Si vous utilisez quotidiennement les services de Microsoft, vous faites peut-être partie des utilisateurs ayant subi la gigantesque panne au début du mois de juin. Pendant la quinzaine d’heures qu’a duré l’attaque, les services en ligne de Microsoft, comme Azure, Outlook, Teams ou encore OneDrive ont été inaccessibles, ou l’ont été difficilement. La firme de Redmond vient tout juste d’en révéler les raisons. Il ne s’agissait en réalité pas d’une simple panne. Ses services, subitement submergés de requêtes, ont en fait été victime d’une attaque DDoS.
Une cyberattaque sans dommage pour les données des utilisateurs
Une attaque DDoS, aussi appelée attaque par déni de service en français, consiste à rendre l’accès à un ou plusieurs sites Web en inondant ceux-ci de requêtes malveillantes. Dans le cas de celle qui a touché Microsoft, il semblerait que les pirates se soient appuyés sur une multitude de serveurs VPS (Virtual Private Server, ou serveur virtuel privé). Ils ont également utilisé des proxies ouverts, une infrastructure Cloud spécialement louée pour l’occasion, ainsi que des outils dédiés aux attaques de ce type. Bien que cette attaque soit considérée comme sophistiquée par Microsoft, l’entreprise indique qu’aucune donnée d’utilisateur n’a été compromise.
D’après Microsoft, le groupe à l’origine de l’attaque, qu’elle a nommé Storm-1359, aurait pour principal objectif de perturber ses services ainsi que la publicité.
« Microsoft a évalué que Storm-1359 a accès à une collection de botnets et d’outils qui pourraient permettre à l’acteur de la menace de lancer des attaques DDoS à partir de plusieurs services Cloud et d’infrastructures proxy ouvertes. Storm-1359 semble se concentrer sur les perturbations et la publicité » indique Microsoft dans le billet de blog relatant l’affaire.
Sans vraiment entrer dans les détails de l’attaque, Microsoft a tout de même donné quelques pistes techniques pour expliquer la méthode employée par le groupe de pirates. À l’aide de botnets, celui-ci aurait réalisé trois types d’attaques. La première consistait à inonder les serveurs de Microsoft de requêtes HTTP(S) (plusieurs millions), distribuées depuis le monde entier grâce à différentes adresses IP. Face à cet afflux soudain de visites, le serveur de l’application est à court de ressources (processeur et mémoire) et n’est plus en mesure de répondre. Pour la seconde attaque, les pirates auraient tenté de contourner le cache des serveurs afin de surcharger les serveurs d’origine. Enfin, ils auraient utilisé une attaque de type Slowloris qui consiste à envoyer une requête partielle pour obliger le serveur Web à garder sa connexion ouverte et à conserver en mémoire la ressource demandée, mais non distribuée.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Microsoft
