Cloudflare a tout d’abord atténué ces risques avec succès et mis un terme aux abus potentiels pour tous ses clients, tout en donnant le coup d’envoi d’une procédure de divulgation responsable avec deux autres importants fournisseurs d’infrastructure. Cloudflare a ensuite étendu les mesures d’atténuation de cette vulnérabilité à un large pourcentage d’Internet, avant de révéler l’existence de cette dernière au grand public.

« La capacité d’atténuer avec succès cette menace pour chaque entreprise d’infrastructure essentielle, chaque client et l’Internet au sens général réside au cœur de ce que représente Cloudflare. Nous sommes l’une des seules entreprises équipées pour identifier et répondre aux menaces de cette envergure, à la vitesse nécessaire pour maintenir l’intégrité d’Internet. En outre, si cette attaque DDoS et cette vulnérabilité restent au-dessus du lot à l’heure actuelle, les acteurs malveillants ne manqueront pas d’inventer d’autres tactiques et techniques zero-day évolutives, afin de perpétrer de nouvelles attaques. La constance dans la préparation et la capacité d’intervention face à ces menaces réside au cœur de notre mission visant à bâtir un meilleur Internet. » Matthew Prince, CEO • Cloudflare

Anatomie de la vulnérabilité HTTP/2 Rapid Reset

Fin août 2023, Cloudflare a découvert une vulnérabilité zero-day, développée par un acteur malveillant inconnu. La vulnérabilité exploite le protocole HTTP/2 standard, un composant fondamental du fonctionnement d’Internet et de la plupart des sites web. Le protocole HTTP/2 est responsable de la manière dont les navigateurs interagissent avec un site web, en leur permettant de « requérir » l’affichage rapide de certains éléments (comme le texte et les images) et tous à la fois, peu importe la complexité du site. Cette nouvelle attaque fonctionne en effectuant des centaines de milliers de « requêtes » et en les annulant immédiatement. En automatisant ce processus de « requête, annulation, requête, annulation » à grande échelle, les acteurs malveillants parviennent à submerger les sites web et peuvent entraîner la mise hors ligne de n’importe quel équipement utilisant le HTTP/2.

La vulnérabilité « Rapid Reset » confère aux acteurs malveillants un tout nouveau moyen, particulièrement puissant, d’attaquer leurs victimes sur Internet à un niveau d’envergure supérieur à tout ce qu’Internet a connu jusqu’ici. Le protocole HTTP/2 constitue la base d’environ 60 % de l’ensemble des applications web. Il détermine la vitesse et la qualité avec laquelle les utilisateurs voient et interagissent avec les sites web.

D’après les données de Cloudflare, plusieurs attaques tirant parti de Rapid Reset ont été estimées à une ampleur près de trois fois supérieure à celle de l’attaque DDoS la plus volumineuse de l’histoire d’Internet. Au point culminant de cette campagne d’attaques DDoS, Cloudflare a enregistré et traité plus de 201 millions de requêtes par seconde (Mr/s), tout en se chargeant de l’atténuation des milliers d’attaques supplémentaires qui ont suivi.

Comment Cloudflare a déjoué l’attaque en compagnie d’autres pairs du secteur

Les acteurs malveillants utilisant des méthodes d’attaques susceptibles de pulvériser tous les records ont énormément de mal à tester et à comprendre leur efficacité, du fait de leur absence d’infrastructure capable d’absorber les attaques. C’est pourquoi ils les testent souvent contre des fournisseurs tels que Cloudflare, afin de mieux comprendre les performances futures de leurs attaques.

« Bien que les attaques de grande ampleur (comme celles qui tirent parti de vulnérabilités telles que Rapid Reset) puissent se révéler complexes et difficiles à atténuer, elles nous fournissent une visibilité sans précédent sur les nouvelles techniques employées par les acteurs malveillants, et ce à un stade précoce de leur processus de développement. S’il n’existe pas de "procédure parfaite" en matière de révélation de vulnérabilité (car nous connaissons des hauts et des bas au cours du processus), la capacité de déjouer les attaques et de répondre aux incidents en temps réel nécessite que les entreprises et les équipes de sécurité adoptent l’état d’esprit encouragé chez Cloudflare et visant à "toujours supposer la possibilité d’une violation". En définitive, cette approche nous permet de nous poser comme un partenaire efficace, capable de contribuer à sécuriser Internet. » Grant Bourzikas, CSO • Cloudflare