Le confinement a transformé le paysage des attaques DDoS
Informations mondiales sur les attaques DDoS ciblant la couche réseau
Le premier trimestre 2020 a connu un pic du trafic Internet. Est-ce également vrai pour les attaques DDoS sur la couche réseau ?
Le premier trimestre 2020 a été marqué par un pic phénoménal du trafic Internet et du nombre d’attaques DDoS prenant pour cible la couche réseau. Avec le confinement mondial, Internet est devenu un outil indispensable pour le personnel travaillant à distance, pour la préservation des liens communautaires, pour l’éducation et les achats en ligne, pour la consultation des réseaux sociaux et pour les services sur Internet, tels que la livraison de nourriture et les jeux. Dans certains pays, le trafic web a augmenté jusqu’à 50 %. L’activité en ligne a augmenté, tout comme le nombre d’attaques DDoS sur la couche réseau. L’intensification de l’activité en ligne éveille, chez les auteurs d’attaques DDoS, le goût du sang. Ils savent qu’une utilisation plus intensive d’Internet génère une augmentation des revenus par minute pour les entreprises en ligne.
Les entreprises ont beaucoup plus à perdre pendant les pics d'utilisation. La tentation pour les pirates de lancer des attaques DDoS se révèle donc encore plus importante. ITIC (Information Technology Industry Council) estime que le coût moyen de l’arrêt d’un service est de 5 600 dollars par minute. À l'heure actuelle, une attaque DDoS couronnée de succès peut donc coûter aux entreprises jusqu'à 336 000 USD par heure d'interruption de service. En raison de l'augmentation du coût de ce type de panne, certaines d'entre elles peuvent ainsi se montrer plus enclines à verser une rançon aux auteurs d'une attaque DDoS afin qu'ils rétablissent le bon fonctionnement de leur infrastructure réseau ou de leurs propriétés web.
Les attaques lancées pendant le premier trimestre 2020 se sont révélées moins vastes et plus brèves
La plupart des attaques sur la couche réseau que nous avons observées pendant le premier trimestre 2020 constituaient, en termes de mesures de débit binaire, des attaques de faible ampleur. 92 % des attaques affichaient un débit inférieur à 10 gigabits par seconde (Gb/s), contre 84 % au quatrième trimestre 2019. En termes de taux de transfert de paquets, la majorité des attaques n'excédaient pas le million de paquets par seconde (pps). Associé au débit binaire, ce chiffre indique que, sur cette période, les pirates ont manifestement concentré leurs efforts et leurs ressources sur le lancement d'attaques de faible ampleur.
À l'instar du taux de transfert de paquets et du débit binaire, la durée des attaques a également diminué. 79 % des attaques DDoS menées au premier trimestre 2020 ont duré de 30 à 60 minutes (par rapport aux attaques passées qui ont parfois duré des jours entiers, voire des mois). Ce constat peut sembler une bonne nouvelle, mais ce n'est pas le cas. L'une des théories justifiant cette tendance aux attaques moins vastes et plus brèves explique que le lancement d'attaques DDoS se révèle désormais devenu plus facile et moins coûteux, du fait de leur disponibilité sous forme de service. Selon Kaspersky, une attaque d'une durée de 5 minutes peut s'acheter pour tout juste 5 USD dans les recoins les plus sombres d'Internet.
Les attaques de grande ampleur demeurent très répandues
Si la taille de la plupart des attaques observées au premier trimestre 2020 se situait sous les 10 Gb/s, les attaques de plus grande ampleur demeuraient très répandues. Au mois de mars, la plus importante attaque du premier trimestre a ainsi atteint un pic de plus de 550 Gb/s. À partir de mi-mars, Cloudflare a constaté une augmentation des attaques DDoS de grande ampleur ciblant les grandes entreprises. Lancées dans le but d'exiger le versement d'une rançon, ces attaques peuvent être l'œuvre d'acteurs malveillants sponsorisés par certains pays, d'hacktivistes ou de cybercriminels cherchant à perturber l'activité d'entreprises dont les employés travaillent à distance. D'autres pirates peuvent également tenter, pendant les moments difficiles, de tirer profit de services d'intérêt public vulnérables, comme les réseaux d'électricité et les installations pétrolières.
Surveillance des vecteurs d'attaque
Le nombre moyen par adresse IP et par jour de vecteurs d'attaque utilisés lors des attaques DDoS est resté stable, à environ 1,4. Le nombre maximum de vecteurs d'attaque ciblant une adresse IP observés au cours d'une journée s'élève à 10. Au cours du dernier trimestre, nous avons relevé plus de 32 types de vecteurs d'attaque différents visant les couches 3 et 4 (L3/L4). Les attaques ACK (« acknowledgment signal », signal d'accusé de réception) constituent la majorité (55,8 %) des attaques lancées au premier trimestre, suivies par les attaques SYN (« synchronize request », requête de synchronisation), avec 14,4 %. En troisième position, le vecteur Mirai (un logiciel malveillant créant un botnet) forme toujours une part importante des attaques (13,5 %). Collégialement, les attaques DDoS SYN et ACK représentent plus de 70 % de l'ensemble des vecteurs d'attaques sur les couches 3 et 4 au premier trimestre.
Résumé des enseignements du premier trimestre 2020
Cette augmentation à l'échelle mondiale s'accompagne d'un accroissement des attaques DDoS.
Ces dernières se révèlent désormais moins vastes et plus brèves, potentiellement car elles s'avèrent moins coûteuses et plus faciles à lancer.
Toutefois, les attaques de plus grande envergure visant les grandes entreprises demeurent très répandues.
Refermer la fenêtre d'opportunité des attaques DDoS
Devant cette nouvelle omniprésence des attaques DDoS, les entités en ligne du monde entier doivent plus que jamais définir une stratégie de sécurité garantissant la sécurité, la rapidité et la fiabilité de leurs réseaux, applications et sites web. Nous avons, par ailleurs, déjà établi le coût d'une heure de déni de service, en termes de perte potentielle de chiffre d'affaires.
Quelle est donc l'approche la plus rentable pour atteindre cet objectif à l'ère du tout connecté, cette période pendant laquelle les entreprises doivent séparer rapidement le bon grain de l'ivraie, c'est-à-dire différencier le trafic légitime du trafic indésirable ?
L'une des méthodes d'atténuation des attaques DDoS consiste à utiliser des équipements physiques permettant d'analyser et de filtrer le trafic sur site en périphérie du réseau. L'inconvénient de cette approche réside dans le fait que les attaques plus brèves nécessitent des tactiques d'atténuation rapides, capables d'être déployées en 10 secondes ou moins. Or, de nombreux fournisseurs historiques proposent un accord de niveau de service (SLA) assorti d'un délai d'atténuation pouvant atteindre 15 minutes.
Au rang des autres méthodes d'atténuation des attaques DDoS figure la redirection du trafic réseau vers des centres de nettoyage de données, afin de filtrer le trafic malveillant et d'autoriser le trafic légitime. Toutefois, de nombreuses attaques DDoS étant localisées, les centres de nettoyage de données ne constituent pas une solution viable, en raison de leur nombre limité et de leur dispersion géographique. Cette approche s'avère donc susceptible de provoquer un « goulet d'étranglement », car le trafic doit faire l'objet d'un acheminement vers et depuis ces centres.
Un réseau dans le cloud représente la seule défense réellement viable contre la sophistication des attaques DDoS actuelles. En plaçant la protection contre les attaques DDoS sur un plan de contrôle unique, à la périphérie du réseau, cette approche permet également d'arrêter les attaques distribuées aussi près que possible de leur source. Les serveurs d'origine demeurent ainsi sûrs et sécurisés, qu'ils soient situés sur place ou dans le cloud. Cette protection unifiée à grande échelle des réseaux permet de tirer des enseignements de chaque attaque, en permanence, tout en partageant automatiquement des informations sur ces dernières afin de contrer la menace suivante. Elle offre par ailleurs une sécurité anti-DDoS performante à l'ensemble de votre entreprise, sans grever les performances du réseau ni des applications, afin d'éviter toute incidence négative sur votre chiffre d'affaires.
Ces résultats proviennent du réseau Cloudflare, qui couvre plus de 200 villes réparties dans plus de 100 pays et bloque chaque jour plus de 76 milliards de cybermenaces. Grâce à sa vision inégalée et à 360 degrés sur le paysage des menaces DDoS, Cloudflare parvient à réunir une vaste quantité de données concernant ces attaques omniprésentes, au fur et à mesure de leur évolution.
Cet article fait partie de notre série consacrée aux dernières tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.