AWS Shield est l’entreprise chargée d’atténuer les attaques subies par les services de cloud d’Amazon, AWS. Selon son rapport du premier trimestre 2020 Amazon aurait été victime de la plus grande attaque DDoS jamais enregistrée la semaine du 17 février. Les serveurs ont reçu jusqu’à 2,3 térabits par seconde (tbps) de données. En février 2018 c’était GitHub qui avait obtenu ce record avec 1,3 tbps, battu dès le mois suivant, avec une attaque de 1,7 tbps.

99% des attaques enregistrées par AWS Shield représentent en moyenne 43 Gbps

Le rapport d’AWS Shield ne précise pas qui a été la cible de l’attaque DDoS, mais une chose est sûre, elle est très impressionnante. Selon le rapport, avec un volume de 2,3 tbps « c’est environ 44% de plus que tout événement volumétrique du réseau précédemment détecté sur AWS ». Pendant trois jours sur la semaine du 17 février la menace a été considérée comme élevée.

La plus grande attaque jamais subie par AWS auparavant était de 500 gbps et 99% des attaques enregistrées au premier trimestre 2020 représentent en moyenne à peine 43 Gbps comme le montre le tableau publié par AWS Shield :

tableau du premier trimestre 2020 AWS Shield

Crédit : AWS Shield

Cette attaque a surpris les experts en cybersécurité qui n’était plus habitué à de tel volume de donnée. Les records établis précédemment, en 2018, passaient par un nouveau vecteur, les serveurs Memcached, exploités pour amplifier les attaques DDoS. Depuis, grâce au travail de plusieurs acteurs d’internet, les systèmes Memcached ont été sécurisés. Les attaques massives se sont raréfiées, les pics atteignant tout juste 500 gbps depuis.

CLDAP amplifie le trafic DDoS de 56 à 70 fois sa taille initiale

Le DDoS de mi-février est une attaque de « reflexion » : utiliser un serveur tiers vulnérable pour amplifier la quantité de données envoyées à l’adresse IP d’une victime, explique Cloudflare selon The Verge. Ici, les pirates ont exploités des serveurs web qui sont utilisés pour se connecter, rechercher et modifier des annuaires partagés sur Internet, un CLDAP pour Connection-Less Lightweight Directory Access Protocol.

Un CLDAP est exploité pour des attaques DDoS depuis fin 2016. Ils sont très recherchés, car ils amplifient le trafic DDoS de 56 à 70 fois sa taille initiale, rapporte ZDNet.

AWS n’a pas précisé les conséquences de l’attaque qui a, à coup sûr, mobilisé des moyens très importants. En 2018, les pirates avaient réussi à mettre le site cible, GitHub, hors-ligne une dizaine de minutes. À voir, si comme en 2018, une seconde attaque encore plus massive n’a pas suivi la première.