En août et septembre, des acteurs de menace ont déclenché les plus importantes attaques par déni de service distribué dans l’histoire d’Internet en exploitant une vulnérabilité précédemment inconnue dans un protocole technique clé. Contrairement à d’autres vulnérabilités de niveau élevé sans jours d’attente – Heartbleed ou log4j, par exemple – qui ont provoqué un chaos à partir d’une torrent d’exploits indiscriminés, les attaques plus récentes, baptisées HTTP / 2 Rapid Reset, ont été à peine perceptibles pour tous, sauf pour un petit nombre d’ingénieurs. HTTP2 / Rapid Reset est une nouvelle technique pour mener des attaques DDoS, ou des attaques par déni de service distribué, d’une ampleur inédite. Il ne fut découvert qu’après avoir déjà été exploité pour délivrer des DDoS record. Une attaque sur un client utilisant le réseau de distribution de contenu Cloudflare a atteint 201 millions de requêtes par seconde, presque triple du précédent record Cloudflare de 71 millions de requêtes par seconde. Une attaque sur un site utilisant l’infrastructure en nuage de Google a atteint 398 millions de requêtes par seconde, soit plus de 7,5 fois le précédent record de 46 millions de requêtes par seconde enregistré par Google. Les DDoS ciblant Cloudflare provenaient d’un réseau d’environ 20 000 machines malveillantes, un nombre relativement faible par rapport à de nombreux botnets connus. L’attaque était d’autant plus impressionnante que, contrairement à de nombreux DDoS dirigés contre les clients de Cloudflare, celui-ci a entraîné des erreurs intermittentes 4xx et 5xx lorsque les utilisateurs légitimes tentaient de se connecter à certains sites Web. « Cloudflare détecte régulièrement des botnets qui sont des ordres de grandeur plus importants que celui-ci – comprenant des centaines de milliers et même des millions de machines », a écrit le directeur de la sécurité de Cloudflare, Grant Bourzikas. « Pour qu’un botnet relativement petit puisse générer une si grande quantité de requêtes, avec le potentiel de mettre hors service pratiquement n’importe quel serveur ou application prenant en charge HTTP / 2, souligne à quel point cette vulnérabilité est menaçante pour les réseaux non protégés. » La vulnérabilité que HTTP / 2 Rapid Reset exploite est située dans HTTP / 2, qui est entré en vigueur en 2015 et a subi plusieurs remaniements depuis lors. Par rapport aux protocoles HTTP / 1 et HTTP / 1.1 qui l’ont précédé, HTTP / 2 a permis qu’une seule requête HTTP puisse contenir 100 flux ou plus que le serveur peut recevoir en même temps. Le débit résultant peut conduire à une utilisation presque 100 fois plus élevée de chaque connexion, par rapport aux anciens protocoles HTTP.
‘Entretien avec le Luddite’
Kelly : Mis à part l’incendie criminel et beaucoup de vandalisme, qu’ont accompli les Luddites à long terme ? Sale