Google a contrĂ© la plus grosse cyberattaque de l’histoire sur son cloud

google cloud
Crédits : Google Cloud

Avant l’Ă©tĂ©, un client de Google Cloud s’est trouvĂ© au cÅ“ur de la plus grosse attaque par dĂ©ni de service jamais observĂ©e. Dans une publication rĂ©cente, le gĂ©ant du Web a expliquĂ© comment cette attaque a Ă©tĂ© contrĂ©e.

76 % de requĂªtes en plus que le prĂ©cĂ©dent record

Wikipedia fait partie des dix sites Internet qui reçoivent le plus de visites au monde. Chaque jour, ce site reçoit des dizaines de millions de requĂªtes, mais possède des serveurs et une bande passante capable de les supporter. Cet exemple est celui que Google a mentionnĂ© dans un billet de blog du 19 aoĂ»t 2022 qui revient sur la plus importante cyberattaque de l’histoire.

Selon la firme, un client de Google Cloud a subi une attaque par dĂ©ni de service (DDoS), dont le dĂ©bit a atteint pas moins de 46 millions de requĂªtes par seconde. Si cette mĂªme attaque a Ă©tĂ© bloquĂ©e, l’Ă©tonnement concerne le dĂ©bit. Google affirme qu’il s’agit de la plus grande attaque DDoS de couche 7, dont les requĂªtes Ă©taient 76 % plus nombreuses que lors du prĂ©cĂ©dent record. Pour se faire une idĂ©e de l’ampleur du phĂ©nomène, cette attaque revient Ă  recevoir l’Ă©quivalent de toutes les requĂªtes quotidiennes de WikipĂ©dia en une dizaine de secondes seulement.

Plus Ă©tonnant encore, Google a pu dĂ©jouer l’attaque DDoS grĂ¢ce au client. Ce dernier avait activĂ© la protection adaptative dans sa politique de sĂ©curitĂ© Cloud Armor qui agit comme un pare-feu. Cette protection a permis de dĂ©tecter l’attaque au dĂ©but de son cycle de vie et d’analyser son trafic entrant avant de gĂ©nĂ©rer une alerte de protection. Or, cela s’est produit avant que l’attaque ne devienne encore plus grave, et ce, dans un laps de temps très court (seulement quelques secondes).

attaque DDoS google
Crédits : Google Cloud

Une fonction filtrant le trafic indésirable

L’outil de protection a limitĂ© automatiquement le dĂ©bit de l’attaque. Ainsi, le client, dont le nom reste inconnu, a prĂ©fĂ©rĂ© « étrangler » l’attaque au lieu de tenter de la « refuser ». Cette mĂ©thode a permis de limiter l’impact au niveau du trafic entrant lĂ©gitime en isolant par la mĂªme occasion les requĂªtes malveillantes. Le serveur du client n’a donc jamais Ă©tĂ© inaccessible, alors que les attaques DDoS parviennent gĂ©nĂ©ralement a dĂ©border leur cible. Selon Google, la mĂ©thode a d’abord Ă©tĂ© testĂ©e en mode prĂ©visualisation avant de rĂ©ellement faire l’objet d’un dĂ©ploiement. Le client a pu vĂ©rifier l’accès Ă  son serveur, toujours autorisĂ© pour les requĂªtes lĂ©gitimes, mais bloquĂ© au niveau du trafic indĂ©sirable. Et malgrĂ© le pic de 46 millions de requĂªtes par seconde, les services offerts par le client fonctionnaient toujours.

Enfin, la quantitĂ© d’adresses IP n’Ă©tait pas si importante au regard du nombre de requĂªtes et cela a visiblement facilitĂ© le blocage. Google estime que ces adresses IP Ă©taient au nombre de 6 000 en provenance de 132 pays. Toutefois, un tiers des requĂªtes provenaient de seulement quatre pays.