Le panorama de la sécurité Internet a considérablement changé ces douze derniers mois. Le climat d'incertitude géopolitique, associé à une année 2024 particulièrement active en matière d'élections dans de nombreux pays du monde, a entraîné une augmentation considérable de l'activité liée au trafic malveillant sur Internet. Dans ce rapport, nous présenterons les perspectives de Cloudflare concernant la sécurité des applications Internet.
Ce compte-rendu, la quatrième édition de notre rapport sur la sécurité des applications, constitue une mise à jour officielle de notre rapport étudiant l'activité au deuxième trimestre 2023. Au rayon des nouveautés, la nouvelle version intègre désormais une section consacrée à la sécurité côté client dans le contexte des applications web.
Nous discuterons de différentes informations tout au long du rapport. Du point de vue mondial, le trafic atténué sur l'ensemble du réseau est aujourd'hui de 7 % en moyenne, dont le pare-feu WAF et les mesures d'atténuations des bots comptent pour plus de la moitié. Si les attaques DDoS demeurent le vecteur d'attaque le plus utilisé contre les applications web, les attaques ciblées visant les CVE valent également la peine d'être surveillées, car d'après nos observations, les acteurs malveillants n'ont eu besoin que de 22 minutes pour exploiter certaines vulnérabilités après la publication du code de la validation de principe.
En ce qui concerne les bots, près d'un tiers de l'ensemble du trafic que nous observons est automatisé, la vaste majorité (93 %) de ce dernier n'étant pas généré par des bots figurant dans la liste vérifiée de Cloudflare et se révélant donc potentiellement malveillant.
Le trafic lié aux API continue également de croître et représente désormais 60 % de l'ensemble du trafic. De même, et cette constatation est peut-être plus inquiétante encore, jusqu'à un quart des points de terminaison d'API des entreprises ne sont pas comptabilisés
Nous évoquons également la sécurité côté client et la prolifération des intégrations tierces au sein des applications web. D'après les données de Page Shield, les sites d'entreprise intègrent en moyenne 47 points de terminaison tiers.
Il convient de mentionner que depuis le dernier rapport, notre réseau, sur lequel nous recueillons les données et les informations, a encore gagné en taille et en rapidité. Nous traitons actuellement, en moyenne, 57 millions de requêtes HTTP par seconde (+23,9 % par rapport à l'année précédente) et 77 millions en pic (+22,2 % par rapport à l'année précédente). Du point de vue du DNS, nous traitons 35 millions de requêtes DNS par seconde (+40 % par rapport à l'année précédente). Ces chiffres prennent en compte la somme des requêtes transmises au DNS de référence et au résolveur par notre infrastructure.
Plus remarquable encore, si nous nous focalisons uniquement sur les requêtes HTTP, Cloudflare a bloqué en moyenne 209 milliards de cybermenaces par jour lors du premier trimestre 2024 (+86,6 % par rapport à l'année précédente) Il s'agit là d'une augmentation considérable par rapport à la même période l'année dernière.
Comme d'habitude, avant d'entrer dans le vif du sujet, nous devons définir nos termes.
Définitions
Tout au long de ce rapport, nous allons utiliser les termes suivants :
Trafic atténué : n'importe quelle requête HTTP* émanant d'un utilisateur et à laquelle la plateforme Cloudflare a appliqué une action de « déconnexion ». Ce type d'action inclut notamment les actions suivantes :
BLOCK(blocage),CHALLENGE(test),JS_CHALLENGE(test JavaScript) etMANAGED_CHALLENGE(test géré). Le trafic atténué n'inclut pas les requêtes auxquelles ont été appliquées les actions suivantes :LOG(journalisation),SKIP(non prise en compte),ALLOW(autorisation). Elles ne représentent par ailleurs qu'un pourcentage relativement faible des requêtes. En outre, nous avons amélioré notre processus de calcul concernant les actions de typeCHALLENGEafin de nous assurer que seuls les tests non résolus sont comptabilisés comme du trafic atténué. Une description détaillée des actions est disponible dans notre documentation destinée aux développeurs. Aucune modification n'a été apportée par rapport à l'année dernière.Trafic lié aux bots/trafic automatisé : toute requête HTTP* identifiée par le système de gestion des bots de Cloudflare comme le fruit d'un bot. Cela ne comprend pas les requêtes avec un score de bot entre 1 et 29 inclus. Aucune modification n'a été apportée par rapport à l'année dernière.
Trafic d'API : n'importe quelle requête HTTP* dont le type de contenu de réponse est en XML ou JSON. Lorsque le type de contenu de réponse est indisponible, comme c'est le cas pour les requêtes atténuées, le type de contenu Accept équivalent (spécifié par l'agent utilisateur) est utilisé à la place. Dans ce dernier cas, le trafic d'API n'est pas entièrement pris en compte, mais il offre néanmoins une représentation satisfaisante pour ce qui est de dégager des informations. Cette définition n'a pas changé depuis le rapport de l'année dernière.
Sauf mention contraire, la période évaluée dans cette publication s'étend du 1er avril 2023 au 31 mars 2024, inclus.
Enfin, notez que les données ne sont calculées que sur la base du trafic observé au travers du réseau Cloudflare, elles ne reflètent pas forcément les configurations du trafic HTTP dans tout Internet.
*Lorsque nous parlons du trafic HTTP, nous faisons référence à la fois au trafic HTTP et HTTPS.
Informations concernant le trafic global
La moyenne de trafic atténué quotidien augmente de près de 7 %
Par rapport à la période précédente de 12 mois, Cloudflare a atténué un pourcentage plus élevé du trafic de la couche applicative et d'attaques DDoS sur cette même couche (L7) entre le deuxième trimestre 2023 et le premier trimestre 2024, avec un pourcentage passant de 6 à 6,8 %.
Figure 1 : pourcentage d'augmentation du trafic HTTP atténué au cours des 12 derniers mois
Lors des attaques mondiales de grande ampleur, nous observons des pics de trafic atténué représentant 12 % de l'ensemble du trafic HTTP. Ces pics s'avèrent beaucoup plus élevés que ceux que nous avons observés jusqu'ici sur l'ensemble de notre réseau.
Les atténuations assurées par le pare-feu WAF et le service d'atténuation des bots totalisaient 53,9 % de l'ensemble du trafic atténué
Tandis que la plateforme Cloudflare continue à exposer des signaux supplémentaires pour identifier le trafic potentiellement malveillant, les clients utilisent activement ces derniers dans les règles personnalisées du pare-feu WAF afin d'améliorer leur stratégie de sécurité. Ces signaux comprennent, par exemple, notre WAF Attack Score, qui identifie les contenus malveillants, et notre score de bot, qui identifie le trafic automatisé.
Après les atténuations assurées par le pare-feu WAF et le service d'atténuation des bots, les règles DDoS HTTP constituent le deuxième plus gros contributeur en matière de trafic atténué. Le système de réputation IP, qui s'appuie sur notre score de menace IP pour bloquer le trafic, et les règles d'accès (qui ne sont que de simples mesures de blocage au niveau de l'adresse IP et du pays) suivent en troisième et quatrième position.
Figure 2 : trafic atténué par groupe de produits Cloudflare
Il a suffi de 22 minutes aux acteurs malveillants pour exploiter certaines vulnérabilités après la publication du code de la validation de principe
Le nombre d'exploitations de vulnérabilités zero-day (également appelées menaces zero-day) augmente également, tout comme la vitesse d'exploitation des CVE identifiées. 97 vulnérabilités zero-day ont été exploitées « en milieu naturel » en 2023, soit une augmentation de 15 % des CVE publiées entre 2022 et 2023.
Pour examiner les tentatives d'exploitation de CVE à l'encontre de ses clients, Cloudflare a principalement observé l'activité d'analyse, suivie des injections de commandes, ainsi que certaines tentatives d'exploitation de vulnérabilités pour lesquelles une validation de principe était disponible en ligne, notamment les vulnérabilités Apache CVE-2023-50164 et CVE-2022-33891, les vulnérabilités Coldfusion CVE-2023-29298, CVE-2023-38203 et CVE-2023-26360, ainsi que la vulnérabilité MobileIron CVE-2023-35082.
Cette tendance constatée parmi les tentatives d'exploitation des vulnérabilités CVE indique que les acteurs malveillants commencent par viser les cibles les plus faciles, et qu'ils ont des chances de réussir dans certains cas, compte tenu de l'activité continue autour d'anciennes vulnérabilités.
À titre d'exemple, Cloudflare a observé des tentatives d'exploitation de la vulnérabilité CVE-2024-27198 (contournement de l'authentification JetBrains TeamCity) à 19 h 45 UTC le 4 mars, soit seulement 22 minutes après la publication du code de la validation de principe.
Figure 3 : chronologie du contournement de l'authentification JetBrains TeamCity
Les CVE publiées sont souvent exploitées plus rapidement que les humains ne peuvent définir de règles de pare-feu WAF ou développer et déployer un correctif destiné à atténuer les attaques. Ce constat s'applique également à notre propre équipe interne d'analystes de sécurité, qui entretient l'ensemble de règles gérées du pare-feu WAF. Ce problème nous a ainsi conduits à combiner les signatures écrites par des humains à une approche basée sur l'apprentissage automatique afin de parvenir au meilleur équilibre entre un faible taux de faux positifs et la vitesse de réaction.
Les campagnes d'exploitation des CVE par des acteurs malveillants spécifiques sont clairement visibles lorsque nous concentrons sur un sous-ensemble de catégories de CVE. Ainsi, si nous filtrons les CVE qui donnent lieu à l'exécution de code à distance (Remote Code Execution, RCE), nous constatons des tentatives claires d'exploitation des installations Apache et Adobe vers la fin de l'année 2023 et au début de l'année 2024, avec une campagne notable ciblant Citrix au mois de mai de cette année.
Figure 4 : nombre quotidien mondial de requêtes CVE en vue d'une exécution de code
Plusieurs constats similaires deviennent clairement visibles si nous nous concentrons sur d'autres CVE ou catégories d'attaques spécifiques.
Les attaques DDoS restent le type d'attaque le plus courant contre les applications web
Les attaques DDoS demeurent le type d'attaque le plus courant contre les applications web, en totalisant 37,1 % de l'ensemble du trafic lié aux applications atténué sur la période considérée.
Figure 5 : volume des attaques DDoS HTTP au fil du temps
Nous avons relevé une forte augmentation du nombre d'attaques volumétriques en février et mars 2024. Ce chiffre résulte en partie du déploiement de mesures de détection améliorées par nos équipes, en plus de l'augmentation de l'activité hostile. Au cours du seul premier trimestre 2024, les défenses automatisées de Cloudflare ont atténué 4,5 millions d'attaques DDoS uniques, soit l'équivalent de 32 % de l'ensemble des attaques DDoS atténuées par Cloudflare en 2023. Plus concrètement, les attaques DDoS HTTP sur la couche applicative ont augmenté de 93 % par rapport à l'année précédente et de 51 % par rapport au trimestre précédent.
Cloudflare corrèle le trafic des attaques DDoS et définit les attaques uniques en examinant les heures de début et de fin des événements, ainsi que la destination cible.
Les motivations qui sous-tendent le lancement d'attaques DDoS vont du ciblage d'entreprises spécifiques afin d'en tirer un profit financier (rançon), en passant par les tests de capacité des botnets ou encore la volonté de s'en prendre à certaines institutions et certains pays pour des raisons politiques. Pour prendre un exemple, Cloudflare a observé une augmentation de 466 % des attaques DDoS visant la Suède après son acceptation au sein de l'OTAN le 7 mars 2024. Cette situation reproduit le schéma d'attaque DDoS observé lors de l'adhésion de la Finlande à l'OTAN en 2023. Enfin, la taille des attaques DDoS elles-mêmes augmente également.
En août 2023, Cloudflare a atténué une attaque DDoS hyper-volumétrique HTTP/2 Rapid Reset culminant à 201 millions de requêtes par seconde (r/s), soit un volume trois fois plus important que celui de toutes les attaques observées jusqu'ici. Lors de cette attaque, les acteurs malveillants ont exploité une vulnérabilité zero-day présente au sein du protocole HTTP/2. Cette dernière avait le potentiel de neutraliser pratiquement n'importe quel serveur ou n'importe quelle application prenant en charge le HTTP/2. Cet aspect souligne le caractère menaçant des vulnérabilités DDoS pour les entreprises ne disposant pas d'une protection.
Le secteur des jeux et des jeux de hasard est devenu le secteur le plus visé par les attaques DDoS, suivi par celui des entreprises de technologie Internet et de minage de cryptomonnaies.
Figure 6 : les attaques DDoS HTTP les plus volumineuses observées par Cloudflare, répartition annuelle
Informations sur le trafic lié aux bots
Cloudflare a continué à investir massivement dans ses systèmes de détection des bots. Début juillet, nous avons déclaré l'AIndependence afin de contribuer à la préservation d'un Internet sûr pour les créateurs de contenu, en proposant un tout nouveau bouton « facile à utiliser » permettant de bloquer tous les bots IA. Cette fonctionnalité est disponible pour tous nos clients, y compris ceux qui ont souscrit une offre gratuite.
Nous avons également réalisé des progrès considérables sur d'autres systèmes complémentaires, comme notre produit Turnstile, une alternative aux CAPTCHA conviviale et respectueuse de la confidentialité.
Ces systèmes et ces technologies nous aident à mieux identifier et différencier le trafic humain du trafic de bots automatisé.
En moyenne, les bots représentent un tiers de l'ensemble du trafic lié aux applications
Sur l'ensemble du trafic applicatif traité par Cloudflare, 31,2 % est lié à des bots. Ce pourcentage est resté relativement stable (environ 30 %) ces trois dernières années.
Le terme « trafic lié aux bots » peut avoir une connotation négative, mais en réalité, ce type de trafic n'est pas intrinsèquement bon ou mauvais. Son caractère malveillant ou non dépend de la finalité poursuivie par le bot. Certains trafics sont « légitimes » et assurent un service nécessaire, comme les chatbots de service client et les robots d'indexation autorisés des moteurs de recherche. Toutefois, certains bots détournent un produit ou un service en ligne, qu'ils utilisent de manière abusive. Ils doivent dès lors être bloqués.
Les différents propriétaires d'application peuvent s'appuyer sur des critères différents pour déterminer ce qu'ils considèrent comme un bot « malveillant ». Par exemple, certaines organisations peuvent chercher à bloquer un bot d'extraction de contenu déployé par un concurrent pour réduire les prix, alors qu'une entreprise qui ne vend pas de produits ni de services et indifférente à l'extraction de contenu. Les bons bots connus sont classés par Cloudflare dans la catégorie des « bots vérifiés ».
93 % des bots que nous avons identifiés étaient des bots non vérifiés et potentiellement malveillants
Les bots non vérifiés sont souvent développés à des fins perturbatrices et nuisibles, comme l'accaparement de stock, le lancement d'attaques DDoS ou la tentative de prise de contrôle d'un compte par force brute ou bourrage d'identifiants (Credential Stuffing). Le terme « bots vérifiés » désigne les bots connus pour être sûrs, comme les robots d'indexation des moteurs de recherche. Cloudflare s'efforce de vérifier l'ensemble des principaux opérateurs de bot légitimes. Vous trouverez une liste de tous les bots vérifiés dans notre documentation.
Les acteurs malveillants qui tirent parti des bots se concentrent principalement sur les secteurs qui pourraient leur rapporter d'importants gains financiers. Les sites web vendant des biens de consommation, par exemple, sont souvent la cible d'opérations d'accaparement de stock et d'extraction tarifaire effectuées par la concurrence ou d'applications automatisées cherchant à exploiter une sorte d'arbitrage (cf. la relation des « sneaker bots » et des magasins de chaussures sportswear). Ce type d'abus peut avoir un impact financier considérable sur l'entreprise ciblée.
Figure 8 : secteurs dont la part quotidienne médiane de trafic lié aux bots est la plus élevée
Informations sur le trafic des API
Les consommateurs et les utilisateurs finaux attendent des expériences web et mobiles dynamiques, soutenues par des API. Ces dernières sont source d'avantages concurrentiels pour les entreprises : veille économique plus efficace, déploiements cloud plus rapides, intégration de nouvelles capacités IA, etc.
Toutefois, les API introduisent de nouveaux risques en créant, chez les tiers, des surfaces d'attaque supplémentaires permettant d'accéder aux applications et aux bases de données qui doivent également être sécurisées. Par conséquent, de nombreuses attaques observées par nos services ciblent désormais les points de terminaison d'API en premier lieu plutôt que les interfaces web traditionnelles.
Ces préoccupations de sécurité supplémentaires ne ralentissent évidemment pas l'adoption d'applications axées sur les API.
60 % du trafic dynamique (c'est-à-dire du trafic qui ne peut pas être mis en cache) est lié aux API.
Ce chiffre représente une augmentation de 2 % par rapport à l'année dernière. Sur ces 60 %, près de 4 % en moyenne sont atténués par nos systèmes de sécurité.
Figure 9 : part du trafic d'API atténué
Un pic important est clairement visible autour de la période du 11 au 17 janvier, représentant une augmentation de près de 10 % de la part de trafic sur cette période. Cette hausse résulte du fait qu'une zone client spécifique a reçu du trafic hostile, atténué par une règle personnalisée du pare-feu WAF.
En examinant plus avant les sources d'atténuation du trafic lié aux API, nous constatons que le pare-feu WAF est le principal contributeur, car les contenus malveillants s'appliquent généralement à la fois aux points de terminaison d'API et aux applications web standard.
Figure 10 : trafic atténué par API, réparti par groupe de produits
Un quart des API sont des « API fantômes »
Vos équipes ne peuvent pas protéger ce qu'elles ne voient pas. De nombreuses entreprises ne disposent pas d'un inventaire précis de leurs API, même lorsqu'elles pensent être en mesure d'identifier correctement le trafic lié aux API.
Grâce à notre modèle d'apprentissage automatique (Machine Learning) propriétaire, qui analyse non seulement les appels d'API connus, mais également l'ensemble des requêtes HTTP (en identifiant le trafic lié aux API susceptible d'être ignoré), nous avons constaté que les entreprises comptaient 33 % de points de terminaison d'API en contact avec le public de plus que ceux dont elles avaient conscience. Ce chiffre, qui représente la valeur médiane, a été calculé en comparant le nombre de points de terminaison d'API détectés via le processus d'identification basé sur l'apprentissage automatique par rapport au processus basé sur les identifiants de session communiqués par le client.
Ce résultat laisse entendre que près d'un quart des API sont des « API fantômes », qui ne sont donc pas correctement répertoriées et sécurisées.
RISQUES CÔTÉ CLIENT
Les applications web de la plupart des entreprises reposent sur des programmes ou des fragments de code distincts issus de fournisseurs tiers (généralement codés en JavaScript). L'utilisation de scripts tiers accélère le développement d'applications web modernes et permet aux entreprises de lancer plus rapidement leurs fonctionnalités sur le marché, sans devoir développer l'ensemble des nouvelles fonctionnalités des applications en interne.
Grâce à Page Shield, le produit de sécurité côté client de Cloudflare, nous pouvons obtenir un aperçu de la popularité des bibliothèques tierces utilisées sur Internet et du risque qu'elles représentent pour les entreprises. Cette problématique est devenue particulièrement pertinente récemment, avec l'incident Polyfill.io incident qui a affecté plus de cent mille sites.
Les applications professionnelles utilisent en moyenne 47 scripts tiers
L'entreprise cliente type de Cloudflare utilise en moyenne 47 scripts tiers, avec une valeur médiane de 20 scripts tiers. La moyenne est beaucoup plus élevée que la médiane du fait des fournisseurs SaaS, qui possèdent souvent des milliers de sous-domaines, tous susceptibles d'employer des scripts tiers. Vous trouverez ci-dessous une liste des principaux fournisseurs de scripts tiers utilisés par les clients de Cloudflare :
Google (Tag Manager, Analytics, Ads, Translate, reCAPTCHA, YouTube)
Meta (Facebook Pixel, Instagram)
Cloudflare (Web Analytics)
jsDelivr
New Relic
Appcues
Microsoft (Clarity, Bing, LinkedIn)
jQuery
WordPress (Web Analytics, plug-ins hébergés)
Pinterest
UNPKG
TikTok
Hotjar
Si les dépendances logicielles tierces utiles sont souvent chargées directement par le navigateur de l'utilisateur final (c'est-à-dire qu'elles sont chargées côté client), elles mettent néanmoins les entreprises et leurs clients en péril dans la mesure où ces dernières n'ont aucun contrôle direct sur les mesures de sécurité des ressources tierces. Par exemple, dans le secteur de la vente au détail, 18 % de l'ensemble des violations de données proviennent d'attaques de type Magecart, selon le rapport d'enquête Verizon 2024 sur les violations de données.
Les applications professionnelles se connectent en moyenne à près de 50 tiers
Le chargement d'un script tiers au sein de votre site web comporte des risques, d'autant plus lorsque ce script « appelle la maison » pour envoyer des données afin d'exécuter la fonction prévue. Google Analytics en constitue un exemple typique : chaque fois qu'un utilisateur effectue une action, le script Google Analytics renvoie les données aux serveurs Google. Nous identifions ces destinations sous le nom de connexions.
En moyenne, chaque site web professionnel se connecte à 50 destinations tierces distinctes, avec une valeur médiane de 15 destinations. Chacune de ces connexions présente également un risque potentiel pour la sécurité côté client, car les acteurs malveillants s'en servent souvent pour exfiltrer des données supplémentaires passées inaperçues.
Vous trouverez ci-dessous une liste des principales connexions tierces utilisées par les clients de Cloudflare :
Google (Analytics, Ads)
Microsoft (Clarity, Bing, LinkedIn)
Meta (Facebook Pixel)
Hotjar
Kaspersky
Sentry
Criteo
tawk.to
OneTrust
New Relic
PayPal
Perspectives d'avenir
Ce rapport consacré à la sécurité des applications est également disponible au format PDF. Le format propose des recommandations supplémentaires permettant de répondre à la plupart des préoccupations évoquées, ainsi que des statistiques complémentaires.
Nous publions également bon nombre de nos rapports, accompagnés de graphiques dynamiques, sur Cloudflare Radar. Ce service constitue donc une excellente ressource pour rester informé de l'état d'Internet.