Entre coupures d’Internet et attaques DDOS, le deuxième trimestre agité de Cloudflare

Au cours du mois dernier, Cloudflare a publié deux rapports portant sur ses activités du deuxième trimestre, l’un sur les perturbations d’Internet, l’autre sur les attaques DDoS. Au vu des informations, la période n’a pas été de tout repos.

Pour Cloudflare, le « deuxième trimestre 2023 s'est révélé particulièrement chargé en perturbations du réseau Internet ». Les causes évoquées sont nombreuses : coupures à l'initiative d'un gouvernement, défaillances partielles ou complètes résultant de conditions météorologiques extrêmes, câbles endommagés, pannes d'électricité, problèmes techniques généraux ou non spécifiés, cyberattaques, interventions militaires et opérations de maintenance de l'infrastructure.

Coupures gouvernementales

Concernant les coupures d’origine gouvernementale, Cloudflare évoque une fois de plus la « saison des examens », durant laquelle des gouvernements n’hésitent pas à couper l’intégralité d’Internet pour empêcher les étudiants de frauder. Des décisions se retrouvant la plupart du temps en Afrique et au Moyen-Orient. Cette année, l’Algérie, l’Irak et la Syrie ont procédé à de telles coupures.

En Algérie notamment, Cloudflare rapporte que c’est la sixième année consécutive que des coupures de grande ampleur sont employées. Depuis l'an dernier, le pays emploie une nouvelle méthode : plutôt qu’une coupure totale, l’approche retenue est maintenant basée sur le contenu. La société américaine dit avoir constaté une chute nominale du trafic pendant la période des examens, sur des plages horaires précises : de 8h à 12h (heure locale), puis de 14h à 17h.

En Irak, il s’agissait de coupures complètes, sur des créneaux également précis, le plus souvent entre 4h et 8h (heure locale). La demande de blocage a émané du ministère de l’Éducation. Dans un premier temps, celui des Communications a refusé. Mais deux semaines plus tard, l’autorisation a été accordée. En Syrie, les coupures ont eu lieu les 25 et 26 juin, entre 5h30 et 8h30. Le fournisseur d’accès Syrian Telecom a informé les abonnés via une publication Facebook.

D’autres blocages ont eu lieu ailleurs, pour des raisons différentes et sur des périodes plus ou moins importantes. En Mauritanie, le gouvernement n’a ainsi pas hésité à faire couper en totalité les services Internet mobiles pendant une semaine (du 30 mai au 6 juin), durant les manifestations qui ont éclaté spontanément à la suite du décès d’un jeune homme en garde à vue. Même chose au Pakistan, durant de violentes manifestations ayant suivi l’arrestation de l’ancien Premier ministre pour corruption. Durant trois jours, les services Internet mobiles ont été coupés, ainsi que plusieurs réseaux sociaux.

En Inde, un cas extrême a eu lieu dans l’État du Manipur. Suite à un conflit ethnique, les autorités ont fait couper les services Internet mobiles le 4 mai. Ce blocage devait durer cinq jours, mais il continue d'être reconduit : la coupure est toujours active à l’heure actuelle. Selon Wired, la coupure d’Internet a permis de passer sous silence nombre d’atrocités, la violence ayant atteint un niveau brutal.

Conditions météo extrêmes et câbles endommagés

Les coupures d’Internet peuvent être aussi accidentelles ou résulter d’évènements naturels. C’est ce qui s’est passé au Guam le 24 mai : l’énorme typhon Mawar a engendré des dégâts « considérables », retournant les voitures, abattant arbres et bâtiments, coupant les lignes électriques et de communication sur l’ensemble de l’île. Il a fallu attendre le 17 juin pour que la couverture cellulaire revienne à un niveau équivalent à celui précédant la tempête, ce qui fut confirmé le 20 juin par le fournisseur d’accès GTA Teleguam. Chez l’autre fournisseur du pays, Docomo Pacific, la reconstruction semble avoir pris nettement plus de temps.

Dans certains pays, on constate parfois des coupures de liaison importantes, sans que la cause soit vraiment connue. En Bolivie par exemple, un important câble en fibre optique a été rompu dans la ville de Pongo, perturbant trois fournisseurs d’accès (COTAS, Comteco et Cotel) et leurs abonnés. La panne a pu être réparée au bout de quelques heures. Situation similaire en Gambie, avec une chute de 80 % du trafic chez le fournisseur étatique Gamtel pendant presque deux jours. La panne était consécutive à la rupture de plusieurs câbles les 7 et 8 juin.

Une des causes les plus fréquentes de coupure Internet est la panne de courant. C’est ce qui s’est passé au Curacao, au Portugal, au Botswana ou encore à la Barbade. À chaque fois, les interruptions ont duré de quelques heures à plusieurs jours. Au Portugal par exemple, c’est une panne de courant le 6 juin dans un centre de données appartenant à Equinix qui a engendré les difficultés. Les entreprises de service public, les services bancaires et les réseaux des tribunaux locaux ne pouvaient presque plus se connecter. Le problème s’est largement répercuté sur le fournisseur d’accès Meo, les conditions d’accès étant fortement dégradés les 6 et 7 juin pour les abonnés.

Cyberattaques entre Ukraine et Russie

Bien qu’il existe de nombreux autres cas de pannes, celles engendrées par les cyberattaques méritent une place à part. C’est particulièrement le cas en Ukraine.

En mai 2022, plusieurs fournisseurs ukrainiens ont vu leur trafic être réacheminé vers Miranda Media, « opérateur de réseau contrôlé par la Russie et basé en Crimée » selon Cloudflare. Le 26 mai 2023, cette fois, Cloudflare a enregistré une baisse notable du trafic chez Miranda Media à 16h30 (heure locale), jusqu’à un arrêt complet vers 18h15. Plusieurs rapports sont cités, dans lesquels la piste d’une attaque par des hacktivistes ukrainiens est évoquée comme probable.

Deux groupes ont en outre revendiqué la cyberattaque contre le fournisseur russe de connexion satellite Dozor Teleport, « dont les clients comprennent le ministère de la Défense russe, les navires de la flotte du Nord, le fournisseur d'énergie russe Gazprom, des champs pétrolifères, la centrale nucléaire Bilibino, le FSB (Federal Security Service, Service fédéral de sécurité), Rosatom et d'autres entreprises ». L’attaque s’est produite le 29 juin et a provoqué une interruption quasi-totale de service pendant environ 16 heures.

DDoS : des attaques devenues hautement stratégiques

Du côté des attaques distribuées par déni de service, le deuxième trimestre n’a pas été non plus de tout repos. Cloudflare, puisqu’elle est présente dans une centaine de pays, se trouve souvent au premier plan pour observer ces déferlantes de données.

L’entreprise note ainsi de vastes offensives menées par des groupes d’hacktivistes pro-russes tels que REvil, Killnet et Anonymous Sudan contre des sites occidentaux « présentant un certain intérêt », tout particulièrement les banques et le réseau SWIFT (Society for Worldwide Interbank Financial Telecommunication). Les trois se sont associés – dans un collectif nommé Darknet Parliament – pour mener des attaques « massives » contre le système financier occidental, dont les banques américaines et européennes, et même contre la réserve fédérale américaine.

Ces attaques contre le système bancaire ont échoué. Cloudflare signale cependant qu’une attaque réussie aurait de « graves conséquences » pour le réseau SWIFT « car il s'agit du principal service utilisé par les institutions financières pour conduire leurs transactions ». Certaines autres attaques ont provoqué cependant quelques dégâts, notamment une contre Microsoft (par Anonymous Sudan), dont certains services ont été perturbés pendant plusieurs heures.

Mais même si le secteur bancaire est une cible de choix, il n’a été que le neuvième le plus attaqué sur la période. Le Top 3 des cibles les plus souvent visées rassemble les secteurs des logiciels, des casinos et des jeux vidéo. Suivent ceux des télécommunications, des médias, des services informatiques, de la fourniture d’Internet et de la vente. Au cours des dernières semaines, Cloudflare dit avoir bloqué environ 10 000 de ces attaques, dont la plus importante a atteint 1,7 millions de requêtes par seconde, quand la moyenne est aux alentours de 65 000.

Les méthodes sophistiquées se sont diffusées

L’entreprise note également un renforcement de la sophistication des attaques DDoS par HTTP. Elle les décrit comme « fortement randomisées » afin d’imiter « avec habileté et grande précision le comportement d'un navigateur ». Les agents utilisateurs et les empreintes JA3, entre autres, sont ainsi rendus aléatoires. Mais pas trop souvent : « pour bon nombre de ces attaques, il semble que les acteurs malveillants tentent de conserver le volume d'occurrences par seconde à un taux relativement faible afin d'éviter la détection et de se dissimuler parmi le trafic légitime ».

Cloudflare y voit un glissement dans les méthodes, car ce degré de sophistication était auparavant l’apanage des groupes sponsorisés par des États, alors qu’il semble maintenant accessible aux « simples cybercriminels ».

Les attaques basées sur le DNS restent cependant les plus courantes (32 % de l’ensemble). Une méthode semble en particulier redoutable : l’attaque par blanchiment de DNS. Par analogie avec l’argent, il s’agit de faire passer un trafic malveillant pour légitime via des résolveurs récursifs.

Dans ce modèle, les attaques sont dirigées d’abord vers les sous-domaines du domaine géré par le serveur DNS de la victime. Dans les requêtes, le préfixe définissant le sous-domaine « n’est jamais utilisé plus d’une ou deux fois » et est aléatoire. Face à ce déluge aléatoire, les serveurs récursifs n’ont pas de réponse en cache et passent alors le relai au serveur DNS de référence, qui peut alors lacher. L’attaque est d’autant plus difficile à bloquer que les attaquants passent souvent par des serveurs récursifs connus comme le 8.8.8.8 de Google et le 1.1.1.1 de Cloudflare. Ils ne peuvent pas non plus bloquer complètement les requêtes faites au domaine attaqué, puisque les requêtes légitimes seraient bloquées également.

Botnets VM, une autre dimension

Aux côtés des méthodes d’attaques, l’évolution de la volumétrie est également notable. Cloudflare note ainsi l’essor des botnets reposant sur des machines virtuelles (VM), plutôt que sur les objets connectés (IoT). En termes de capacité, ces botnets seraient « jusqu’à 5 000 fois plus puissants ». L’entreprise évoque notamment le cas de « l'une des plus grandes plateformes de jeux vidéo du secteur », ciblée par cette nouvelle génération. Il s’agit probablement de Blizzard, dont les services ont été largement perturbés après le lancement de Diablo IV. L’attaque la plus conséquente jamais enregistrée par Cloudflare, chiffrée à 71 millions de requêtes par seconde, était également basée sur des machines virtuelles.

Parmi les autres informations données dans le rapport, on apprend que des attaques DDoS par amplification UDP ont connu une recrudescence contre les structures utilisant le système de téléphonie MiCollab de Mitel. En mars 2022, Cloudflare avait révélé une faille 0-day dans ce système (CVE-2022-26143). Depuis, l’exploitation de cette brèche, nommée Starblast, a vu une augmentation de 532 % des attaques DDoS l’utilisant. Un tiers de ces attaques ont visé l’industrie du service informatique. Dans le même ordre de grandeur, les attaques DDoS abusant du protocole TeamSpeak 3 ont connu une croissance de 403 % au dernier trimestre.

La volumétrie repart à la hausse après une longue baisse

Globalement, le trafic lié aux attaques DDoS est 35 % moins élevé qu’il y a un an. Cependant, comme on peut le voir sur le graphique de Cloudflare, il repart à la hausse (+ 15%) après plusieurs trimestres consécutifs de baisse.

En outre, si les États-Unis sont en tête en volumétrie pure (3 requêtes sur 1 000), précédant la Chine et l’Allemagne, le classement évolue largement lorsqu'on établit le rapport entre trafic hostile et trafic total : presque 20 % du trafic du Mozambique fait partie d’une attaque DDoS. Derrière, on trouve l’Égypte avec 13,5 %, la Finlande avec 12,1 %, la Lybie avec 10,5 % et la Chine avec 9,2 %. Les États-Unis ne font même plus partie du Top 10.

Un mot enfin sur les cibles. Les sites d’achat de cryptomonnaies ont été les plus visés par les attaques DDoS, et avec les plus gros volumes de trafic hostile, à hauteur en moyenne de 6,3 requêtes HTTP sur 10 000, une augmentation de 600 % par rapport au trimestre précédent. Les sites/services de jeux et paris, de marketing et publicité, Internet ainsi que les logiciels informatiques viennent ensuite dans le classement.

Comme précédemment, quand on ramène la part de trafic hostile reçue vis-à-vis de l’ensemble, le paysage évolue. Parmi les ONG protégées par les services de Cloudflare (2 271), en moyenne 12 % de leur trafic provenait d’attaques DDoS. Dans le secteur caritatif dans son ensemble, ce taux grimpe même à 17,6 %. Il n’est  dépassé que par le secteur du conseil en gestion, qui culmine à 18,4 % de trafic détecté comme hostile.