in

Google a contré la plus grosse cyberattaque de l’histoire sur son cloud

Crédits : Google Cloud

Avant l’été, un client de Google Cloud s’est trouvé au cœur de la plus grosse attaque par déni de service jamais observée. Dans une publication récente, le géant du Web a expliqué comment cette attaque a été contrée.

76 % de requêtes en plus que le précédent record

Wikipedia fait partie des dix sites Internet qui reçoivent le plus de visites au monde. Chaque jour, ce site reçoit des dizaines de millions de requêtes, mais possède des serveurs et une bande passante capable de les supporter. Cet exemple est celui que Google a mentionné dans un billet de blog du 19 août 2022 qui revient sur la plus importante cyberattaque de l’histoire.

Selon la firme, un client de Google Cloud a subi une attaque par déni de service (DDoS), dont le débit a atteint pas moins de 46 millions de requêtes par seconde. Si cette même attaque a été bloquée, l’étonnement concerne le débit. Google affirme qu’il s’agit de la plus grande attaque DDoS de couche 7, dont les requêtes étaient 76 % plus nombreuses que lors du précédent record. Pour se faire une idée de l’ampleur du phénomène, cette attaque revient à recevoir l’équivalent de toutes les requêtes quotidiennes de Wikipédia en une dizaine de secondes seulement.

Plus étonnant encore, Google a pu déjouer l’attaque DDoS grâce au client. Ce dernier avait activé la protection adaptative dans sa politique de sécurité Cloud Armor qui agit comme un pare-feu. Cette protection a permis de détecter l’attaque au début de son cycle de vie et d’analyser son trafic entrant avant de générer une alerte de protection. Or, cela s’est produit avant que l’attaque ne devienne encore plus grave, et ce, dans un laps de temps très court (seulement quelques secondes).

attaque DDoS google
Crédits : Google Cloud

Une fonction filtrant le trafic indésirable

L’outil de protection a limité automatiquement le débit de l’attaque. Ainsi, le client, dont le nom reste inconnu, a préféré « étrangler » l’attaque au lieu de tenter de la « refuser ». Cette méthode a permis de limiter l’impact au niveau du trafic entrant légitime en isolant par la même occasion les requêtes malveillantes. Le serveur du client n’a donc jamais été inaccessible, alors que les attaques DDoS parviennent généralement a déborder leur cible. Selon Google, la méthode a d’abord été testée en mode prévisualisation avant de réellement faire l’objet d’un déploiement. Le client a pu vérifier l’accès à son serveur, toujours autorisé pour les requêtes légitimes, mais bloqué au niveau du trafic indésirable. Et malgré le pic de 46 millions de requêtes par seconde, les services offerts par le client fonctionnaient toujours.

Enfin, la quantité d’adresses IP n’était pas si importante au regard du nombre de requêtes et cela a visiblement facilité le blocage. Google estime que ces adresses IP étaient au nombre de 6 000 en provenance de 132 pays. Toutefois, un tiers des requêtes provenaient de seulement quatre pays.