Mardi, une panne de plusieurs heures a perturbé divers services cloud Microsoft 365 et Azure dans le monde entier. Microsoft a confirmé qu’une attaque par déni de service distribué en était l’origine mais qu’un autre problème a amplifié son effet.
A peine sorti de l’énorme coup de semonce que fut la panne mondiale de Crowdstrike, Microsoft alimente à nouveau l’actualité de la cybersécurité malgré lui.
L’éditeur a révélé qu’une attaque par déni de service distribué (DDoS) était à l’origine des pannes de plusieurs services cloud Microsoft 365 et Azure qui ont duré une bonne partie de la journée de mardi.
Une explication qui surprend
L’accès au courrier électronique (Outlook notamment) et d’autres systèmes tels que les services d’authentification ont été perturbés, affectant des milliers d’utilisateurs et d’entreprises à travers le monde.
« Un pic d’utilisation inattendu a eu pour conséquence que les composants Azure Front Door (AFD) et Azure Content Delivery Network (CDN) ont fonctionné en dessous des seuils acceptables, entraînant des erreurs intermittentes, des dépassements de délais et des pics de latence », explique Microsoft.
La nouvelle a de quoi surprendre car on imagine qu’une infrastructure telle que celle de Microsoft est conçue pour résister à ce type d’attaque. C’est évidemment le cas. Sauf que cette fois-ci, ce sont les mécanismes de protection DDoS eux-mêmes qui n’ont pas fonctionné comme attendu.
Microsoft promet un rapport complet sur l’incident
« Bien que l’événement déclencheur initial ait été une attaque par déni de service distribué (DDoS), qui a activé nos mécanismes de protection DDoS, les premières investigations suggèrent qu’une erreur dans la mise en œuvre de nos défenses a amplifié l’impact de l’attaque au lieu de l’atténuer », reconnaît Microsoft.
Il a fallu plusieurs heures pour mettre en œuvre les changements de configuration réseau et les reroutages nécessaires pour rétablir la disponibilité des différents services cloud Azure et Microsoft 365.
Dans l’immédiat, Microsoft n’a pas donné de détails sur les causes de cette défaillance interne ni sur l’origine de l’attaque DDoS. Mais l’entreprise promet un rapport préliminaire post-incident dans les 72 heures suivi d’une seconde explication plus élaborée dans les deux prochaines semaines.