et s’inscrit dans la tendance des attaques de plus en plus brèves. D’ailleurs, la grande majorité des attaques recensées par Cloudflare ne prend pas plus de dix minutes.
À lire aussi : un groupe français expose les données de millions de voyageurs
Recrudescence des DDoS d’envergure
Comme l’explique Cloudflare, l’attaque DDoS fait suite à une recrudescence des offensives par déni de service enregistrées au cours des mois précédents. Entre septembre et la fin d’octobre 2024, la société américaine a en effet constaté qu’une vague de DDoS de grande ampleur était en cours dans le monde. Les offensives de cette salve étaient déjà considérées comme surpuissantes. La plus puissante de cette précédente vague n’excédait pas les 3,8 térabits par seconde.
Durant le dernier trimestre de 2024, les attaques DDoS ont franchi le seuil de 1 Tbps, enregistrant une croissance spectaculaire de 1 885 % par rapport au trimestre précédent. Les DDoS avec des volumes conséquents représentaient seulement 3 % du total des offensives, tandis que 63 % étaient des attaques mineures, avec moins de 50 000 requêtes par seconde.
« Le nombre d’attaques dépassant 1 Tbps a augmenté de 1 85 % d’un trimestre à l’autre », souligne Cloudflare.
À lire aussi : la police démantèle un élément clé de l’arsenal des hackers qui lancent des attaques DDoS
Un botnet inspiré de Mirai
L’offensive a été déployée par le biais d’un botnet reposant sur Mirai, un célèbre logiciel malveillant apparu il y a presque une décennie. Le virus était initialement programmé pour pirater les appareils IoT (Internet des objets), tels que les caméras connectées, les routeurs et autres dispositifs intelligents, en exploitant des identifiants par défaut ou des mots de passe peu sécurisés.
Quand le code source du malware a été mis à disposition de tous les internautes, une pléthore de variantes a fait son entrée sur la toile. Toutes ces versions ont des capacités bien particulières. En ce moment, une montagne de botnets dérivés du code source de Mirai a été repérée par des chercheurs. Par exemple, un dérivé de Mirai baptisé Gayfemboy a récemment pris le contrôle de milliers de terminaux, allant du traditionnel routeur aux objets connectés, en exploitant une vingtaine de vulnérabilités.
13 000 appareils piratés
Le réseau d’appareils piratés à l’origine de la cyberattaque record comprend 13 000 appareils compromis, a découvert Cloudflare dans son rapport. La firme explique que « bien que l’attaque ait impliqué environ 13 000 adresses IP uniques au total, la moyenne par seconde était d’environ 5 500 adresses IP actives ».
L’opération visait à mettre à terre les services en ligne d’un FAI opérant en Asie de l’Est, dont l’identité n’est pas communiquée. Grâce aux mesures d’atténuation de Cloudflare, la cible n’a pas subi le moindre dysfonctionnement. Fort heureusement, toute la contre-attaque de Cloudflare était automatisée :
« La détection et l’atténuation ont été entièrement gérées de façon autonome par les systèmes de défense distribués de Cloudflare. Aucune intervention humaine n’a été nécessaire, aucune alerte n’a été déclenchée, et les performances n’ont pas été affectées. Les systèmes ont parfaitement rempli leur rôle ».
Elle s’est déclenchée automatiquement quand les requêtes ont commencé à surcharger le serveur. La plupart des cibles se trouvaient en Chine, aux Philippines, à Taïwan, à Hong Kong et en Allemagne. Dans la plupart des cas, il s’agit d’entreprises des secteurs des télécommunications, d’Internet, du marketing et de la publicité.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Cloudflare
