Archives par mot-clé : DDoS

backdoor, BYOD, Cloud, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Piratage

État des lieux de la sécurité sur internet du 4ème trimestre 2014

Sale ambiance numérique pour le dernier trimestre de 2014. Akamai indique que le nombre d’attaques DDoS a pratiquement doublé en un an ; le trafic DDoS a diversifié ses sources à l’échelon mondial et que près de la moitié des attaques DDoS ont exploité plusieurs vecteurs.

Akamai Technologies, l’un des principaux fournisseurs de services de cloud, d’optimisation et de sécurisation de contenus en ligne et d’applications professionnelles, annonce la publication du rapport « Etat des lieux de la sécurité sur internet » du 4ème trimestre 2014 sur les attaques DDoS. Produit par le PLXsert (Prolexic Security Engineering and Research Team), aujourd’hui rattaché à Akamai, qui rassemble des experts des services et stratégies de protection contre les attaques DDoS et de sécurisation cloud, il livre une analyse trimestriel et un éclairage sur les cyber-menaces et attaques à l’échelle mondiale, y compris sur les attaques DDoS observées sur le réseau PLXrouted.

« Un nombre impressionnant d’attaques DDoS ont eu lieu au 4ème trimestre, près du double par rapport à ce que nous avions observé à la même période un an plus tôt », souligne à DataSecurityBreach.fr John Summers, vice president, Security Business Unit chez Akamai. « Le déni de service est une menace répandue qui vise de nombreuses entreprises. Le trafic d’attaques DDoS n’a pas été cantonné à un secteur donné, comme celui du divertissement qui a pu faire la une des medias en décembre. Les attaques ont, au contraire, porté sur de multiples secteurs d’activité. »

Akamai a également observé une hausse de 52 % du débit moyen des attaques DDoS en comparaison du 4ème trimestre de l’année précédente. De volumineux paquets de trafic indésirable peuvent très vite anéantir la capacité d’une entreprise à traiter les requêtes légitimes de ses clients, et ce déni de service entraîner ainsi des pannes. Or, la plupart des sites non protégés sont incapables de résister à une attaque DDoS classique. Par conséquent, les attaques DDoS font aujourd’hui partie intégrante du paysage des menaces et de la cybersécurité que toute entreprise présente sur le Net se doit d’anticiper dans une évaluation des risques.

Le phénomène DDoS-for-hire et la montée en puissance des attaques par réflexion et multi vecteurs. Les suites de booters DDoS-for-hire, ont engagé peu de moyens puisqu’elles ont mis à profit des attaques DDoS par réflexion. Près de 40 % des attaques DDoS en tous genres ont fait appel à ces techniques, qui s’appuient sur des protocoles Internet pour générer un trafic en réponse considérablement amplifié et dispensent le hacker de prendre le contrôle du serveur ou du device.

La généralisation de services DDoS-for-hire a permis à des hackers amateurs d’acheter ces services prêts à l’emploi. L’essor de ce marché a également été propice à l’utilisation de campagnes multivectorielles, l’innovation des attaques étant stimulée par la concurrence. Les attaques multivecteurs observées ont été considérablement plus nombreuses – en hausse de 88 % par rapport au quatrième trimestre 2013. Plus de 44 % des attaques de toute nature ont exploité plusieurs vecteurs.

Répartition mondiale des cibles et des sources d’attaques DDoS
Le rythme des attaques DDoS a été plus homogène au 4ème trimestre lié à un nombre croissant de cibles importantes dans des zones géographiques jusqu’alors sous-représentées. Par ailleurs, l’origine géographique du trafic malveillant s’est déplacée. Les États-Unis et la Chine ont continué à répondre de la plupart du trafic DDoS, mais à la différence du 3ème trimestre 2014 marqué par la domination du groupe BRIC (Brésil, Russie, Inde et Chine), le trafic d’attaques DDoS, au 4ème trimestre 2014, a émané, pour l’essentiel, des États-Unis, de la Chine et de l’Europe occidentale. Quelques faits et chiffres marquants :

Par rapport au 4ème trimestre 2013
– Nombre d’attaques DDoS : + 57 %
– Débit crête moyen : + 52 %
– Nombre crête moyen de paquets par seconde : – 77 %
– Attaques de couches applicatives : + 51 %
– Attaques de couches d’infrastructure : + 58 %
– Durée moyenne des attaques : + 28 %
– Nombre d’attaques multivecteurs : + 84 %
– Attaques à plus de 100 Gb/s : + 200 % (9 contre 3)

Par rapport au 3ème trimestre 2014
– Nombre d’attaques DDoS :+ 90 %
– Débit crête moyen des attaques : + 54 %
– Nombre crête moyen de paquets par seconde : – 83 %
– Attaques de couches applicatives : + 16 %
– Attaques de couches d’infrastructure : + 121 %
– Durée moyenne des attaques : + 31 %
– Nombre d’attaques multivecteurs : + 38 %
– Attaques à plus de 100 Gb/s : – 47 % (9 contre 17)

Les botnets à la loupe
Les logiciels malveillants sont souvent utilisés pour favoriser la propagation des botnets DDoS. Leurs caractéristiques – infection multiplate-forme, détection du système d’exploitation et maliciels destructifs – sont exposées dans le Rapport de sécurité. Akamai a, par ailleurs, défini le profil de plusieurs botnets d’attaques visant des applications web au moyen d’une nouvelle technique d’analyse tirant parti de données glanées sur Akamai Intelligent Platform™. Les botnets en question visaient à automatiser la découverte de vulnérabilités dans ces applications web face à des attaques par injection de commandes RFI (Remote File Inclusion) et OS (Operating System). Les experts Akamai ont établi leur profil en isolant des URL et charges utiles de code malveillant identiques entre des attaques apparemment sans lien. Une charge utile a servi à regrouper les données et à cartographier l’activité des botnets, les acteurs en lice et les applications web victimes de ces attaques. Cette technique de profilage permettra de recenser d’autres sources d’attaques.

Neutralisation des bots, scrapers et autres spiders
Si les attaques par déni de service ralentissent considérablement les performances d’un site, les robots d’indexation ont, eux aussi, une incidence, mais dans un degré moindre. Les plus mal codés peuvent même s’apparenter à du trafic DDoS. Akamai établit un classement des robots d’indexation en fonction de leur intérêt et de leur impact sur les performances des sites. Le Rapport de sécurité documente la hiérarchisation et la neutralisation de leurs effets.(Le rapport)

Cybersécurité, DDoS, Entreprise, Piratage

Recrudescence des attaques DDoS en France au lendemain des marches contre le terrorisme

Le 15 janvier, le vice-amiral Arnaud Coustillière, officier général à la cyberdéfense faisait état d’une montée en flèche des attaques contre des sites Web français : « Parlant d’une vague sans précédent, le vice-amiral Arnaud Coustillière, officier général de la cyberdéfense à l’état-major des armées françaises, a déclaré que 19 000 sites Web français avaient été la cible de cyberattaques ces derniers jours, … ». Une attaque que révélait le site zataz.com.

Avec l’aide de l’observatoire ATLAS, la société Arbor Networks nous a permis de constater les répercussions de conflits du monde réel sur l’espace numérique. ATLAS reçoit des données anonymes du trafic relatives aux incidents DDoS provenant de plus de 330 fournisseurs d’accès Internet partenaires à travers le monde. Nous nous sommes intéressés aux attaques DDoS survenues avant et après le dimanche 11 janvier. Afin de jauger cette riposte, nous comparons les attaques DDoS observées entre le 3 et le 10 janvier à celles recensées du 11 au 18 janvier inclus.

Fréquence des attaques
Entre le 3 et le 18 janvier, au total 11 342 attaques distinctes ont été signalées contre la France, soit en moyenne 708 par jour. La série suivante de graphiques illustre la fréquence et l’ampleur des attaques DDoS durant les 8 jours ayant précédé et suivi la date du 11 janvier à 00:00:00 GMT. Nous observons une augmentation de 26 % du nombre d’attaques DDoS dans la période qui a suivi le 11 janvier.

Ampleur des attaques
Nous constatons une hausse de 35 % de l’ampleur moyenne des attaques DDoS après le 11 janvier. En effet, dans les huit jours précédant le 11 janvier, la moyenne était de 1,21 Gbit/s. Après le 11 janvier, elle est passée à 1,64 Gbit/s.

Répartition de l’ampleur des attaques
247 (5 %) des attaques DDoS sur la période antérieure au 11 janvier ont dépassé 5 Gbit/s, chiffre qui est passé à 678 (11 %) après le 11 janvier. Tandis que la Figure 2 indique une augmentation de 35 % de l’ampleur moyenne des attaques le 11 janvier, le pourcentage d’attaques supérieures à 5 Gbit/s a, quant à lui, plus que doublé.

Pics d’attaques
Le 9 janvier s’est déroulée une attaque à 40,96 Gbit/s, tandis qu’une attaque à 63,02 Gbit/s a été signalée le 11 janvier. L’attaque du 11 janvier a donc été 54 % plus violente que celle du 9 janvier.

Le 11 janvier, la plus grande manifestation depuis la libération, a vu des millions de personnes marcher pour lutter contre le terrorisme dans tout le pays[5]. Le 15 janvier, le vice-amiral Arnaud Coustillière a fait état d’une vague sans précédent de cyberattaques contre des sites Web français, parlant d’une « riposte aux manifestations de masse ». Les données Arbor ATLAS présentées ci-dessus paraissent corroborer ces affirmations.

Les comparaisons des statistiques d’attaques DDoS durant les huit jours ayant précédé et suivi le 11 janvier font en effet apparaître une hausse de 26 % du nombre d’attaques, une augmentation de 35 % de l’ampleur moyenne des attaques, un doublement du nombre d’attaques supérieures à 5 Gbit/s et un accroissement de 54 % de l’ampleur de l’attaque la plus violente entre les deux périodes. Il s’agit là d’un nouvel exemple frappant d’une recrudescence des cyberattaques en écho à des événements géopolitiques.

Banque, BYOD, Cloud, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Mise à jour, Patch, Piratage

Pour une approche mixte de la protection des données contre les attaques DDoS à venir

Pour de nombreuses entreprises qui veulent mettre en œuvre une stratégie de défense anti-DDoS, se pose le dilemme d’une réelle efficacité : doivent-elles déployer des appliances sur site ou s’abonner à un service cloud anti-DDoS ? Cette décision ne peut pas être prise à la légère ni sans analyser le vaste champ des nouvelles menaces DDoS.

Les plus visibles sont les attaques volumétriques par force brute qui cherchent à saturer le réseau et perturber les services et les opérations, tandis que les attaques ‘low et slow’ qui s’en prennent à la couche applicative, sont plus difficiles à détecter. Quelle que soit la taille ou la complexité de l’attaque, l’arrêt de l’activité provoqué par un DDoS entraîne d’importantes baisses d’activité et des pertes de revenus. On estime qu’un incident peut coûter plusieurs centaines de milliers d’euros. Sans parler des conséquences et du nécessaire examen des faits pour déterminer quelles infractions ont eu lieu et comment gérer les dommages survenus auprès des clients.

Solution cloud anti-DDoS
Les attaques volumétriques massives se produisent quand l’agresseur sature la  bande passante du réseau en envoyant énormément de trafic. Les attaques par saturation sont largement médiatisées et le plus souvent associées à un DDoS,  car elles sont le plus évident et le plus manifeste exemple de ces vecteurs d’attaque de plus en plus subtils. Avec un service cloud de défense à la demande contre les DDoS qui se trouve hors site, l’intervention humaine joue un rôle-clé. Lorsqu’une attaque est détectée, le Responsable de la Sécurité doit prendre la décision d’activer la bascule vers le fournisseur Cloud de service anti-DDoS. Le temps moyen entre la détection et la mitigation d’une attaque est variable et peut atteindre une heure. Or, la majorité des attaques volumétriques consommant une grande quantité de bande passante ne dure pas plus d’une demi-heure : le temps que la défense à la demande se mette en place, l’attaque est terminée et le mal est fait.

De plus, avec une solution Cloud anti-DDoS hors site, la visibilité de l’attaque et l’analyse correspondante commencent seulement après que le trafic ait été re-routé vers le service de nettoyage, ce qui fournit très peu d’informations sur l’événement de sécurité. Certaines entreprises qui subissent des attaques volumétriques* à grande échelle, souscrivent à un service cloud anti-DDoS continu. Cette solution apporte évidemment plus de sécurité, mais elle génère des coûts très importants.

Défense sur site en temps réel
Les solutions de défense DDoS sur site, conçues à cet effet, sont des produits de sécurité des réseaux basés sur des appliances déployées entre Internet et le réseau de l’entreprise. Cette approche crée une première ligne de défense qui empêche les pannes de réseau et de service provoquées par les attaques DDoS. Comment ? En inspectant la fréquence du trafic de la ligne et en bloquant les attaques en temps réel, tout en laissant circuler les « bons » flux, sans les interrompre. La défense sur site a comme avantage de procurer une visibilité complète et sophistiquée, tout en fournissant les renseignements de sécurité sur l’attaque DDoS (et toutes les autres cyber-menaces) qui ciblent les services exposés à Internet.

Une fois connue la nature du déploiement, l’exécution de la politique de mitigation contre le trafic dû aux attaques doit être réalisée sans faux-positifs, avec un niveau de débit performant et une efficacité maximale en termes de sécurité. La technologie sur site est conçue pour gérer les attaques volumétriques du réseau par DDoS, de type SYN Flood, les attaques par réflexion et usurpation amplifiées** frauduleuses, utilisant par exemple les protocoles DNS et NTP ou les attaques de la couche applicative qui sont presque impossibles à détecter avec les solutions hors site de mitigation des attaques DDoS.

L’ approche mixte est sans doute la solution
Comme l’a mentionné récemment le SANS Institute, « des solutions anti-DDoS composées d’équipements sur site, d’équipements des fournisseurs d’accès à Internet et/ou d’architectures de mitigation sont près de quatre fois plus efficaces que les solutions sur site seules ou les solutions de services seuls. La sophistication croissante des attaques DDoS et le caractère sensible de la perturbation des services marchands exigent à la fois une protection locale et une protection en amont, travaillant en totale synchronisation « . L’expérience des entreprises qui ont mis en place avec leur fournisseur de service à la demande un système assis sur la visibilité des attaques apportée par les solutions sur site montrent toute la pertinence de cette analyse
Autre avantage d’une telle approche : le dispositif local réduit considérablement la fréquence de passage à la mitigation cloud, ce qui allège les coûts associés à ces basculements et fournit toujours une protection contre toutes les formes d’attaques par DDoS.

Cette nouvelle stratégie de lutte contre les DDoS fournit aux entreprises le meilleur des deux mondes, en combinant la résilience et la dimension des solutions du cloud computing avec la protection en temps réel, la visibilité sophistiquée et l’inspection granulaire du trafic des solutions sur site. Ce type d’approche constitue une véritable ligne de défense avancée contre la panoplie des menaces DDoS qui évoluent en permanence. (Par Adrian Bisaz, Vice President Sales EMEA de Corero Network Security))

*Les attaques à volume important représentent moins que 20% des attaques par déni de service. La plupart sont inférieures à la bande passante de l’accès.
**En quoi consiste une attaque par réflexion ? C’est une attaque où le pirate ment sur son adresse IP. Il envoie des paquets avec une adresse IP source qui n’est pas la sienne. Les réponses à ces paquets mensongers sont envoyées à l’adresse IP source indiquée, c’est-à-dire celle de la victime. Le trafic reçu par la victime peut être énorme en raison de l’amplification. Les attaques par déni de service par réflexion utilisent un protocole comme DNS ou NTP.

Cybersécurité, DDoS, Entreprise, Piratage

Se protéger des attaques DDoS

Un commentaire

Les organisations doivent arrêter de compter sur leurs fournisseurs de services Internet pour les protéger des attaques DDoS et doivent prendre les choses en main. (Par Christophe Auberger, Directeur Technique France chez Fortinet pour datasecuritybreach.fr)

Les attaques par Déni de Services Distribués (DDoS) sont l’une des menaces Internet les plus anciennes et continuent d’être le principal risque pour les réseaux à travers le monde. En même temps que les protections ont évolué, la technologie utilisée par les hackers s’est adaptée et est devenue beaucoup plus sophistiquée. De nouveaux types d’attaques ciblent désormais les applications et services, et sont souvent cachées dans les couches 3 et 4, ce qui les rend difficilement détectables.

En matière d’attaques DDoS, le secteur financier est l’une des cibles privilégiées des cybercriminels, suivie de près par le secteur public. Outre le fait de perturber les opérations Internet par un assaut brutal de données, les attaques DDoS ont récemment été utilisées pour recueillir des informations financières et relatives au commerce en ligne. Ces attaques ont souvent pour objectif de perturber les opérations, principalement en détruisant l’accès à l’information.

Il y a généralement trois catégories de motivations derrière les attaques DDoS: politique, de représaille et financière. Les attaquants politiques ciblent ceux qui ne sont pas d’accords avec leurs convictions politiques, sociales ou religieuses. Lorsqu’un botnet ou un important réseau cybercriminel est démantelé, cela peut déclencher des attaques de représailles contre ceux qui ont aidé ou assisté les autorités. Les attaques motivées par l’argent suivent un schéma « pay-to-play » dans lequel les hackers sont compensés par une tierce partie qui leur demande de mener l’attaque pour elle. Quelle que soit la motivation, le résultat est le même – votre réseau et services en ligne deviennent indisponibles, et peuvent rester ainsi pendant un long moment.

Méfiez-vous des attaques DDoS avancées visant la couche applicative
Il existe de nombreux types d’attaques DDoS largement utilisés aujourd’hui, allant des anciennes méthodes des débuts de l’Internet aux dernières attaques avancées visant la couche 7 et ciblant les applications. L’inondation de requêtes SYN et HTTP GET sont les plus communes et utilisées pour surcharger les connexions réseau ou les serveurs derrière les pare-feux et système de prévention d’intrusion (IPS).

Toutefois, le plus inquiétant est que les attaques visant la couche applicative utilisent des mécanismes beaucoup plus sophistiqués pour attaquer les services et réseau des organisations. Plutôt que d’inonder simplement un réseau avec du trafic ou des sessions, ces types d’attaques ciblent des services et applications spécifiques pour épuiser lentement les ressources au niveau de l’application (couche 7).

Les attaques visant la couche applicative peuvent être très efficaces en utilisant peu de volumes de trafic, et peuvent être considérer comme tout à fait normales par la plupart des méthodes de détection DDoS traditionnelles. Cela rend les attaques visant la couche applicative beaucoup plus difficiles à détecter que les autres types d’attaques DDoS basiques.

Les options en matière de protection DDoS
La plupart des FAI offrent une protection DDoS des couches 3 et 4 pour empêcher les liens des organisations d’être inonder lors d’attaques volumétriques de masse. Cependant, ils n’ont pas la capacité de détecter les plus petites attaques visant la couche 7. Ainsi, les centres de données ne devraient pas uniquement compter sur leur FAI pour bénéficier d’une solution complète DDoS, dont la protection de la couche applicative. Au lieu de cela, ils devraient envisager de mettre en place une des mesures suivantes:

1. Les fournisseurs de services DDoS: Il existe beaucoup de solutions hébergées DDoS basées sur le cloud qui fournissent des services de protection des couches 3, 4 et 7. Elles vont des projets peu couteux pour les petits sites Web jusqu’à ceux pour les grandes entreprises qui requièrent la couverture de plusieurs sites Web. Elles sont en général très faciles à mettre en place et fortement poussées auprès des petites et moyennes entreprises. La plupart offre des options de tarification personnalisée et beaucoup ont des services de détection avancée de la couche 7 à disposition des grandes organisations qui nécessitent que des capteurs soient installés dans le centre de données. Beaucoup d’entreprises choisissent cette option, mais certaines d’entre elles doivent faire face à des frais excédentaires importants et imprévus lorsqu’elles sont frappées par des attaques DDoS en masse. Par ailleurs, la performance n’est parfois pas à la hauteur car les fournisseurs de services redirigent le trafic DDoS vers les centres de protection au lieu de les stopper en temps réel, ce qui est particulièrement problématique pour les attaques de courte durée, qui sont celles généralement rencontrées.

2. Pare-feu ou IPS: Presque tous les pare-feux et système de prévention d’intrusion (IPS) modernes revendiquent un certain niveau de défense DDoS. Les pare-feux nouvelles générations avancés  (NGFW) offrent des services DDoS et IPS et peuvent protéger de nombreuses attaques DDoS. Avoir un dispositif pour le pare-feu, IPS et DDoS est plus facile à gérer, mais peut être submergé par des attaques volumétriques DDoS, et peut ne pas avoir les mécanismes sophistiqués de détection pour la couche 7 que d’autres solutions ont. Un autre compromis à prendre en compte est que l’activation de la protection DDoS sur le pare-feu ou l’IPS peut impacter la performance globale du seul dispositif, entrainant des débits réduits et une augmentation de la latence pour les utilisateurs finaux.

3. Appliances dédiées à la protection d’attaques DDoS: Ce sont des dispositifs matériels qui sont déployés dans un centre de données et utilisés pour détecter et stopper les attaques DDoS basiques (couche 3 et 4) et avancées (couche 7). Déployées au point d’entrée principal pour tout le trafic Web, elles peuvent à la fois bloquer les attaques volumétriques en masse et surveiller tout le trafic entrant et sortant du réseau afin de détecter les comportements suspects des menaces visant la couche 7. En utilisant un dispositif dédié, les dépenses sont prévisibles car le coût est fixé quelque soit la fréquence des attaques, que l’entreprise soit attaquée une fois en six mois ou tous les jours. Les aspects négatifs de cette option sont que ces dispositifs sont des pièces matérielles supplémentaires à gérer, que les unités à faible bande passante peuvent être submergées lors d’attaques volumétriques en masse, et que de nombreux fabricants nécessitent des mises à jour fréquentes en matière de signatures.

Les solutions matérielles dédiées de protection des attaques DDoS existent en deux versions principales – celle pour les opérateurs télécoms et celles pour les entreprises. Les premières sont des solutions complètes conçues pour les réseaux mondiaux des FAI et sont très couteuses. La plupart des organisations qui veulent protéger leurs centres de données privés optent habituellement pour les modèles entreprises qui offrent une détection et protection DDoS rentable. Les modèles d’aujourd’hui peuvent gérer des attaques volumétriques en masse et assurer une protection à 100% des couches 3, 4 et 7 ou peuvent être utilisés pour compléter une protection fournie par le FAI contre les attaques DDoS en masse et assurer une détection et protection avancées de la couche 7. Bien que ces dispositifs nécessitent un investissement initial, ce qui n’est pas le cas des solutions hébergées, ils sont généralement beaucoup moins chers à long terme si l’on prend en compte les frais excédentaires dans le budget total.

Les entreprises devraient considérer des appliances de protection d’attaques DDoS qui utilisent des méthodes d’adaptation basées sur le comportement pour identifier les menaces. Ces appliances apprennent les bases de référence de l’activité normale des applications et ensuite surveillent leurs trafics par rapport à ces bases. Cette approche d’adaptation/d’apprentissage a l’avantage de protéger les utilisateurs des attaques zero-days inconnues puisque que le dispositif n’a pas besoin d’attendre que les fichiers signatures soient mis à jour.

Les attaques DDoS sont en hausse pour presque toutes les organisations, grandes ou petites. Les menaces potentielles et volumes augmentent à mesure que de plus en plus d’appareils, y compris les téléphones mobiles, accèdent à Internet. Si votre organisation a une propriété Web, la probabilité de subir une attaque n’a jamais été aussi élevée. La nature évolutive des attaques DDoS signifie que les entreprises ne peuvent plus compter uniquement sur leur FAI pour se protéger. Les organisations doivent commencer à effectuer des changements dès à présent pour une plus grande prévoyance et bénéficier de défenses plus proactives pour les services au niveau des applications et du réseau.

Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Piratage, Propriété Industrielle

Evolution des attaques par Déni de Service

Symantec vient de dévoiler une analyse expliquant l’évolution des attaques par Déni de Service (DDoS) ; des attaques toujours plus rapides et plus intenses, devenant davantage contraignantes pour les entreprises et les consommateurs.

En plus de rappeler les objectifs qui motivent généralement ce type d’attaque, ainsi que les différentes méthodes pour en atténuer les conséquences, l’analyse met en avant une augmentation de 183 % des attaques par amplification DNS, entre janvier et août 2014 ; A partir de 5 dollars (La rédaction de DataSecurityBreach.fr a pu constater de son côté des prix bien plus bas, NDLR), des pirates proposent de louer leurs services et de lancer des attaques DDoS sur n’importe quelle cible ; l’Inde est le pays d’où sont originaires le plus grand nombre d’attaques DDoS (26 %), devant les États-Unis (17 %) ;

Pour la première fois, une attaque a été détectée à hauteur de 400 Gigabitss par seconde, tandis qu’en 2013, la plus lourde attaque observée n’était “que” de 300 Gigabits/seconde. Bien qu’elles ne se déroulent pas à grande échelle pour le moment, il est probable qu’une augmentation des attaques DDoS provenant des smartphones et objets connectés devienne une réalité. [Symantec]

Cyber-attaque, Cybersécurité, DDoS, Piratage

Nombre record d’attaques DDoS au 1er semestre 2014

Le premier semestre 2014 a connu plus de 100 attaques supérieures à 100 Gbit/s, c’est le chiffre étonnant qui ressort du dernier rapport de la société Arbort Network.

Deux fois plus d’attaques dépassant 20 Gbit/s ont été enregistrées durant les six premiers mois de 2014 que dans l’ensemble de l’année 2013. Les attaques par réflexion NTP représentent près de 50 % de celles de plus de 100 Gbit/s. Arbor Networks Inc., société de fourniture de solutions de sécurité et de gestion de réseaux d’entreprises et d’opérateurs, a publié dans ses statistiques mondiales relatives aux attaques DDoS un retour sur expérience qui laisse présager des mois encore plus difficile. Son étude est issue de son observatoire des menaces ATLAS. ATLAS s’appuie sur une collaboration avec près de 300 opérateurs qui partagent des données anonymes de trafic avec Arbor Networks afin d’offrir une vue globale complète du trafic et des menaces.

ATLAS collecte des statistiques représentant 90 Tbit/s de trafic Internet et fournit les données de Digital Attack Map, un site créé en coopération avec Google Ideas dans le but de cartographier les attaques au niveau mondial.

Principales observations d’ATLAS au premier semestre 2014
Le premier semestre 2014 a connu un nombre record d’attaques DDoS volumétriques, avec plus de 100 d’entre elles supérieures à 100 Gbit/s.
En juin 2014, le nombre d’attaques dépassant 20 Gbit/s était deux fois supérieur à celui relevé sur l’ensemble de l’année 2013.
L’attaque de plus grande ampleur enregistrée au 2ème trimestre 2014 a été mesurée à 154,69 Gbit/s, soit une baisse de 101 % par rapport au 1er trimestre. Il s’agissait d’une attaque par réflexion NTP dirigée contre une cible en Espagne.
Si les attaques par réflexion NTP demeurent importantes, leur taille et leur étendue sont en recul par rapport au 1er trimestre 2014. Les volumes moyens de trafic NTP sont en baisse au niveau mondial, mais sans revenir aux niveaux de novembre 2013 (avant le début de la prolifération des attaques NTP).

Au 2ème trimestre 2014, les attaques de très grande envergure ont été moins nombreuses, avec une taille moyenne inférieure de 47 % comparée au 1er trimestre. « Dans le sillage de la tempête d’attaques par réflexion NTP observée au 1er trimestre, les attaques DDoS volumétriques ont continué d’être un problème durant une bonne partie du 2ème trimestre, avec un chiffre sans précédent d’une centaine d’attaques dépassant 100 Gbit/s depuis le début de l’année. Par ailleurs, nous avons déjà enregistré au moins deux fois plus d’attaques supérieures à 20 Gbit/s que le total relevé sur l’ensemble de l’an passé », commente Darren Anstee, responsable de l’équipe d’architectes en solutions d’Arbor Networks. « La fréquence des attaques de très grande ampleur demeure préoccupante et les entreprises doivent donc adopter une solution de protection intégrée sur plusieurs niveaux. Même celles disposant d’une capacité élevée d’accès à Internet peuvent désormais la voir saturée assez facilement par les attaques qui font rage sur le réseau. »

DDoS, Piratage

Les attaques se multiplient

Arbor Networks signale un pic sans précédent dans l’ampleur des attaques DDoS sous l’effet d’abus NTP. La plus forte attaque a atteint 325 Gbit/s au premier trimestre 2014. 72 attaques ont dépassé 100 Gbit/s et le nombre d’attaques dépassant 20 Gbit/s a été multiplié par 1,5 au cours de ce trimestre par rapport à l’ensemble de l’année 2013. NTP est un protocole reposant sur UDP et servant à synchroniser les horloges sur un réseau informatique. Tout service UDP (DNS, SNMP, NTP, chargen, RADIUS) est un vecteur potentiel d’attaques DDoS car il s’agit d’un protocole « sans connexion ». Les adresses IP sources peuvent ainsi être usurpées par des pirates ayant pris le contrôle de systèmes hôtes infectés par des botnets, sur les réseaux non protégés par des mesures « antispoofing » élémentaires. NTP est très répandu en raison de son facteur élevé d’amplification (de l’ordre de 1000). En outre, les outils d’attaque sont de plus en plus accessibles, ce qui facilite l’exécution de ces attaques.

ATLAS s’appuie sur une collaboration avec près de 300 opérateurs qui partagent des données anonymes de trafic avec Arbor Networks afin d’offrir une vue globale complète du trafic et des menaces. ATLAS collecte 80 Tbit/s de trafic et fournit les données de Digital Attack Map, un site créé par Google Ideas pour cartographier les attaques au niveau mondial.

Faits marquants sur les attaques NTP
Le trafic NTP moyen au niveau mondial, qui était de 1,29 Gbit/s en novembre 2013, a atteint 351,64 Gbit/s en février 2014. Si NTP intervient dans 14 % des attaques DDoS au total, cette méthode se retrouve dans 56 % et 84,7 % de celles dépassant respectivement 10 Gbit/s et 100 Gbit/s. Les Etats-Unis, la France et l’Australie ont été les cibles les plus fréquentes des attaques dans leur ensemble. Les Etats-Unis et la France ont été les pays les plus ciblés par les attaques de plus grande ampleur. « Arbor Networks surveille et neutralise les attaques DDoS depuis l’an 2000. Le pic dont la taille et la fréquence des attaques de grande ampleur observé jusqu’à présent en 2014 est sans précédent », commente Darren Anstee, directeur des solutions architecturales pour Arbor Networks. « Ces attaques atteignent une telle dimension qu’elles représentent une menace très sérieuse pour les infrastructures d’Internet, depuis les FAI jusqu’aux entreprises. »

Cyber-attaque, DDoS, Piratage

Les jeux en ligne menacés par les attaques DDoS

L’industrie des jeux en ligne, et notamment celle des éditeurs européens et américains qui accueillent des millions de joueurs sur leurs sites comme Origin, Steam, League of Legends, Battle.net, SOE, Arena.net, est fragilisée par les attaques répétées d’une bande organisée de pirates.

Plusieurs éditeurs de jeux viennent d’être confrontés à ce problème. Les joueurs ne pouvaient plus se connecter à leurs services en ligne ou subissaient des interruptions ou des ralentissements de connexion. Leurs serveurs ont été visés et parfois sévèrement touchés ces derniers jours, tout comme le Playstation Network. Il semble que ce soit le même groupe de hackers qui ait coordonné les attaques. Pourquoi en quelques jours ces attaques DDoS ont-elles pris pour cible la plupart des gros services de jeux en lignes européens et nord-américains ? On ne connait pas réellement les motivations des pirates. Voulaient-ils faire part de leur mécontentement ? Préparer un chantage au déni de service ?   Si les raisons sont assez peu claires, les faits sont là, des attaques avérées, avec de fortes perturbations de services allant jusqu’à l’arrêt des serveurs de jeu. Il semble bien que les systèmes de sécurité en place étaient insuffisants et manquaient de capacité de détection et de protection efficaces.

Les éditeurs concernés doivent faire face à une perte financière directe non négligeable, mais aussi assumer un déficit d’image, ce qui est toujours difficile à corriger, avec des répercussions sur le long terme. Ces actes de sabotage de plus en plus courants pénalisent en effet les joueurs, les empêchent de poursuivre une partie en cours, les privent de leur passe-temps favori et déstructurent des groupes de joueurs qui existent depuis longtemps. Et les joueurs, ce sont les clients… L’impact pour l’éditeur peut être désastreux.

Méthode d’attaque
Derrière la force des attaques DDoS qui ont secoué l’industrie du jeu vidéo se cachait une nouvelle méthode de hacking, dont les gestionnaires vont devoir tenir compte à l’avenir. Comment les hackers ont-ils pu faire chuter autant de cibles, aussi rapidement et avec autant de conséquences ? Pour parvenir à leurs fins, les pirates n’auraient pas submergé les cibles de requêtes, selon la méthode habituelle, mais les auraient attaquées indirectement en passant par le Network Time Protocol. Le NTP est utilisé par les serveurs de jeu pour synchroniser leur horloge. En adressant des flots de demandes dont les identifiants ont été manipulés pour sembler provenir de l’entreprise, la force de l’assaut est multipliée. Chaque envoi de 8 bits se répercute par une réponse de 468 bits vers les services de jeu concernés. Les pare-feu n’ont pas été conçus pour la détection de ce genre d’attaques, pas plus que les antivirus ou les systèmes traditionnels. Une fois la brèche ouverte, les serveurs sont inondés et incapables de faire face. Pour l’utilisateur, c’est l’arrêt, la déconnexion, la partie en cours bloquée et l’impossibilité d’enregistrer ses performances. Pour les passionnés, c’est l’angoisse totale !

Placer les attaques sous contrôle
En attendant que la lumière soit faite sur les auteurs, on ne peut que conseiller aux éditeurs de jeux en ligne de se prémunir contre le risque de rupture de la continuité de service de leur portail de jeux  avec une solution active 24 heures sur 24 et 7 jours sur 7. L’idéal est une solution technologique de prévention d’intrusion et de défense anti-DDoS, située en périphérie du SI, afin de contrer, avant qu’elles n’y pénètrent, les attaques destinées à perturber le jeu en ligne. Cette première ligne, outre la lutte contre les DDoS, permet de lutter contre les intrusions sur le réseau, en détectant et bloquant de nombreuses autres attaques, comme des injections SQL ou un cross-site scripting, dont le but est d’exploiter les applications de jeux et compromettre les bases de données. Une Première Ligne de Défense met aussi un terme à toutes sortes de hacks exécutés par certains joueurs pour tricher en ligne, tout en assurant la fluidité de jeu indispensable. Une réelle qualité de service doit être assurée ! Cette disponibilité permanente, cette réactivité totale est le cœur de métier de ces prestataires.  Pour ce faire, il faut disposer d’une prévention totale contre les intrusions par attaque malveillante utilisant le contenu comme vecteur. Il faut aussi éviter que des données personnelles soient compromises au cours des attaques.  C’est tout l’intérêt d’une Première Ligne de Défense qui protégera les actifs tout en assurant la continuité des activités. Au-delà du service lui-même, c’est en effet le contenu et l’activité des serveurs (gestion, paiement, archives…) qui peut se trouver affecté, volé ou détruit. Pour une entreprise de jeu en ligne, c’est la mort annoncée. (Par Adrian Bisaz, Vice President Sales EMEA de Corero Network Security)

Argent, Banque, Cyber-attaque, DDoS

Une banque en ligne attaquée et bloquée

La NatWest, service bancaire en ligne, touchée par une attaque DDOS. Qui a souhaité bloquer la NatWest ? Pour le moment personne ne sait vraiment. Un ou des pirates informatiques ont lancé un DDoS, un Déni Distribué de Service (plusieurs milliers d’ordinateurs tentent de communiquer avec un serveur. La masse sature le service). Les clients ont été incapables d’accéder à leurs comptes en ligne. « En raison d’une hausse du trafic internet délibérément dirigée sur le site NatWest, certains de nos clients n’ont pu avoir un accès à nos sites Web. » a indiqué le service presse. Il y a quelques semaines RBS, dont NatWest est une filiale, était tombée sous les coups d’un autre DDoS. (Mirror)

Cyber-attaque, DDoS, Entreprise

Piratage : Bitcoins dans la ligne de mire

4 commentaires

Décidément, la monnaie Bitcoins, monnaie virtuelle qui peut se transformer rapidement en argent sonnant et trébuchant, connait un regain d’intérêt chez les pirates informatiques. La place d’échange Bitcoin danoise BIPS est la dernière victime en date. Une attaque DDoS qui a permis aux attaquants de dérober près de 1 million de dollars. Au moins deux attaques DDoS (les 15 et 17 novembre) ont précédé ce piratage et il était logique de penser que de nouvelles tentatives seraient menées.

La popularité du Bitcoin, monnaie virtuelle dont l’utilisation au niveau mondiale ne cesse de croitre a vu son cours progresser significativement au cours des derniers mois. Le cours du Bitcoin est passé, en octobre de 137 euros à… 647 euros en cette fin du mois de novembre (20 dollars, il y a un – La monnaie a grimpé jusqu’à 1000 dollars, mercredi). Bilan, après le piratage de mining.bitcoin.cz, de Inputs.io, voici donc le DDoS contre un Danois. « Les cyberattaques les plus conséquentes sont capables de mettre hors service les applications critiques d’une entreprise et peuvent avoir des impacts financiers importants, souligne Laurent Pétroque ingénieur chez F5 Networks, Les entreprises qui dépendent de leur présence en ligne pour leur activité se doivent absolument d’investir dans des solutions de sécurité que ce soit pour elles, leur personnel ou les clients et utilisateurs finaux et ce afin de les protéger contre ces vecteurs d’attaque. »

Que ce genre d’attaques DDoS soient l’œuvre de fauteurs de troubles, de rivaux effectuant des tentatives de sabotages ou tout simplement de cybercriminels appâtés par des opportunité de gains faciles, il est plus que flagrant que la défense contre ces dernières ne concerne plus uniquement une faible proportion d’entreprises des secteurs privés et public. Ces attaques sont devenues plus fréquentes, ce sont amplifiées ces derniers mois et nous pouvons nous attendre à en voir beaucoup plus, avec encore plus de puissance, dans les tous les secteurs en 2014. « Les autres places d’échange Bitcoin à travers le monde devraient, si ce n’est pas déjà fait, faire le nécessaire rapidement pour se prémunir d’attaques similaires. » termine l’informaticien.

Data security breach revenait, il y a peu, sur les attaques à l’encontre de Bitcoin et des utilisateurs de cette monnaie virtuelle. Depuis plusieurs mois, les attaques se sont intensifiées : botnet, kit exploit, phishing, DDoS. Certains pirates, comme le montre datasecuritybreach.fr affiche des transactions malveillantes de plusieurs dizaines de milliers de dollars/euros. Au cours des dernières années, la capacité de voler le fichier wallet.dat, le portefeuille Bitcoin, a été ajoutée à plusieurs familles de logiciels malveillants comme Zeus, Zbot, Dorkbot,  Khelios. Et ce n’est plus le mot de passe Bitcoin qui semble être un frein aux malveillants professionnels. A noter que des botnets IRC s’exécutent sur la base du « AthenaIRCBot », un code source qui a la capacité de voler le fameux fichier portefeuille. Bref, l’hiver s’annonce… chaud, d’autant plus que le Ministère de la Justice américaine et le SEC (le gendarme de la bourse US) ont déclaré au Sénat de l’Oncle Sam que le Bitcoin était un moyen de paiement légitime. A chypre, il est dorénavant possible de payer ses cours en Bitcoin.