Pannes Azure, Outlook et OneDrive : Microsoft confirme que ce sont des attaques DDoS
Nous avons enfin la confirmation de Microsoft : ce sont bien des attaques DDoS qui ont mis à mal les services de Microsoft, et plus précisément les portails Azure, OneDrive et Outlook.
Microsoft a continué de mener son enquête au sujet des pannes qu'il y a eu récemment, et plus précisément, du 7 au 9 juin derniers.
- Le 7 juin, le portail Outlook.com était inaccessible une partie de la journée
- Le 8 juin, c'est le portail OneDrive qui était inaccessible
- Le 9 juin, c'était au tour du portail Azure d'être inaccessible pendant 2 heures en fin d'après-midi, qui avait impacté aussi les portails Microsoft Entra et Intune
Trois jours de perturbations pour les utilisateurs et administrateurs de services Microsoft. Début de semaine dernière, Microsoft parlait d'un pic de trafic anormal sans évoquer une attaque par DDoS : "L'analyse du trafic a montré un pic anormal dans les requêtes HTTP émises contre les origines du portail Azure, contournant les mesures automatiques de récupération préventive existantes et déclenchant un message qui indique l'indisponibilité du service. Nous partagerons plus de détails lorsque notre enquête sera terminée."
Désormais, la firme de Redmond est formelle : il s'agit bien d'attaques DDoS de couche 7 (vis-à-vis du modèle OSI). Sans surprise, Microsoft a attribué ces attaques par déni de service distribué à un groupe de cybercriminels surnommés Storm-1359, et qui correspond au groupe Anonymous Sudan.
L'entreprise américaine a publié un rapport complet au sujet de ces attaques. D'après leur analyse, le groupe Anonymous Sudan a utilisé trois méthodes différentes pour lancer ces attaques DDoS de couche 7 :
- HTTP(S) flood attack : les requêtes HTTPS sont lourdes à traiter, car il y a la partie SSL/TLS à gérer pour le chiffrement des flux. Ici, on parle de millions de requêtes HTTPS envoyées.
- Cache bypass : cette attaque tente de contourner la couche CDN et peut entraîner une surcharge des serveurs d'origine. Dans ce cas, l'attaquant envoie une série de requêtes vers des URL générées qui forcent la partie frontend à transmettre toutes les requêtes au serveur d'origine plutôt que de servir des contenus mis en cache.
- Slowloris : cette attaque à ouvrir une connexion à un serveur web depuis un client, puis à demander une ressource (par exemple, une image), et ne pas accuser réception du téléchargement (ou à l'accepter lentement). Cela oblige le serveur web à garder la connexion ouverte et la ressource demandée en mémoire. Ce qui a fini par mener à une surcharge.
Ces méthodes DDoS ont permis aux attaquants de surcharger les serveurs Web de Microsoft, ces derniers n'étant plus en mesure de répondre, les portails étaient inaccessibles.
Par ailleurs, la firme de Redmond affirme avoir révisé ses règles de firewalls, et des travaux sont en cours pour améliorer la disponibilité des différents portails, notamment pour les rendre plus scalable face aux pics de charge.
