Archives de catégorie : DDoS

Cybersécurité, DDoS

Le Forum économique mondial de Davos marqué par une hausse des attaques DDoS

Le Forum économique mondial de Davos 2024 a été marqué par une hausse significative des attaques DDoS. Il a été observé plus de 1 400 attaques ciblant les infrastructures suisses, doublant ainsi le volume enregistré en décembre.

Chaque année, le Forum économique mondial (WEF) de Davos attire des chefs d’État, des dirigeants d’entreprise et des figures influentes du monde entier. Cet événement, où se discutent les grandes orientations économiques et géopolitiques, est aussi une cible privilégiée des cyberattaques. Entre le 20 et le 24 janvier 2024, une activité DDoS inhabituelle a été détectée par l’équipe ASERT de NETSCOUT. Plus de 1 400 attaques ont été recensées, visant principalement les infrastructures télécoms et cloud suisses. Ces attaques ont culminé à 426 Gbps, mettant en évidence l’implication possible de groupes hacktivistes comme NoName057(16), connu pour ses campagnes de cyber-perturbation. Cet article décrypte cette vague d’attaques, ses méthodes et ses cibles, tout en soulignant les enjeux de cybersécurité lors d’événements d’envergure mondiale.

Le 21 janvier, NoName s’attaque à l’Italie, l’Ukraine, la Suisse ! – Capture Datasecuritybreach.fr

L’augmentation des attaques DDoS : Une menace persistante

Durant les cinq jours du Forum, ASERT a observé une activité DDoS environ deux fois plus importante qu’en décembre. Cette augmentation a été particulièrement marquée aux moments clés de l’événement, notamment lors des interventions de figures politiques de premier plan.

« Les attaques DDoS lors d’événements internationaux ne sont pas un hasard. Elles cherchent à perturber les communications et à envoyer un message politique ou idéologique. »

Le 19 janvier, la veille de l’ouverture du Forum, une attaque de 426 Gbps a ciblé un grand fournisseur suisse. Son objectif probable ? Tester l’efficacité des méthodes employées avant d’intensifier les actions les jours suivants.

Chiffres clés DDoS

Le nombre total d’attaques DDoS a augmenté de 20 % par rapport à 2023. L’Ukraine arrive en tête des pays les plus touchés, avec 2 052 attaques signalées, principalement organisées par des groupes pro-russes comme NoName057(16). DataSecurityBreach.fr a pu constater que les plateformes de commerce en ligne et sites web d’organisations (9 %), secteur financier (8,9 %), ainsi que d’autres industries, notamment le transport (7 %), les médias et Internet (7 %), et la fabrication (6,9 %). NoName057(16) s’est imposé comme l’acteur de menace principal dans les secteurs les plus touchés.

Au cours de l’année écoulée, NoName057(16) a connu une transformation majeure, formant plus d’une douzaine d’alliances stratégiques avec divers groupes hacktivistes pro-russes et pro-palestiniens. Ce passage de l’isolement à la collaboration a renforcé ses capacités opérationnelles et élargi son influence. Sans surprise, NoName057(16) a de nouveau dominé le domaine, surpassant largement les autres groupes en tant qu’attaquant le plus agressif. Depuis janvier 2023, le groupe a revendiqué 8 150 cyberattaques.

Chronologie des attaques DDoS observées

19 janvier : Une répétition avant l’événement

Avant même le début officiel du WEF, ASERT a détecté une attaque de 426 Gbps visant un fournisseur de services suisses. Elle s’est appuyée sur le DNS Reflection Amplification, une technique courante pour saturer une bande passante et tester la robustesse des infrastructures.

20 janvier : Des anomalies dès l’ouverture

À 15h20 UTC, alors que les premières sessions commençaient, une attaque atteignant 24 Gbps a été enregistrée. Contrairement à la veille, plusieurs vecteurs d’amplification ont été utilisés, rendant l’attaque plus difficile à contrer.

21 janvier : L’intensification des assauts

Cette journée a marqué un tournant, avec un volume croissant d’attaques précédant une allocution politique majeure. Les cybercriminels ont modifié leur approche, optant pour des attaques TCP ciblées et des inondations DNS sur UDP/53 et TCP/53.

22 janvier : Des attaques plus furtives

Bien que la bande passante utilisée ait été moindre, la sophistication des attaques a augmenté. Les méthodes TCP RST/SYN flood et TCP SYN/ACK amplification ont généré un flot de petits paquets difficilement filtrables.

23-24 janvier : Une fin sous tension

Si le 23 janvier fut relativement calme, le dernier jour du Forum a vu une résurgence des attaques DDoS, prolongeant leur effet plusieurs heures après la fin des discussions.

Qui sont les responsables ? Focus sur NoName057(16)

Les attaques observées portent la signature de groupes hacktivistes, notamment NoName057(16), affilié aux intérêts russes. Le blog ZATAZ avait été le premier a parlé de ces pirates devenus aujourd’hui des adeptes du DDoS. Ce collectif est connu pour ses attaques contre des entités politiques et économiques occidentales via leur projet DDoSia. Le groupe privilégie généralement les attaques HTTP flooding pour submerger les sites web, mais cette fois-ci, il a opté pour des méthodes TCP-based, corroborant les observations d’ASERT.

L’analyse des attaques DDoS montre qu’elles ont principalement visé les infrastructures critiques. Le secteur des télécommunications a absorbé près de la moitié des attaques, ce qui souligne l’importance de renforcer les défenses de ces infrastructures, particulièrement lors d’événements internationaux.

Les motivations derrière ces attaques sont multiples : démonstration de force, revendication politique, voire simple opportunisme. ZATAZ expliquait d’ailleurs que certains participants aux opérations de Noname057(16) profitaient des DDoS pour louer leur propre solution de cyberattaque ! Toutefois, une leçon essentielle se dégage : les événements internationaux nécessitent des stratégies de cybersécurité renforcées.

Pour suivre l’actualité cybersécurité en temps réel, inscrivez-vous à la newsletter et rejoignez nos canaux WhatsApp et réseaux sociaux !

DDoS, Entreprise

Perturbations internet mondiales au quatrième trimestre 2024

L’instabilité de la connectivité mondiale a été marquée par de multiples incidents au quatrième trimestre 2024. Entre catastrophes naturelles, pannes de courant, coupures de câbles et décisions gouvernementales, l’internet a connu plusieurs interruptions majeures impactant de nombreux pays.

Cloudflare, acteur majeur de l’infrastructure internet, analyse en continu les perturbations affectant le réseau mondial. Au cours du dernier trimestre 2024, diverses interruptions ont eu lieu pour des raisons variées : pannes de courant prolongées, ouragans, séismes, conflits militaires ou encore maintenances techniques imprévues. Certains gouvernements ont également imposé des restrictions temporaires sur internet, provoquant des coupures ciblées. Cet article revient en détail sur ces incidents, leurs causes et leurs conséquences sur la connectivité des utilisateurs à travers le monde.

Une vision globale des coupures internet

Cloudflare, acteur majeur de l’infrastructure internet, surveille en permanence le réseau mondial et enregistre les anomalies qui perturbent la connectivité. Au quatrième trimestre 2024, nous avons relevé diverses coupures causées par des ruptures de câbles, des catastrophes naturelles, des coupures de courant, des interventions gouvernementales et des événements militaires. Ces incidents ont touché plusieurs pays, notamment en Afrique (Rwanda, Niger, Kenya), en Amérique (USA, Cuba), en Europe et en Asie.

Ruptures de câbles : Rwanda et Niger impactés

Le 1er octobre, une double rupture de fibre en Tanzanie et en Ouganda a provoqué une coupure quasi totale de l’internet au Rwanda. L’opérateur MTN Rwanda a signalé une interruption du trafic entre 13 h 15 et 13 h 30 heure locale, avec un retour progressif à la normale en fin de journée. Cette panne a mis en évidence le manque de redondance dans les infrastructures de télécommunications rwandaises.

Le 30 novembre, Airtel Niger a informé ses abonnés d’une interruption massive due à des coupures simultanées de fibre optique aux sorties de Niamey. L’internet a été indisponible sur tout le territoire de 17 h 30 le 29 novembre à 19 h 45 le 30 novembre. L’absence d’une connexion de secours a ralenti le processus de rétablissement du service.

Exergue : Les ruptures de câbles en Afrique illustrent la vulnérabilité des infrastructures télécoms face aux pannes simultanées.

Coupures de courant : Cuba, Guadeloupe et Kenya touchés

Le 18 octobre, une panne de la centrale Antonio Guiteras a plongé Cuba dans le noir, entraînant une chute du trafic internet de plus de 50 %. L’électricité n’a été rétablie qu’après trois jours et demi. De nouvelles pannes ont frappé l’île les 6 novembre et 4 décembre, perturbant à nouveau l’internet national. Le 25 octobre, une grève a conduit à l’arrêt d’urgence de la centrale électrique, laissant l’île sans courant. Cette situation a provoqué une chute du trafic internet de 70 %. Le rétablissement a été progressif, prenant plus de temps que prévu. Le 18 décembre, une panne de courant généralisée a affecté la majorité du pays, sauf les régions nord et ouest. Cette interruption a causé une chute de 70 % du trafic internet, avant un rétablissement complet dans la matinée.

Catastrophes naturelles : des réseaux dévastés

L’ouragan Milton, de catégorie 3, a touché la Floride le 9 octobre. Entre inondations et coupures d’électricité, le trafic internet a chuté de 40 % dans l’État, avec un retour progressif au cours des jours suivants.
Le 14 décembre, le cyclone Chido a gravement endommagé l’infrastructure de Mayotte, réduisant le trafic internet à presque zéro. Plusieurs semaines ont été nécessaires pour un retour partiel à la normale.
Un séisme de magnitude 7,3 a frappé le Vanuatu le 17 décembre, provoquant une chute de 90 % du trafic internet. Un incendie à la station d’accueil du câble sous-marin a retardé la restauration du service, qui n’a été pleinement opérationnel qu’après dix jours.

Coupures d’origine gouvernementale

Le 25 octobre, une coupure internet a été observée lors des manifestations contre la réélection du parti au pouvoir. Vodacom, Movitel et Telecomunicações de Mozambique ont tous connu des interruptions. Le ministre des Transports et des Communications a justifié ces mesures comme un moyen d’éviter des violences.

Actions militaires : Ukraine et Syrie

Le 9 novembre, une perturbation internet a suivi une frappe aérienne israélienne, entraînant une chute de 80 % du trafic pendant quatre heures. Les frappes russes du 17 et du 28 novembre sur les infrastructures électriques ont provoqué des pannes de courant, réduisant la connectivité de 65 % dans plusieurs régions. Le rétablissement a pris plusieurs jours.

Maintenances et incidents techniques

Le 3 décembre, une maintenance annoncée a entraîné une coupure totale du réseau Suisse Salt Mobile pendant trois heures.
Le 10 décembre, un incident technique combiné avec une maintenance planifiée a causé une panne totale de l’internet pendant près de trois heures va impacter Tusass A/S au Groenland.

Perturbations inexpliquées : Verizon aux États-Unis

Le 12 novembre, les clients Verizon Fios ont subi une panne majeure affectant plusieurs États américains. Malgré une résolution rapide en six heures, l’opérateur n’a pas précisé les causes exactes de cette interruption.

Le 20 décembre, une panne internet majeure a été signalée en Russie, touchant plusieurs régions du pays. Les rapports indiquent que cette interruption était due à une combinaison de pannes d’infrastructure et de mesures de censure gouvernementale accrues. Moscou et Saint-Pétersbourg ont été particulièrement affectés, avec des baisses de trafic significatives observées pendant plusieurs heures. Les autorités russes n’ont pas fourni d’explications officielles sur la cause exacte de la panne, bien que des spéculations évoquent des ajustements de contrôle du réseau ou une cyberattaque.

Le 15 novembre, plusieurs grandes villes françaises ont connu une panne internet affectant les principaux fournisseurs d’accès. Des problèmes de connectivité ont été signalés à Paris, Lyon et Marseille, en raison d’une panne de fibre optique majeure. L’incident a duré plusieurs heures avant d’être résolu en fin de journée.

Le 5 décembre, l’opérateur Telekom Deutschland a signalé une panne affectant des millions d’abonnés à travers le pays. Cette interruption était due à une mise à jour logicielle défectueuse ayant provoqué un dysfonctionnement des routeurs. Les services ont été progressivement rétablis dans les 24 heures suivantes.

Le 10 octobre, une coupure massive d’internet a touché plusieurs régions de l’Inde, notamment New Delhi et Mumbai. Cette panne a été attribuée à des travaux de maintenance imprévus sur les infrastructures de fibre optique. Certains services en ligne sont restés indisponibles pendant plus de 12 heures.

Le 8 novembre, une tempête violente a frappé São Paulo et Rio de Janeiro, causant d’importantes coupures d’électricité et affectant la connectivité internet. Des milliers d’abonnés ont été privés de service pendant près de 48 heures avant un retour progressif à la normale.

Bref, l’année 2024 a encore une fois démontré la fragilité de l’internet mondial face aux pannes d’infrastructure, aux catastrophes naturelles et aux décisions politiques. La résilience des réseaux reste un enjeu clé pour les gouvernements et les opérateurs télécoms. (Avec Cloudflare)

Pour en savoir plus sur les perturbations internet évoquées dans cet article, consultez les sources suivantes :
Cloudflare Radar : https://radar.cloudflare.com/
Downdetector : https://downdetector.com/
France : https://www.lemonde.fr & https://www.zataz.com
Allemagne : https://www.spiegel.de/
Inde : https://www.thehindu.com/
Brésil : https://www1.folha.uol.com.br/

Cybersécurité, DDoS

L’explosion des attaques web sur les sites de e-commerce pendant les fêtes

Durant les vacances du Nouvel An, une augmentation inquiétante des cyberattaques a été observée. Les sites de e-commerce ont particulièrement été visés par des scanners robotisés cherchant à exploiter leurs vulnérabilités.

L’alerte des experts : un pic inédit d’attaques

Les fêtes de fin d’année, période cruciale pour les ventes en ligne, ont vu une recrudescence des cybermenaces. Selon les spécialistes russes de Solar Group, une activité accrue des assaillants a débuté dès le 25 décembre pour atteindre des niveaux sans précédent jusqu’au 9 janvier. Les chiffres sont parlants : jusqu’à 48 000 attaques par heure lors des pics, soit trois fois plus que l’année précédente. Ces attaques DDoS, orchestrées par des scanners robotisés, avaient plusieurs objectifs : voler des données sensibles, collecter des informations stratégiques ou encore copier des designs de sites web.

Le phénomène ne se limite pas à la quantité. La durée des attaques a également explosé : alors qu’elles ne dépassaient généralement pas une heure en novembre, leur durée moyenne est montée à 2 à 8 heures début janvier, certaines se prolongeant même sur 24 heures.

Quel est l’intérêt des pirates ?

Les cyberattaques ne sont jamais anodines et reflètent des objectifs variés, souvent très lucratifs pour les pirates. Les cybercriminels recherchent des informations précieuses comme des numéros de carte bancaire, des identifiants ou des données personnelles qu’ils peuvent vendre sur le darknet. Certains attaquants cherchent à ralentir ou perturber le fonctionnement des sites concurrents, notamment pendant les périodes de forte activité comme les fêtes.

Une fois une faille exploitée, les bad hackers peuvent revendre cet accès à d’autres groupes criminels. En copiant des designs ou des technologies spécifiques d’un site, les pirates permettent à d’autres entreprises mal intentionnées de bénéficier de ces avancées sans effort.

En résumé, les cyberattaques sont une manière d’exploiter la fragilité des systèmes numériques pour générer des profits ou avantager des concurrents.

Comprendre le DDoS : une attaque par saturation

Un DDoS (Distributed Denial of Service) est une des armes favorites des cybercriminels. Ce type d’attaque consiste à saturer un serveur ou un site web en générant un volume massif de requêtes simultanées, rendant le service indisponible pour les utilisateurs légitimes.

Comment cela fonctionne ?

Les attaquants utilisent des botnets, réseaux d’ordinateurs infectés, pour générer un trafic énorme vers une cible spécifique. Ces ordinateurs infectés, souvent des appareils de particuliers, fonctionnent sans que leurs propriétaires soient conscients de leur rôle dans l’attaque. Le DDoS a pour effet d’interrompre les services. Les utilisateurs ne peuvent plus accéder au site. De causer des pertes financières. Chaque minute d’indisponibilité peut coûter des milliers, voire des millions, aux entreprises. De nuire à la réputation de la boutique, de l’entreprise. Les clients perdent confiance dans les plateformes victimes.

Comment les internautes participent involontairement aux DDoS ?

Saviez-vous que vous pouviez, sans même le savoir, participer à ce genre d’attaque. DataSecurityBreach.fr vous propose de regarder les signaux faibles qui pourraient vous alerter. De nombreux utilisateurs d’Internet participent parfois à des attaques DDoS sans même le savoir. Voici les principales façons dont cela peut se produire.

Cliquer sur des liens piégés : Les attaquants peuvent insérer des scripts malveillants sur des sites web compromis ou dans des emails de phishing. Lorsqu’un internaute clique dessus, son appareil peut automatiquement envoyer des requêtes vers une cible, participant à une attaque DDoS.

Télécharger des logiciels infectés : En installant des logiciels ou des applications piratées, les utilisateurs peuvent introduire des logiciels malveillants (malwares) sur leur système. Ces malwares transforment leur appareil en « zombie » dans un botnet.

Appareils connectés non sécurisés : Les objets connectés (caméras de surveillance, routeurs, etc.) mal configurés sont une porte d’entrée facile pour les pirates. Ces appareils peuvent être compromis et utilisés à l’insu de leur propriétaire.

Naviguer sur des sites infectés : Certains sites malveillants intègrent des scripts capables de détourner la puissance de l’ordinateur ou du téléphone pour participer à une attaque, souvent via une méthode appelée « cryptojacking » ou « browser-based botnet ».

Protéger son site de e-commerce : les solutions indispensables

Face à ces menaces croissantes, les sites de vente en ligne doivent adopter des mesures robustes pour sécuriser leurs infrastructures. Sans entrer dans les détails techniques, faire appels à des professionnels du secteur est indispensable. Ensuite, se pencher sur l’installation d’un Web Application Firewall (WAF). Il détecte et bloque les activités suspectes en temps réel. Ensuite, surveiller les flux réseau en continu. Une analyse des logs permet de repérer les comportements anormaux. Renforcer l’authentification aussi. L’implémentation de protocoles comme l’authentification multifactorielle réduit les risques de vol de données. Et enfin, former les équipes IT. La sensibilisation au phishing et aux méthodes d’attaque récentes est essentielle pour prévenir les erreurs humaines.

Une cybermenace qui ne faiblit pas

L’augmentation des cyberattaques en fin d’année n’est pas un phénomène isolé. Elle reflète une tendance globale où les cybercriminels profitent des périodes de forte affluence pour maximiser leurs gains. L’évolution des scanners automatisés témoigne également d’une montée en puissance des capacités techniques des attaquants.

Pour les entreprises, cette réalité impose une transformation profonde de leurs stratégies de défense. Seule une approche proactive et des investissements continus dans la cybersécurité permettront de protéger efficacement leurs actifs numériques. Pour en savoir plus sur les risques et les opportunités liés à l’intelligence artificielle, abonnez-vous gratuitement à notre newsletter.

Cybersécurité, DDoS, IOT

Réinitialisation Rapide : des hackers ont trouvé un moyen de lancer des attaques DDoS puissantes

Pourquoi autant de DDoS ces derniers temps ? Les cybercriminels exploitent activement la vulnérabilité Réinitialisation Rapide pour mener des blocages numériques.

Août 2023, une vulnérabilité critique dans le protocole HTTP/2, connue sous le nom de CVE-2023-44487 ou Réinitialisation Rapide, est découverte. Cette vulnérabilité est capable de provoquer des attaques de type « déni distribué de service » (DDoS). Un problème sérieux pour les services Internet qui a attiré l’attention des cybercriminels.

HTTP/2 a introduit de nombreuses améliorations par rapport à la version précédente du protocole, notamment le multiplexage de flux, ce qui permet d’ouvrir plusieurs flux via une seule connexion TCP. Cependant, la vulnérabilité Réinitialisation Rapide exploite le mécanisme d’annulation de flux, en utilisant des cadres RST_STREAM pour perturber le fonctionnement du serveur.

Lorsque l’utilisateur accède à un site web prenant en charge HTTP/2, une seule connexion est utilisée pour plusieurs ressources, ce qui améliore l’efficacité de l’interaction. Cependant, cette capacité ouvre la porte à l’exploitation de vulnérabilités, car une seule connexion peut générer de nombreuses requêtes, augmentant la charge sur le serveur. Pour atténuer ce problème, HTTP/2 prévoit un mécanisme de limitation du nombre de flux simultanés actifs, empêchant les clients de surcharger le serveur.

L’exploitation de Réinitialisation Rapide consiste pour un attaquant à envoyer un cadre RST_STREAM immédiatement après avoir envoyé une requête. Cela force le serveur à commencer à traiter la requête, mais à l’annuler rapidement. Bien que la requête soit annulée, la connexion HTTP/2 reste active, permettant à l’attaquant de répéter l’attaque en créant de nouveaux flux. En conséquence, le serveur dépense des ressources à traiter des requêtes annulées, ce qui peut mener à un déni de service et à un blocage fatal.

La vulnérabilité Réinitialisation Rapide [CVE-2023-44487] a causé des attaques DDoS massives et distribuées. Des grandes entreprises telles que Google, AWS et Cloudflare ont signalé des vagues d’attaques atteignant des centaines de millions de requêtes par seconde. Ces attaques ont été réalisées avec des botnets relativement petits, soulignant la gravité de la vulnérabilité.

DDoS, Entreprise

Comprendre les attaques DDoS en 2024 : exemples récents, fonctionnement et contre-mesure

Les pirates informatiques peuvent perturber votre entreprises de nombreuses façons. L’une d’elle, le blocage de votre informatique par DDoS. Explication de cette technique déroutante, mais particulièrement présente dans l’arsenal des hackers malveillants.

Le terme DDoS, ou Distributed Denial of Service (Déni de Service Distribué en français), désigne une attaque visant à rendre un service en ligne indisponible en le submergeant de trafic provenant de multiples sources. Contrairement aux attaques DoS (Denial of Service), qui utilisent une seule source, les attaques DDoS utilisent plusieurs machines infectées par des logiciels malveillants, appelées botnets, pour mener l’attaque simultanément depuis différents endroits. Heureusement, il existe de la protection anti-DDoS.

Comment fonctionne une attaque DDoS ?

Le principe de base d’une attaque DDoS est simple : surcharger un serveur, un réseau ou un site web avec un volume massif de requêtes jusqu’à ce qu’il ne puisse plus répondre aux utilisateurs légitimes. Voici les étapes typiques d’une attaque DDoS :

Infection des Machines : L’attaquant infecte plusieurs ordinateurs ou appareils (ordinateurs, smartphones, objets connectés) avec des logiciels malveillants.
Formation d’un Botnet : Les machines infectées forment un réseau, appelé botnet, contrôlé par l’attaquant.
Lancement de l’Attaque : L’attaquant ordonne au botnet d’envoyer des requêtes massives et simultanées vers la cible.
Saturation de la Cible : La cible (serveur, réseau, site web) est submergée par le volume de requêtes et ne peut plus fonctionner correctement.

Objectifs des attaques DDoS

Les attaques DDoS peuvent avoir plusieurs objectifs :

Perturbation des Services : Rendre un site web ou un service en ligne indisponible, causant des pertes financières et de réputation.
Extorsion : Demander une rançon en échange de l’arrêt de l’attaque.
Diversion : Distraire les équipes de sécurité pendant qu’une autre attaque plus discrète est menée.
Vengeance ou (H)activisme : Punir une organisation ou promouvoir une cause idéologique.

Exemples

GitHub (2018) : GitHub a subi l’une des plus grandes attaques DDoS enregistrées, avec un pic de trafic atteignant 1,35 Tbps. L’attaque a duré environ 20 minutes avant d’être atténuée par des mesures de protection avancées.

Dyn (2016) : Le fournisseur de DNS Dyn a été victime d’une attaque DDoS massive, perturbant l’accès à des sites majeurs comme Twitter, Netflix et PayPal. L’attaque a atteint un pic de 1,2 Tbps et a duré plusieurs heures.

OVH (2016) : Le fournisseur de services internet français OVH a subi une attaque DDoS atteignant 1,1 Tbps, provenant principalement de caméras de surveillance et d’autres objets connectés compromis.

Attaque contre l’État français : En mars 2024, plusieurs services de l’État français ont été ciblés par une attaque DDoS de grande ampleur, affectant plus de 300 domaines web et 177 000 adresses IP, perturbant ainsi de nombreux services publics pendant presque toute une journée. Le groupe de hackers Anonymous Sudan a revendiqué cette attaque​ (ZATAZ)​.

Fournisseur d’hébergement asiatique : Une attaque utilisant une variante du botnet Mirai a atteint un pic de 2 Tbps, ciblant un fournisseur d’hébergement en Asie. Cette attaque est l’une des plus puissantes enregistrées au début de l’année 2024​ (TechRadar)​.

Industries les plus ciblées : Selon les rapports, les industries les plus attaquées par des DDoS en 2024 incluent les secteurs du jeu et des paris en ligne, les technologies de l’information, et la publicité et le marketing. Les attaques HTTP/2 ont particulièrement augmenté, ciblant des vulnérabilités spécifiques pour causer des interruptions de service​ (The Cloudflare Blog)​​ 

Comment se protéger contre les attaques DDoS

Architecture Réseau Résiliente : Utiliser une architecture réseau distribuée pour répartir la charge et éviter un point de défaillance unique.
Surveillance et Détection : Mettre en place des systèmes de surveillance pour détecter les signes d’une attaque imminente.
Limitation de la Bande Passante : Configurer des limites de bande passante pour éviter qu’une seule source de trafic ne sature le réseau.

Solutions techniques

Pare-feu et Systèmes de Détection d’Intrusion (IDS/IPS) : Utiliser des pare-feu et des IDS/IPS pour filtrer le trafic malveillant.
CDN (Content Delivery Network) : Utiliser des CDN pour distribuer le trafic et absorber les attaques DDoS.
Services de Protection DDoS : Faire appel à des services spécialisés comme Cloudflare, Akamai ou AWS Shield qui offrent des protections contre les attaques DDoS.

Réaction en cas d’attaque

Identification et Mitigation : Identifier rapidement l’attaque et mettre en œuvre des mesures de mitigation pour réduire son impact.

Coordination avec les Fournisseurs : Travailler avec les fournisseurs de services internet pour filtrer le trafic malveillant.

Plan de Continuité : Avoir un plan de continuité des opérations pour maintenir les services essentiels en ligne.

Conclusion

Les attaques DDoS représentent une menace sérieuse pour les entreprises et les organisations en ligne. Comprendre leur fonctionnement et leurs objectifs est crucial pour mettre en place des mesures de protection efficaces. Grâce à une combinaison de prévention, de solutions techniques et de plans de réaction, il est possible de minimiser l’impact de ces attaques et de maintenir la disponibilité des services en ligne. En investissant dans des technologies et des services de protection adaptés, les entreprises peuvent se défendre efficacement contre cette menace en constante évolution.

Cybersécurité, DDoS

HTTP/2 Rapid Reset

Une nouvelle vulnérabilité, nommée HTTP/2 Rapid Reset, a été découverte, mettant en scène des attaques DDoS jamais vues auparavant. Une nouvelle menace à l’origine de la plus volumineuse attaque de l’histoire d’Internet !

Cloudflare, Inc. spécialiste dans le domaine de la connectivité cloud, révèle au public avoir contribué à la divulgation d’une nouvelle vulnérabilité zero-day, baptisée « HTTP/2 Rapid Reset ». Cette vulnérabilité mondiale confère aux acteurs malveillants la possibilité de générer des attaques d’un volume encore jamais observé sur Internet.

Afin d’aider à atténuer les effets de cette nouvelle menace DDoS sur l’ensemble de l’écosystème Internet, le spécialiste a spécialement développé une technologie pour bloquer automatiquement n’importe quelle attaque basée sur Rapid Reset pour ses clients.

La société américaine a tout d’abord atténué ces risques avec succès et mis un terme aux abus potentiels pour tous ses clients, tout en donnant le coup d’envoi d’une procédure de divulgation responsable avec deux autres importants fournisseurs d’infrastructure. Elle a ensuite étendu les mesures d’atténuation de cette vulnérabilité à un large pourcentage d’Internet, avant de révéler l’existence de cette dernière au grand public.

« Si cette attaque DDoS et cette vulnérabilité restent au-dessus du lot à l’heure actuelle, les acteurs malveillants ne manqueront pas d’inventer d’autres tactiques et techniques zero-day évolutives, afin de perpétrer de nouvelles attaques. La constance dans la préparation et la capacité d’intervention face à ces menaces réside au cœur de notre mission visant à bâtir un meilleur Internet. » indique Matthew Prince, CEO de Cloudflare.

Anatomie de la vulnérabilité HTTP/2 Rapid Reset

Fin août 2023, il a découvert une vulnérabilité zero-day, développée par un acteur malveillant inconnu. La vulnérabilité exploite le protocole HTTP/2 standard, un composant fondamental du fonctionnement d’Internet et de la plupart des sites web. Le protocole HTTP/2 est responsable de la manière dont les navigateurs interagissent avec un site web, en leur permettant de « requérir » l’affichage rapide de certains éléments (comme le texte et les images) et tous à la fois, peu importe la complexité du site. Cette nouvelle attaque fonctionne en effectuant des centaines de milliers de « requêtes » et en les annulant immédiatement. En automatisant ce processus de « requête, annulation, requête, annulation » à grande échelle, les acteurs malveillants parviennent à submerger les sites web et peuvent entraîner la mise hors ligne de n’importe quel équipement utilisant le HTTP/2.

La vulnérabilité « Rapid Reset » confère aux acteurs malveillants un tout nouveau moyen, particulièrement puissant, d’attaquer leurs victimes sur Internet à un niveau d’envergure supérieur à tout ce qu’Internet a connu jusqu’ici. Le protocole HTTP/2 constitue la base d’environ 60 % de l’ensemble des applications web. Il détermine la vitesse et la qualité avec laquelle les utilisateurs voient et interagissent avec les sites web.

D’après les données, plusieurs attaques tirant parti de Rapid Reset ont été estimées à une ampleur près de trois fois supérieure à celle de l’attaque DDoS la plus volumineuse de l’histoire d’Internet. Au point culminant de cette campagne d’attaques DDoS, il a été enregistré et traité plus de 201 millions de requêtes par seconde (Mr/s), tout en se chargeant de l’atténuation des milliers d’attaques supplémentaires qui ont suivi.

Déjouer l’attaque en compagnie d’autres pairs du secteur

Les acteurs malveillants utilisant des méthodes d’attaques susceptibles de pulvériser tous les records ont énormément de mal à tester et à comprendre leur efficacité, du fait de leur absence d’infrastructure capable d’absorber les attaques. C’est pourquoi ils les testent souvent contre des fournisseurs, afin de mieux comprendre les performances futures de leurs attaques.

« Bien que les attaques de grande ampleur (comme celles qui tirent parti de vulnérabilités telles que Rapid Reset) puissent se révéler complexes et difficiles à atténuer, elles nous fournissent une visibilité sans précédent sur les nouvelles techniques employées par les acteurs malveillants, et ce à un stade précoce de leur processus de développement. S’il n’existe pas de « procédure parfaite » en matière de révélation de vulnérabilité« .

La NSA et la CISA pointent les principales erreurs de configuration en matière de cyber sécurité 

L’Agence de Sécurité Nationale (NSA) et l’Agence de Cybersécurité et de Sécurité des Infrastructures (CISA) ont révélé les dix erreurs de configuration les plus courantes en matière de cybersécurité, découvertes par leurs équipes dans les réseaux des grandes organisations.

L’avis détaille également les tactiques, techniques et procédures (TTP) utilisées par les acteurs de la menace pour exploiter avec succès ces mauvaises configurations avec différents objectifs, notamment l’accès, le déplacement latéral et le ciblage d’informations ou de systèmes sensibles.

Les dix configurations de réseau les plus courantes découvertes lors des évaluations des équipes et par les équipes de chasse et de réponse aux incidents de la NSA et de la CISA sont les suivantes :

  • Configuration par défaut de logiciels et d’applications;
  • Séparation inadéquate des privilèges de l’utilisateur et de l’administrateur;
  • Surveillance insuffisante du réseau interne;
  • Absence de segmentation du réseau,
  • Mauvaise gestion des correctifs;
  • Contournement des contrôles d’accès au système;
  • Méthodes d’authentification multifactorielle (MFA) faibles ou mal configurées;
  • Listes de contrôle d’accès (ACL) insuffisantes sur les partages et les services du réseau;
  • Mauvaise hygiène des informations d’identification ;
  • Exécution de code sans restriction.
Cyber-attaque, Cybersécurité, DDoS

Augmentation alarmante des cyber attaques DDoS

Cloudflare signale une « augmentation alarmante » de la sophistication DDoS, une escalade ces derniers mois. La guerre RussoUkrainienne n’y serait pas pour rien !

Les attaques utilisées pour rendre les sites Web et les services Web inaccessibles évoluent et deviennent de plus en plus préoccupantes, a déclaré la société Cloudflare. Le deuxième trimestre de 2023 a vu « une escalade alarmante dans la sophistication » des attaques par déni de service distribuées DDoS, affirme le fournisseur de solution web, soulignant une prolifération d’attaques numériques plus ciblées conçues pour perturber des sites Web et d’autres services connectés.

La société a déclaré dans son rapport sur les menaces du deuxième trimestre qu’elle avait suivi des milliers d’attaques lancées par un consortium de groupes hacktivistes pro-russes, une augmentation des attaques ciblées sur le système de noms de domaine et un 600 % d’augmentation des attaques DDoS sur les sites Web de crypto-monnaie.

Bien que les attaques DDoS soient parfois considérées comme peu sophistiquées et plus gênantes qu’autre chose, elles peuvent être très perturbatrices. « La récupération d’une attaque DDoS peut durer beaucoup plus longtemps que l’attaque elle-même – tout comme un boxeur peut avoir besoin d’un certain temps pour se remettre d’un coup de poing au visage qui ne dure qu’une fraction de seconde« , ont écrit Omer Yoachimik et Jorge Pacheco. Une intensité, en particulier concernant les menaces dans le contexte de la guerre russe contre l’Ukraine.

Les machines virtuelles basées sur le cloud et les serveurs privés virtuels permettent des attaques plus importantes dans le cadre d’une « nouvelle génération de botnets« . Ces nouveaux botnets sont capables de fournir des milliers de fois plus de trafic que les réseaux traditionnels. Pour rappel, en février, une telle attaque a produit la plus grande attaque DDoS jamais enregistrée.

Parmi les développements préoccupants au cours des trois derniers mois, figure l’augmentation de 15 % des attaques HTTP DDoS , qui ciblent les sites Web et les passerelles tierces vers ces sites, alors même que ce type d’attaque a diminué d’année en année.

« Il semble que les acteurs de la menace derrière ces attaques aient délibérément conçu les attaques pour essayer de surmonter les systèmes d’atténuation en imitant habilement le comportement du navigateur de manière très précise, dans certains cas, en introduisant un degré élevé de randomisation sur diverses propriétés telles que les agents utilisateurs et JA3 empreintes digitales pour n’en nommer que quelques-unes, ont écrit les auteurs. Dans bon nombre de ces attaques, il semble que les acteurs de la menace essaient de maintenir leur taux d’attaque par seconde relativement bas pour essayer d’éviter la détection et de se cacher parmi le trafic légitime.« 

Microsoft a subi une telle attaque début juin dans le cadre d’un assaut plus large contre l’entreprise attribué à un groupe qu’il appelle Storm-1359, ou plus largement Anonymous Sudan. Le groupe est affilié à plusieurs réseaux d’hacktivistes pro-russes, dont Killnet, UserSec, et pourrait lui-même être un produit direct ou un groupe travaillant en collaboration avec les intérêts du gouvernement russe.

cyberattaque, DDoS

Les attaques DDoS restent l’un des principaux types d’incidents identifiés en 2022

Selon le dernier Data Breach Investigations Report (DBIR) publié par Verizon, en 2022 les attaques DDoS restent l’un des principaux types d’incidents identifiés avec les attaques par botnets. Mirai, Emotet, LemonDuck sont autant de noms qui, hors contexte, pourraient faire sourire, mais qui, dans le monde de la cybersécurité, donnent du fil à retordre aux équipes informatiques des organisations du monde entier, et ce avec des méthodes d’attaques somme toute très simples.

Les cybercriminels se sont non seulement banalisés – aujourd’hui n’importe qui peut s’improviser hacker, grâce aux outils disponibles sur le darkweb – mais ils ont également amélioré leurs méthodes d’attaque, pour la plupart établies de longue date, en y apportant de nouvelles modifications et stratégies. C’est le cas des botnets, qui existent depuis les années 1980.

En effet, un rapide historique de ces réseaux de bots informatiques – des programmes connectés à internet qui communiquent avec d’autres programmes similaires pour l’exécution de certaines tâches –, met en évidence la manière dont, en l’espace de 20 ans, les pirates ont modifié leur façon de les utiliser.

Les premiers du genre ont été déployés sur des ordinateurs de type serveur. Par la suite, les attaquants ont commencé à créer des botnets capables de mener des attaques par déni de service distribué (DDoS) en compromettant des ordinateurs personnels (PC) ; ils continuent d’ailleurs aujourd’hui à les utiliser afin de créer des botnets et lancer des attaques DDoS.

« À l’heure actuelle, les botnets de l’internet des objets (IoT) sont monnaie courante, les cybercriminels lançant généralement des attaques DDoS par l’intermédiaire de dispositifs IoT, via une infrastructure commune de commande et de contrôle (C2). Ces botnets ont vu leur popularité monter en flèche après la fuite du code source du botnet IoT Mirai en 2016. » confirme Philippe Alcoy, de chez NETSCOUT.

La stratégie malveillante évolue

Cependant, les acteurs malveillants ont à nouveau modifié leur stratégie en augmentant la taille des botnets IoT et en intégrant des serveurs puissants dans des botnets plus importants. Les serveurs sont utilisés pour lancer des attaques DDoS ciblées contre des actifs de grande valeur. Toutefois, il est intéressant de remarquer que les attaquants font évoluer leur stratégie pour créer de puissants botnets Mirai.

De nouveaux botnets Mirai de type serveur sont désormais créés et utilisés pour lancer des attaques DDoS directes à fort impact. Ainsi, malgré un coût beaucoup plus élevé pour une organisation malveillante, les cybercriminels privilégieront une attaque DDoS directe par botnet, pour s’assurer de dommages de très grande envergure, comme l’ont démontrés deux des attaques de plus de 2,5 Tbps détectées au deuxième semestre 2021.

Si ce type d’attaque est coûteux, il est accessible à toute personne ayant les moyens de le provoquer, ce qui en fait un outil redoutable. Explication en vidéo.

Si différentes tendances fluctuent à travers le monde, les attaques DDoS par botnet ne doivent surtout pas être minimisées. Elles constituent bel et bien une menace de taille pour les entités gouvernementales, les établissements de santé et les entreprises, et ce sans distinction. De plus, si on remarque une sophistication des techniques d’attaque, il est intéressant de noter que les profils des acteurs malveillants sont variés et parfois loin de la professionnalisation ; d’où la nécessité d’anticiper tout type de menace afin de mieux s’en prémunir.

Cyber-attaque, DDoS, Securite informatique

Plus de 9 millions d’attaques DDoS en 2021

Pirates, services DDoS-for-Hire et autres armées de botnets de classe serveur ont facilité le lancement d’attaques de plus en plus sophistiquées. Plus de 9 millions de cyberattaques de type DDoS en 2021 !

La nouvelle étude semestrielle Threat Intelligence Report de la société Netscout affiche une année 2021 très « hard » du côté de la cyber. Au cours du second semestre 2021, les cybercriminels ont lancé environ 4,4 millions d’attaques par déni de service distribué (DDoS), portant à 9,75 millions le nombre total d’attaques de ce type effectuées au cours de l’année. Bien qu’en baisse de 3 % par rapport au record établi au plus fort de la crise sanitaire, ces attaques se poursuivent à un rythme supérieur à 14 % aux niveaux pré pandémiques.

Le second semestre 2021 a été marqué par la mise en place d’armées de botnets de très grande puissance et par un rééquilibrage entre les attaques volumétriques et les attaques par voie directe sans usurpation ; créant des procédures opérationnelles plus sophistiquées pour les attaquants, qui ont pu ajouter de nouvelles tactiques, techniques et méthodes à leur arsenal.

« S’il est tentant de considérer la baisse du nombre total d’attaques comme un recul de l’activité des cybercriminels, nous avons constaté une activité sensiblement plus importante par rapport aux niveaux antérieurs à la pandémie, a déclaré Richard Hummel, responsable des renseignements sur les menaces de NETSCOUT. En réalité, les attaquants innovent et utilisent en permanence de nouvelles techniques, telles que les botnets de type serveur, les services DDoS-for-Hire et le lancement accru d’attaques par voie directe, qui contribuent à la transformation permanente du paysage des menaces. »

Hausse des extorsions DDoS et des ransomwares — Trois campagnes DDoS de grande ampleur ont eu lieu simultanément, établissant un nouveau record. Des gangs de ransomware, parmi lesquels Avaddon, REvil, BlackCat, AvosLocker et Suncrypt, ont été identifiés alors qu’ils utilisaient le DDoS pour extorquer leurs victimes. Forts de ce succès, certains groupes de ransomwares exploitent des opérateurs d’extorsion DDoS se faisant passer pour des affiliés — c’est le cas par exemple d’une campagne d’extorsion DDoS signée par REvil.

Les services Voix sur IP, à leur tour victimes d’extorsions DDoS — Des campagnes d’extorsion DDoS ont été menées à travers le monde par un imitateur de REvil contre plusieurs prestataires de services de téléphonie sur Internet (VoIP). L’un d’eux a fait état d’une perte de comprise entre 9 et 12 millions de dollars à cause des attaques DDoS.

Les services DDoS-for-Hire simplifient le processus d’attaque — NETSCOUT a examiné 19 services DDoS-for-Hire, ainsi que les moyens qu’ils utilisent pour éliminer les exigences techniques et le coût de lancement d’offensives DDoS de grande envergure. Ensemble, ils proposent plus de 200 types d’attaques.

Les attaques ont progressé de 7 % dans la région APAC, mais reculé dans les autres régions — Dans un contexte géopolitique tendu en Chine, à Hong Kong et à Taïwan, la région APAC a connu la plus forte augmentation du nombre d’attaques en variation annuelle par rapport aux autres régions du monde.

Les armées de botnets de classe serveur débarquent — Les cybercriminels ont non seulement augmenté le nombre de botnets connectés à l’Internet des objets (IoT), mais également enrôlé des serveurs de très forte puissance et des périphériques connectés de grande capacité, avec notamment les botnets GitMirai, Mēris et Dvinis.

Les attaques par voie directe gagnent en popularité — Les groupes de hackers ont submergé les entreprises par leurs attaques DDoS de type TCP Flood et UDP Flood, également connues sous le nom d’attaques par voie directe ou sans usurpation. Parallèlement, le recul de certaines attaques par amplification a fait baisser le nombre total d’agressions.

Les pirates ciblent principalement certaines activités — Les secteurs les plus touchés sont les éditeurs de logiciels (hausse de 606 %), les agences et courtiers d’assurance (+257 %), les fabricants d’ordinateurs (+162 %) et les collèges, universités et établissements d’enseignement professionnel (+102 %).

L’attaque DDoS la plus rapide en hausse de 107 % par rapport à l’année précédente — Regroupant les vecteurs DNS, d’amplification DNS, ICMP, TCP, ACK, TCP RST et TCP SYN, l’attaque multi vectorielle lancée contre une cible russe a atteint le débit de 453 millions de paquets par seconde (Mpps).

cyberattaque, DDoS

Le secteur industriel plus que jamais menacé

Cloudflare, spécialiste de la sécurité, la fiabilité et la performance d’internet, présente son rapport sur les attaques DDoS du 4ème trimestre 2021. Un palmarès qui souligne l’importance de la fortification des cyberattaques. La découverte, en décembre, de la vulnérabilité Log4, considérée comme l’une des plus importante et dangereuse en est la preuve.
  • Le secteur industriel plus que jamais menacé : Pour la première fois, l’industrie arrive en tête des secteurs les plus attaqués. Au dernier trimestre 2021, Cloudflare enregistrait une hausse de 641% du nombre d’attaques par rapport au trimestre précédent. Ces menaces viennent affaiblir un secteur déjà très affecté par la pénurie de matières premières et des difficultés de livraison qui l’empêchent de répondre à la demande croissante. En deuxième et troisième position, on retrouve respectivement les services aux entreprises et le secteur du gaming.
  • Les ransomwares continuent de progresser : Alors que le botnet Meris était en première ligne au trimestre précédent, la fin de l’année a vu le nombre de ransomwares augmenter de 175%. Dans une enquête réalisée par Cloudflare, 22% des répondants affirmaient avoir reçu une demande de rançon.
  • Une attaque de 2 Tbps déjouée : En novembre dernier, Cloudflare a subi une tentative d’attaque qui, à son plus haut pic, enregistrait de 2 Tbps. A ce jour, il s’agit de l’attaque la plus puissante ayant ciblée l’entreprise et ce, alors qu’elle n’a duré qu’une minute.

En savoir plus.