Le rapport porte sur le 1er trimestre 2016. Et met en avant les tendances les plus récentes en matière d’attaques au niveau des couches réseau et application, ainsi que l’évolution de l’activité des botnets DDoS.

Dans son précédent rapport, l’éditeur attire l’attention sur le nombre croissant d’attaques DDoS de type « flood » à très haut débit lancées contre ses clients au niveau de la couche réseau. Dans ce type d’attaques, « des paquets de données de petite taille, ne dépassant généralement pas 100 octets, sont émis à un rythme extrêmement élevé de façon à saturer la capacité des commutateurs réseau, ce qui aboutit à un déni de service pour les utilisateurs légitimes. »

Comme le rappelle Imperva, « la vitesse d’émission des paquets est mesurée en Mpps (millions de paquets par seconde). Au 1er trimestre 2016, la fréquence de ces attaques présentant un nombre élevé de Mpps a été sans précédent. En moyenne, la société a neutralisé une attaque de plus de 50 Mpps tous les quatre jours et une de plus de 80 Mpps tous les huit jours. Plusieurs de ces attaques ont franchi le cap des 100 Mpps, la plus intense culminant à plus de 120 Mpps. Nous pensons que ces attaques à très haut débit sont une tentative pour mettre en échec les solutions de neutralisation DDoS de la génération actuelle. »

Selon Imperva, actuellement, la majorité des services et appliances de neutralisation sont d’une grande efficacité face aux assauts présentant un nombre élevé de Gbit/s. Toutefois, comme les auteurs des attaques s’en rendent compte, bon nombre de ces mêmes solutions n’offrent pas une capacité identique contre les très hauts débits de paquets, car elles n’ont pas été conçues pour en traiter un volume aussi important.

Autre nouveauté, « nous avons également observé l’emploi fréquent d’une combinaison de différents vecteurs pour constituer des assauts plus complexes, avec un débit élevé à la fois en Mpps et en Gbit/s. Le scénario le plus courant ici est la combinaison d’une attaque de type UDP Flood à très haut débit et d’une attaque par amplification DNS, grosse consommatrice de bande passante. Corollaire, au 1er trimestre 2016, la fréquence des attaques par amplification DNS a augmenté de 6,3 % par rapport au trimestre précédent.

Autre constat, un accroissement significatif du nombre d’attaques multivecteurs. Grosso modo, celles-ci ont représenté 33,9 % de l’ensemble des assauts sur la couche réseau, soit une hausse de 9,5 % par rapport au trimestre précédent. En termes absolus, le nombre d’attaques multivecteurs est passé de 1326 au 4ème trimestre 2015 à 1785 au 1er trimestre 2016.

A l’instar des attaques DDoS sur la couche réseau, nous avons vu au premier trimestre 2016 les auteurs d’attaques passer à la vitesse supérieure et se concentrer sur des méthodes susceptibles de contourner les mesures de sécurité. La meilleure illustration en est une augmentation du nombre de robots DDoS capables de se glisser au travers des mailles du filet, à savoir les tests couramment utilisés pour filtrer le trafic d’attaque.

Au 1er trimestre 2016, le nombre de ces robots a explosé pour atteindre 36,6 % du trafic total des botnets, contre 6,1 % au trimestre précédent. Dans le détail, 18,9 % étaient capables d’accepter et de conserver des cookies, tandis que les 17,7 % restants pouvaient également interpréter du code JavaScript.

De telles capacités, combinées à une empreinte HTTP d’apparence authentique, rendent les robots malveillants indétectables par la plupart des méthodes.

En dehors de l’utilisation de robots plus sophistiqués, les assaillants explorent de nouvelles méthodes d’exécution des attaques sur la couche application. Les plus remarquables d’entre elles sont de type :HTTP/S POST flood, employant des requêtes très longues pour tenter de saturer la connexion réseau de la cible.

Enfin, Imperva a également observé un accroissement continu de la fréquence des assauts. Au premier trimestre 2016, un site sur deux victime d’une attaque a été ciblé plusieurs fois. Le nombre de sites attaqués entre deux et cinq fois est passé de 26,7 % à 31,8 %.

Côté botnets, la Corée du Sud est en tête des pays à l’origine des attaques. A partir du deuxième trimestre 2015, on a enregistré une forte montée en charge de l’activité des botnets DDoS provenant de ce pays, une tendance qui s’est poursuivie en ce premier trimestre 2016. Cette fois, étant à l’origine de 29,5 % de l’ensemble du trafic DDoS sur la couche application, le pays s’est hissé en tête de liste des attaquants.

En somme, l’année précédente, la plupart des attaques observées avaient pour but de causer un maximum de dommages aux infrastructures ciblées. Il s’agissait typiquement d’assauts de force brute, de type « flood », frappant avec une grande capacité et sans faire de détail. Les attaques plus sophistiquées étaient alors rares. Néanmoins, au cours des derniers mois, la société a enregistré un nombre croissant d’attaques orchestrées par rapport aux solutions de neutralisation DDoS. La diversité des méthodes d’attaques ainsi que l’expérimentation de nouveaux vecteurs semblent indiquer un changement de priorité : les assauts sont de plus en plus conçus pour paralyser les solutions de neutralisation, et non plus uniquement la cible.

Emmanuel Mayega
A propos de l'auteur

Directeur de la rédaction et de la publication du magazine Assurance & Banque 2.0 et de ce site, Emmanuel a une connaissance accrue de l’intégration des technologies dans l’assurance, la banque et la santé. Ancien rédacteur en chef de ce magazine, il a pendant plus d'une décennie été rédacteur en chef adjoint d’Assurance & Informatique Magazine. ll est un observateur affûté du secteur. Critique, il se définit comme esprit indépendant et provocateur, s’il le faut.

Site web : http://www.assurbanque20.fr

Twitter LinkedIn Google+

Newsletter

Vous n'avez pas le temps suivre l'actualité ? Découvrez nos newsletters gratuites, quotidiennes ou hebdomadaires.

Inscription Newsletter


Le Mensuel

Chaque mois, un regard éclairé et sans concession sur l'actualité de l'Assurance, de la Banque et des Services Financiers.

Découvrir le magazine