Des pirates ont lancé une attaque jamais vue pour bloquer Internet - et ils vont bientôt recommencer
De mystérieux hackers ont profité d'une faille dans l'un des mécanismes d'Internet pour mener la plus grande attaque de l'histoire contre les serveurs de Google. Et ils pourraient recommencer pour bloquer l'accès à de nombreux sites Web.
L'attaque n'a duré que deux petites minutes, mais a certainement provoqué un petit moment de panique chez les ingénieurs de Google. Fin août, ils ont observé un subit déferlement de requêtes Web sur leur infrastructure. Un déluge de connexions simultanées, avec un pic à… 398 millions de requêtes par seconde. Imaginez : c'est comme si 400 millions d'internautes cherchaient à se connecter exactement au même moment au même site ! Google n'avait jamais vu ça. En 2022, une attaque similaire (dite par "déni de service" ou DDoS dans le jargon) avait déjà fait les gros titres. Mais avec "seulement" 42 millions de connexions simultanées en pic, elle fait figure de nain face à celle qui a eu lieu cet été. "Pour donner une idée de son ampleur, l'attaque du mois d'aout a généré davantage de requêtes que le nombre total de pages articles vues sur Wikipédia sur l'ensemble du mois de septembre 2023", précise Google.
L'objectif des pirates était clair : saturer les ressources réseau de Google de connexions afin de rendre ses services et les sites Web qu'il héberge inaccessibles. Bloquer provisoirement une partie du Web, en somme. D'autant que les hackers n'ont pas seulement frappé Google. Deux autres géants du "cloud", Amazon et Cloudflare, ont aussi repéré au même moment des attaques par déni de service d'une puissance sans précédent. Fort heureusement, Google et les autres entreprises touchées sont parvenues à limiter la casse. Il y a bien eu quelques sites momentanément inaccessibles ici et là, mais l'impact de cette série d'attaques a été contenu en quelques jours.
Une faille qui fragilise des millions de sites Web
Fin de l'histoire ? Pas vraiment. Car la technique employée par les pirates profite d'une vulnérabilité d'un protocole indispensable pour le Web, qui va être bien difficile à corriger pour de bon. Vous connaissez certainement son nom, affiché en permanence dans la barre d'adresse de votre navigateur : HTTP. La plupart des sites auxquels vous vous connectez tous les jours profitent désormais du HTTP/2, une version plus performante du protocole historique, capable d'afficher bien plus rapidement les pages Web.
On ne va pas ici entrer dans ses spécifications techniques, mais pour résumer très grossièrement, HTTP/2 est en mesure de gérer bien plus d'échanges de messages entre un client (votre navigateur) et un serveur (qui héberge un site) simultanément. C'est idéal pour afficher des pages Web plus rapidement, mais cela profite aussi à ceux qui souhaitent perpétrer des attaques par déni de service, car ils peuvent ainsi multiplier les requêtes et saturer plus vite les serveurs qu'ils visent.
Dans l'attaque qui nous intéresse, baptisée HTTP/2 Rapid Reset, les pirates sont allés encore plus loin. Pour la première fois, ils ont profité d'une fonction spécifique de HTTP/2 qui permet d'annuler une requête sans attendre la réponse du serveur. Par cette astuce, ils peuvent décupler le nombre de messages qu'ils transmettent.
Pour corriger ce problème, il faudra donc que tous les serveurs Web du monde appliquent un correctif… qui n'existe pas encore. Et c'est plutôt inquiétant. Car si des mastodontes comme Google ou Amazon disposent de contremesures techniques permettant d'éviter ces attaques d'un nouveau genre, des sites hébergés ailleurs pourraient en revanche les subir de plein fouet dans les mois qui viennent.
Cloudflare insiste par ailleurs sur un point très préoccupant. Le botnet — un réseau de PC vérolés, aux ordres de pirates — qui a servi à lancer cette attaque n'était riche que de 20 000 machines environ. C'est peu. Si un botnet plus massif initiait la même attaque, il pourrait avoir un impact beaucoup plus grand. "Certains botnets actuels se composent de centaines de milliers ou de millions de machines. Internet dans son ensemble ne reçoit habituellement qu'entre 1 et 3 milliards de requêtes chaque seconde, il n'est pas inconcevable que l'utilisation de cette méthode puisse concentrer l'intégralité du nombre de requêtes du réseau sur un petit nombre de cibles", indique l'entreprise dans une note. Autant dire que cette attaque "record" sera sans doute bientôt dépassée par une autre, bien plus massive, qui pourrait bloquer des milliers voire des millions de sites Web dans le monde…