Une vulnérabilité dans HTTP/2 provoque une vague d'attaques DDoS sans précédent
Google affirme avoir stoppé en août la plus grande attaque DDoS jamais enregistrée. Elle a atteint des pics de plus de 398 millions de requêtes par seconde. Une faille zero-day dans HTTP/2 est à l'origine de cette attaque.
Les attaques DDoS (Distributed Denial of Service) sont à la mode. Les pirates surchargent les sites web de requêtes jusqu'à ce que ceux-ci s'effondrent et se retrouvent hors ligne. L'été dernier, les sites web de la Confédération, entre autres, ont subi des attaques DDoS massives.
Google indique avoir bloqué en août dernier la plus grande attaque DDoS jamais enregistrée. L'entreprise parle de pics de 398 millions de requêtes par seconde. «Pour donner un ordre de grandeur, cette attaque de deux minutes a généré plus de requêtes que pour le nombre total de consultations d'articles annoncées par Wikipedia pendant tout le mois de septembre 2023», écrit Google. Le record de l'année dernière n'était «que» de 46 millions de rps (requêtes par seconde).
La vague d'attaques actuelle a commencé fin août et se poursuit aujourd'hui. Les attaquants viseraient les grands opérateurs d'infrastructure, y compris les services et l'infrastructure cloud de Google, ainsi que les clients de l'entreprise. D'autres fournisseurs ont enregistré des actes similaires. Ainsi, Cloudflare fait état d'une attaque de plus de 201 millions de requêtes par seconde. Et AWS parle d'une attaque qui a atteint un pic de 155 millions de rps. En collaboration avec des partenaires, Google travaille désormais à comprendre les mécanismes d'attaque et à développer des mesures pour mieux les contrer.
Une faille dans HTTP/2 comme déclencheur
La cause de cette vague d'attaques DDoS record a été identifiée comme étant la faille zero-day Rapid Reset récemment découverte dans le protocole HTTP/2. Google présente cette vulnérabilité sous la désignation CVE-2023-44487. Il est question de l'utilisation abusive de ce que l'on appelle les trames RST_STREAM au sein d'une connexion TCP, explique Google dans un blog post distinct. Un client pourrait ainsi interrompre un flux HTTP/2 préalablement établi. "Le protocole n'exige pas que le client et le serveur coordonnent l'interruption d'une quelconque manière, le client peut le faire unilatéralement", explique Google. La requête est alors interrompue, la connexion HTTP/2 reste ouverte. Par la suite, l'attaquant pourrait ouvrir et interrompre continuellement de nouveaux flux, provoquant ainsi un crash du système.
Toute entreprise ou personne fournissant des charges de travail HTTP sur internet peut être menacée par cette attaque, avertit Google. Les entreprises devraient vérifier si leurs serveurs supportant HTTP/2 sont vulnérables et appliquer les correctifs du fabricant pour cette faille de sécurité.
