Site icon Data Security Breach

Retour en force des attaques DDoS en Europe en 2018

Credential stuffing ddos

Les attaques par déni de service, ou DDoS, avaient marqué les esprits à la fin de l’année 2016. Perpétrées grâce au botnet « Miraï », l’un des premiers « thingbots » constitué exclusivement d’objets connectés (Internet of Thing), les deux attaques de plusieurs Tbit/s lancées contre OVH et DynDNS, avaient ébranlé le web mondial.

De l’avis des experts, ce type d’attaques était voué à se multiplier en 2017. Il n’en fut rien et les attaques tant redoutées ne se sont jamais produites. Pourtant les pirates n’ont pas mis un terme à leurs attaques volumétriques massives. Ils n’ont simplement pas exploité au maximum de leurs capacités, les impressionnantes cyberarmes à leur disposition.

F5 fait état d’une véritable explosion des attaques DDoS depuis janvier 2018 :   

Le centre des opérations de sécurité (SOC) de F5 Silverline fait état d’une véritable explosion des attaques DDoS en 2018. Jusqu’à présent, le SOC F5 a écarté des attaques volumétriques de haut débit comprises entre 100 et 300 Gbit/s. Les attaques volumétriques reviennent ainsi sérieusement jouer les trouble-fête.

F5 a observé plusieurs tendances dans les attaques menées à la fin de l’année 2016 et les nombreuses attaques réapparues lors du 1er trimestre 2018.

Vincent Lavergne, expert attaques DDoS de F5 explique : « Avec l’explosion des objets connectés, du Cloud computing et des bases de données en ligne, les pirates disposent plus que jamais de systèmes plus vulnérables leur permettant de lancer des attaques DDoS dévastatrices ».

Rappel – Quelques bonnes pratiques pour se prémunir de ce type d’attaques :

  1. Ne pas exposer l’administration à distance à l’ensemble du réseau Internet, en particulier aux appareils IoT ou aux bases de données en ligne.
  2. Protéger ses systèmes au moyen de protocoles d’accès sécurisés, d’identifiants d’administration complexes (ou de clés SSH lorsque cela est possible), et ne pas laisser se produire des attaques par force brute.
  3. Appliquer régulièrement des correctifs sur tous les systèmes en contact avec Internet, et immédiatement dès la détection d’une faille dans l’exécution de code à distance ou d’un défaut de conception susceptible de conduire à une exploitation à distance.

L’analyse approfondie menée par F5 révèle également les enseignements suivants :

Le nombre d’attaques neutralisées au niveau mondial par F5 entre 2016 et 2017 a augmenté de 26 %. Sur le premier trimestre 2018 (vs le 1er trimestre 2017), F5 a analysé une augmentation plus significative, de 33% du nombre d’attaques.

Toutes les zones observées par F5 ont connu une hausse constante des attaques depuis 2016, mais le nombre d’attaques DDoS commises contre des cibles dans la région Asie-Pacifique (APAC) augmente plus rapidement que dans n’importe quelle autre région du monde.

L’Amérique du Nord, historiquement la zone la plus touchée par les attaques DDoS, est depuis 2017 passées sous la barre des 50% du total d’attaques DDoS mondiales, alors que les attaques DDoS ciblant la région EMEA ont augmenté d’environ un tiers. La région APAC a, quant à elle, fait un bond de 8 % en 2016 à 17 % en 2017. Au premier trimestre 2018, les entreprises de la région APAC ont subi presque autant d’attaques que les entreprises situées en Amérique du Nord.

Les hébergeurs Web et les établissements financiers ont toujours figuré parmi les principales cibles d’attaques DDoS, une tendance qui ne s’est pas démentie en 2017.

Vincent Lavergne explique : « Dans ces deux secteurs, tout temps d’arrêt se traduit directement en pertes financières. C’est pourquoi les attaques DDoS avec chantage à la clé sont très lucratives, car le fait de payer la rançon est pour les entreprises un moyen efficace de régler le problème ».

Le fossé se rétrécit entre les principales cibles traditionnelles et d’autres secteurs ; les profils des cibles sont variés et comptent notamment les fournisseurs de technologies, les FAI, l’univers du jeu en ligne et les fournisseurs de services aux entreprises.

Vincent Lavergne ajoute : « Chaque année, nous continuons à observer un plus large éventail de cibles d’attaques DDoS, en corrélation avec la hausse des services « DDoS for hire » à des prix extrêmement abordables et la mise à disposition des outils DDoS accessibles même aux néophytes ».

F5 a analysé un ensemble d’attaques de très fort débit, persistantes pendant 4 jours en mars 2018 et a observé que les 10 principaux pays à l’origine du trafic ont conservé le même débit tout au long des attaques, ce qui pourrait laisser entendre que ces attaques ont été lancées par les mêmes systèmes sur toute la durée de quatre jours. Ce type de comportement d’attaque cadre avec l’utilisation d’objets connectés, dans lesquels des failles et les attaques qui en découlent ne sont pas détectées, ou, dans un scénario moins probable, avec la compromission de systèmes appartenant à des entreprises (qui ne sont pas au courant de la faille) et qui sont utilisés pour lancer des attaques.

Fait inhabituel, la plus importante source de cette campagne d’attaques est venue des États-Unis. Cela indique qu’un nombre significatif de systèmes vulnérables (appareils IoT ou systèmes « memcached » potentiellement compromis) est ciblé aux États-Unis pour lancer des attaques DDoS.

Quitter la version mobile