Attaques DDoS célèbres | Les plus volumineuses attaques DDoS de tous les temps

Lors d'une attaque par déni de service distribué (DDoS), plusieurs appareils sont utilisés pour saturer un serveur ciblé de requêtes et entraîner l'arrêt des applications web. Certaines des attaques DDoS les plus volumineuses ont fait la une des actualités consacrées à la technologie.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Décrire l’ampleur des attaques DDoS les plus puissantes
  • Comprendre les motivations derrière certaines des cyberattaques les plus terribles
  • Expliquer certaines des plus importantes attaques DDoS de l'histoire

Copier le lien de l'article

Quelle a été la plus volumineuse attaque DDoS de tous les temps ?

La plus vaste attaque enregistrée DDoS à ce jour a eu lieu en septembre 2017. L'attaque visait les services de Google et a atteint un volume de 2,54 Tb/s. Google Cloud a révélé cette dernière en octobre 2020.

Les pirates ont envoyé des paquets usurpés à 180 000 serveurs web, qui ont à leur tour répondu à Google. Cette attaque ne constituait toutefois pas un incident isolé. En effet, ses auteurs avaient lancé plusieurs attaques DDoS contre l'infrastructure de Google au cours des six mois précédents.

Existe-t-il d'autres exemples d'attaques DDoS célèbres ?

L'attaque de février 2020 signalée par AWS

AWS a déclaré avoir atténué une immense attaque DDoS en février 2020. Au plus fort de cette attaque, le trafic entrant a atteint 2,3 térabits par seconde (Tb/s). AWS n'a pas révélé lequel de ses clients était la cible de l'attaque.

Les responsables de l'attaque sont passés par des serveurs web CLDAP (Connection-less Lightweight Directory Access Protocol) compromis. Conçu pour les répertoires utilisateur, le protocole CLDAP constitue une alternative à LDAP (une ancienne version du protocole) et a servi de base au lancement de plusieurs attaques DDoS ces dernières années.

L'attaque DDoS contre GitHub en février 2018

L'une des plus grandes attaques DDoS vérifiables jamais enregistrées visait GitHub, un célèbre service de gestion de code en ligne utilisé par des millions de développeurs. Cette attaque a atteint 1,3 Tb/s et envoyé des paquets au rythme de 126,9 millions par seconde.

L'attaque contre GitHub constituait une attaque DDoS memcached et n'impliquait donc aucun botnet. À la place, les auteurs de l'attaque ont tiré parti de l'effet d'amplification d'un célèbre système de mise en cache des bases de données nommé memcached. En saturant les serveurs memcached de requêtes usurpées, les pirates ont pu multiplier la puissance de leur attaque par un facteur d'environ 50 000.

Par chance, GitHub utilisait un service de protection contre les attaques DDoS, qui fut automatiquement alerté dans les 10 minutes suivant le début de l'attaque. En déclenchant le processus d'atténuation, l'alerte a ainsi permis à GitHub d'arrêter l'attaque rapidement. Cette formidable attaque DDoS n'aura duré au total qu'une vingtaine de minutes.

L'attaque contre Dyn en 2016

Dyn, un important fournisseur DNS, a fait les frais d'une autre attaque DDoS particulièrement volumineuse en octobre 2016. Cette attaque s'est révélée dévastatrice et a perturbé le fonctionnement de nombreux sites importants, notamment AirBnB, Netflix, PayPal, Visa, Amazon, The New York Times, Reddit et GitHub. L'attaque a été conduite au moyen d'un logiciel malveillant nommé Mirai. Mirai établit un botnet d'équipements connectés dans le cadre de l'Internet des objets (IdO), comme les appareils photo, les téléviseurs connectés, les radios, les imprimantes, voire les babyphones. Afin de générer le trafic de l'attaque, les appareils compromis reçoivent tous (par programmation) l'instruction d'envoyer des requêtes à une victime unique.

Heureusement, Dyn a pu remédier à l'attaque en une journée, mais la raison motivant l'attaque n'a jamais été révélée. Certains groupes d'hacktivistes ont revendiqué la responsabilité de l'attaque, en déclarant l'avoir lancée en réponse à l'interdiction pour Julian Assange (le fondateur de WikiLeaks) d'accéder à Internet en Équateur. Aucune preuve n'est cependant venue étayer cette déclaration et certains soupçons portent également à croire que l'attaque a été lancée par un joueur mécontent.

L'attaque contre GitHub en 2015

Déjà enregistrée comme la plus volumineuse de tous les temps à l'époque, cette attaque DDoS visait les services de GitHub. Motivée par des raisons politiques, cette attaque a duré plusieurs jours et s'est adaptée aux stratégies d'atténuation des attaques DDoS mises en œuvre. Le trafic DDoS provenait de Chine et ciblait spécifiquement les URL de deux projets GitHub destinés à contourner la censure de l'État chinois. On suppose que l'intention à l'origine de l'attaque consistait à tenter de contraindre GitHub à abandonner ces projets.

Le trafic de l'attaque a été généré en injectant du code JavaScript au sein des navigateurs de tous les usagers se rendant sur Baidu, le moteur de recherche le plus populaire en Chine. D'autres sites utilisant les services d'analyse de Baidu injectaient également ce code malveillant, qui forçait les navigateurs infectés à envoyer des requêtes HTTP aux pages GitHub ciblées. Après l'attaque, il fut déterminé que le code malveillant ne provenait pas de Baidu, mais qu'il était ajouté par un service intermédiaire.

L'attaque contre Spamhaus en 2013

L'attaque lancée en 2013 contre Spamhaus, une organisation de lutte contre le spam et les activités liées au spam, figure également parmi les plus volumineuses attaques jamais enregistrées à son époque. Responsable du filtrage de 80 % de l'ensemble des spams, Spamhaus constitue une cible très prisée des individus qui aimeraient voir leurs spams atteindre les destinataires prévus.

L'attaque a redirigé le trafic vers Spamhaus à un débit de 300 Gb/s. L'organisation a souscrit une offre Cloudflare lorsque l'attaque a commencé et le service de protection anti-DDoS de Cloudflare a atténué cette dernière. Les pirates ont réagi en s'attaquant à certains points d'échange Internet et fournisseurs de bande passante, afin de tenter de neutraliser Cloudflare. Cette attaque n'a pas atteint son objectif, mais a entraîné d'importantes perturbations sur LINX, le point d'échange Internet de Londres. Le principal coupable de l'attaque s'est avéré être un jeune « pirate informatique à louer » britannique, payé pour lancer cette attaque DDoS.

Consultez le blog de Cloudflare pour en savoir plus sur cette attaque et découvrir comment elle a été atténuée.

L'attaque lancée par Mafiaboy en 2000

En 2000, un pirate informatique de 15 ans connu sous le nom de « Mafiaboy » a provoqué l'arrêt de plusieurs grands sites web, parmi lesquels CNN, Dell, E-Trade, eBay et Yahoo, le moteur de recherche le plus populaire du monde à l'époque. Cette attaque a eu des conséquences dévastatrices, en engendrant notamment un véritable chaos sur les marchés financiers.

Mafiaboy, qui s'est plus tard révélé être un lycéen du nom de Michael Calce, a coordonné l'attaque en compromettant les réseaux de plusieurs universités, avant d'utiliser leurs serveurs pour lancer son attaque DDoS. Les répercussions de cette attaque ont directement conduit à la création de nombreuses lois actuellement en vigueur en matière de cybercriminalité.

L'attaque menée sur l'Estonie en 2007

En avril 2007, la nation estonienne a été frappée par une immense attaque DDoS ciblant les services gouvernementaux, les institutions financières et les médias. Cette attaque s'est révélée particulièrement destructrice, car le gouvernement estonien (l'un des premiers à adopter le gouvernement en ligne) était presque entièrement dématérialisé à l'époque. En effet, même les élections nationales se déroulaient en ligne.

Considérée par beaucoup comme le premier acte de guerre informatique, cette attaque a été lancée en réponse à un conflit politique avec la Russie autour du déplacement du « soldat de bronze de Tallinn », un monument commémoratif de la Seconde Guerre mondiale. Un ressortissant estonien de Russie fut arrêté après l'attaque, mais le gouvernement russe, soupçonné d'être impliqué, n'a pas autorisé les autorités estoniennes à poursuivre leur enquête en Russie. Cet événement éprouvant a conduit à la création de lois internationales en matière de guerre informatique.

Les fournisseurs de solutions de protection contre les attaques DDoS peuvent-ils atténuer les attaques de cette ampleur ?

Tout dépend de la capacité de leurs réseaux, c'est-à-dire leur capacité à absorber ou non la quantité de trafic générée par l'attaque DDoS, tout en continuant à fonctionner. De nos jours, bon nombre de fournisseurs de solutions de protection et d'atténuation des attaques DDoS disposent d'une capacité réseau suffisante pour ce faire.

Although the largest DDoS attack Cloudflare has mitigated in terms of volume was 1.2 Tbps, Cloudflare features 100 Tbps of network capacity, which is much larger than the largest DDoS attacks ever recorded. Cloudflare has also mitigated DDoS attacks that featured extremely high packet rates. In June 2020, Cloudflare mitigated a 754 million packet-per-second DDoS attack.

Il est important de garder à l'esprit que la grande majorité des attaques DDoS ne sont pas aussi volumineuses que les attaques présentées dans cet article. Les études réalisées par Cloudflare montrent que la plupart des attaques DDoS n'excèdent pas 10 Gb/s. Toutes ces attaques, même celles de moindre ampleur, se révèlent cependant capables d'entraîner l'interruption des applications ou des sites web de manière prolongée en l'absence de mesures d'atténuation des attaques DDoS.

Service commercial