Le début de l’année a été florissant pour les campagnes d’attaques par saturation. En effet, le fournisseur de cloud public, AWS, a publié un rapport sur l'offre de cybersécurité Shield qui montre une forte croissance de l’intensité de ces attaques. Si au premier trimestre 2019, ces offensives plafonnaient à 600 Gbps, à la même période cette année, AWS a vu déferler une offensive de 2,3 Tbps, soit une augmentation de 283%.
Cette campagne s’est déroulée en début d’année, pendant trois jours en février, et s’est révélée infructueuse, rapporte AWS. Pour se faire une idée de la violence de l’attaque, il faut comparer avec d’autres offensives comme celles sur GitHub en 2018 (1,3 Tbps) ou le botnet Mirai (1 Tbps) qui a fait exploser Dyn en 2016.
Le protocole CLDAP sur la sellette
Sur le plan technique, le rapport d'AWS précise que l’attaque de février 2020 s’appuie sur le protocole CLDAP (Connection-less Lightweight Directory Access Protocol). Il est défini par la RFC 1798 remplacée par la RFC 3352. Il s’agit d’une alternative au protocole LDAP qui, tout comme lui, permet l’interrogation et la modification des services d’annuaire. Les deux protocoles utilisent le port 389. Mais LDAP passe en TCP, alors que CLDAP fonctionne en mode UDP. Concrètement, un attaquant envoie une requête LDAP ou CLDAP à un serveur LDAP avec une adresse IP falsifiée. La victime, en répondant à l’adresse usurpée, envoie du trafic réseau intempestif vers la cible du pirate. On appelle cela la réflexion, car l’attaquant envoie plusieurs milliers de requêtes réfléchies vers la cible de l’attaque. La technique semble avoir été améliorée pour gagner en amplification dans le cas d'AWS.
En dehors des DDoS, AWS constate d’autres techniques pour compromettre ses services. En premier lieu, des failles dans Docker sont utilisées pour trouver un chemin vers les services cloud. Puis viennent des tentatives d’intrusion SSH, des vulnérabilités dans les API de la base de données Redis et dans celles d’Apache Hadoop Yarn. Au total, AWS Shield a recensé 41 millions de tentatives utilisant ces quatre techniques au cours du 1er trimestre 2020.