Microsoft confirme que les pannes d'Outlook du mois de juin résultent d'une attaque DDoS
Au début du mois de juin, les utilisateurs d'Outlook ont commencé à se plaindre en masse de l'inaccessibilité du service lors des pics d'utilisation. Selon un article de l'Associated Press, il s'agissait d'une attaque DDoS. Récemment, Microsoft a confirmé l'attaque dans son blog, où elle a également fourni des détails et des recommandations pour la protection.
Ce que nous savons
Le billet de blog n'indique pas si l'entreprise a réussi à contrôler la situation ou si l'attaque s'est arrêtée d'elle-même. Toutefois, le compte officiel Microsoft 365 Status sur Twitter a signalé que la panne s'était produite le 5 juin et qu'elle s'était reproduite plus tard dans la journée. Il semble que la situation ait finalement été résolue le lendemain matin.
Un article d'AP mentionne qu'un porte-parole (apparemment de Microsoft) a confirmé que l'attaque a été menée par un groupe appelé Anonymous Sudan, qui est actif depuis au moins janvier. Selon l'article, le groupe a affirmé que son attaque a duré environ une heure et demie avant d'être stoppée.
Nous continuons à observer une santé stable du service depuis que nous avons appliqué nos diverses mesures d'atténuation préemptives et nous surveillerons de près le service en cas de récurrence.
- Microsoft 365 Status (@MSFT365Status) 7 juin 2023
Selon l'ancien hacker de la National Security Agency, Jake Williams, cité par AP : "il n'y a aucun moyen d'évaluer l'impact à moins que Microsoft ne fournisse cette information". Il n'était pas au courant qu'Outlook avait déjà été affecté de la sorte.
En 2021, Microsoft a réussi à atténuer l'une des plus grandes attaques DDoS jamais enregistrées. Cette attaque a duré plus de 10 minutes et a atteint un volume de trafic maximal de 2,4 térabits par seconde (Tbps). En 2022, la vitesse de l'attaque est passée à 3,47 Tbps. On ne connaît pas l'importance des pics de trafic lors de l'attaque de juin.
Selon Microsoft, le DDoS visait la couche sept de l'OSI, qui est la couche du réseau où les applications accèdent aux services du réseau. C'est là que vos applications, telles que le courrier électronique, obtiennent leurs données. Microsoft pense que les attaquants, qu'ils appellent Storm-1359, ont utilisé des botnets et des outils pour lancer l'attaque à partir de "multiples services en nuage et infrastructures de proxy ouvertes", leur objectif principal étant de perturber et de faire de la publicité.
Source : The Verge : The Verge