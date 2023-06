Plus tôt ce mois-ci, plusieurs services Microsoft ont connu des plantages. Les pages de connexion et d’autres parties de Outlook, OneDrive, Teams et Azure Ils ne sont plus disponibles pour des millions d’utilisateurs dans le monde. Puisque nous vivons dans un monde de plus en plus interconnecté, ce scénario a entraîné un énorme casse-tête.

Imaginez des personnes sans possibilité d’accéder à leur messagerie, des équipes de travail déconnectées d’une de leurs plateformes de communication et des administrateurs système ayant un accès limité aux ressources cloud de leur entreprise. Tout cela s’est passé, plus ou moins, entre le 5 et le 9 juin 2023. On sait maintenant pourquoi.

Le coupable a été une attaque DDoS

Microsoft assure qu’il investit 1 000 millions de dollars par an pour protéger, détecter et répondre aux cybermenaces en temps réel, un travail coordonné depuis le Centre des opérations de cyberdéfense de Microsoft (CDOC). Cependant, comme toute autre entreprise technologique, elle n’est pas à l’abri de certaines attaques qui peuvent compromettre ses systèmes.

C’est la société de Redmond elle-même qui a reconnu que les événements de « début juin » étaient dus à une attaque par déni de service distribué, également connue sous son acronyme en anglais DDoS. « Nous n’avons vu aucune preuve que les données des clients ont été consultées ou compromises », ont-ils déclaré dans un communiqué de presse.



Microsoft Outlook

L’enquête est toujours en cours et les détails sur ce qui s’est passé sont encore rares, mais ils peuvent nous aider à mieux évaluer le type de menaces auxquelles nous sommes confrontés dans le réalité numérique dans laquelle nous vivons. Un porte-parole de Microsoft a confirmé à l’Associated Press que le groupe se faisant appeler Anonymous Sudan est derrière l’attaque.

Dans les coulisses, la société a surnommé les attaquants Storm-1359, une désignation dont l’affiliation n’a pas encore été établie. Certains chercheurs pensent cependant qu’Anonymous Sudan est lié au groupe pro-russe pro-russe KillNet. Ce dernier, caractérisé par le lancement d’attaques contre les alliés de l’Ukraine.

On pense que les attaquants disposaient de plusieurs serveurs privés virtuels et infrastructure cloud louée. En utilisant ces ressources et d’autres, ils ont lancé un nombre énorme de requêtes aux serveurs de Microsoft pour produire une attaque par inondation HTTP. C’est-à-dire une attaque directe sur la couche 7 du modèle OSI, la base des requêtes Internet.

Le type d’attaque mentionné ci-dessus cherche à épuiser les ressources du serveur de telle sorte qu’il s’effondre et ne puisse plus répondre aux demandes d’accès. Et, il convient de noter, il n’est pas facile d’atténuer car il n’est pas facile de faire la distinction entre le trafic authentique et celui qui est causé par les attaquants pour déstabiliser le service.

Storm-1359 a également lancé d’autres attaques contre la couche 7. D’une part, une pratique connue sous le nom de « Cache bypass », qui tente de contourner la couche CDN et peut provoquer une surcharge des serveurs d’origine. D’autre part, un de type « Slowloris », qui ouvre des connexions avec le serveur et tente de les maintenir ouvertes pour consommer ses ressources.

Image : Microsoft (1, 2, 3)

