L’affaire s’éclaircit un peu après une succession d’interruptions de services constatées en début de mois par Microsoft. Azure, Outlook et OneDrive avaient été touchés. Le 9 juin dernier, un groupe nommé Anonymous Sudan, aussi baptisé Stom-1359 avait revendiqué une attaque par saturation (DDoS), sans que l’éditeur confirme cette information. Il vient de le faire en donnant quelques précisions.

L’attaque DDoS a été menée sur la couche applicative (niveau 7 du modèle OSI), précise le rapport de Microsoft. Sur les méthodes, il constate un triptyque : attaque par saturation du HTTPS (en multipliant les requêtes HTTPS), contournement du cache (les attaquants évitent la couche CDN pouvant entraîner une surcharge des serveurs d’origine) et le Slowloris. Cette attaque consiste pour le client à ouvrir une connexion à un serveur web, à demander une ressource (par exemple, une image), puis à ne pas accuser réception du téléchargement (ou à l'accepter lentement). Cela oblige le serveur web à garder la connexion ouverte et la ressource demandée en mémoire.

Renforcer le WAF sur Azure

Dans son rapport, Microsoft souligne que l’attaque DDoS a commencé au début du mois de juin, avec le portail web d'Outlook.com ciblé le 7 juin, suivi de OneDrive le 8 juin et du portail Azure le 9 juin. À la suite de cette campagne, Microsoft a lancé une enquête interne qui suggère que l'acteur de la menace a utilisé plusieurs serveurs privés virtuels, une infrastructure cloud louée, des proxies ouverts et des outils DDoS pour mener son offensive.

Malgré les perturbations, Microsoft se veut rassurant en soulignant « qu’il n’y a aucune preuve que les données clients aient été consultées ou compromises au cours de ces attaques ». La firme américaine a annoncé le renforcement de sa protection contre les attaques DDoS visant la couche 7 à travers le service de WAF (Web Application Firewall) sur Azure. Elle conseille aux administrateurs de revoir leurs mesures, notamment l'ensemble de règles gérées pour la protection contre les robots connus, bloquer les adresses IP et les plages identifiées comme malveillantes. Ils doivent aussi gérer le trafic en fonction de la région géographique et créer des règles WAF personnalisées pour bloquer ou limiter les attaques avec des signatures connues.