Les attaques DDoS lancées ce week-end ont établi de nouveaux records. Pendant le week-end, Cloudflare a détecté et atténué des dizaines d'attaques DDoS hyper-volumétriques. La majorité des attaques ont atteint un pic de l'ordre de 50 à 70 millions de requêtes par seconde (r/s), la plus importante ayant dépassé 71 millions de r/s. Il s'agit de la plus vaste attaque DDoS HTTP jamais observée, représentant une progression de plus de 35 % par rapport au précédent record de 46 millions de r/s en juin 2022.
Les attaques étaient basées sur HTTP/2 et ciblaient des sites web protégés par Cloudflare. Elles étaient lancées depuis plus de 30 000 adresses IP. Parmi les sites web visés par les attaques figuraient un célèbre fournisseur de jeux vidéo, des sociétés spécialistes des cryptomonnaies, des fournisseurs d'hébergement et des plateformes de cloud. Les attaques provenaient de nombreux fournisseurs de services de cloud, et nous avons collaboré avec eux pour contenir la menace liée au botnet.
Au cours de l'année passée, nous avons constaté une augmentation du nombre d'attaques provenant de fournisseurs de cloud. Pour cette raison, nous allons proposer aux prestataires de services possédant un système autonome un flux gratuit d'informations sur les menaces liées aux botnets. Ce flux fournira aux fournisseurs de services des informations sur les menaces émanant de leur espace d'adressage IP, c'est-à-dire sur les attaques lancées depuis leur système autonome. Les prestataires de services qui exploitent un espace d'adressage IP peuvent désormais s'inscrire sur la liste d'attente d'accès anticipé.
Ces attaques sont-elles liées au Super Bowl ou à Killnet ?
Non. Cette campagne d'attaques survient moins de deux semaines après la campagne d'attaques DDoS Killnet, qui ciblait des sites web de soins de santé. Compte tenu des méthodes employées et des cibles désignées, nous ne pensons pas que ces récentes attaques soient liées à la campagne d'attaques contre les systèmes de soins de santé ; par ailleurs, le Super Bowl américain a eu lieu hier, et nous ne pensons pas non plus que cette campagne d'attaques soit liée à cet événement.
Que sont les attaques DDoS ?
Les attaques par déni de service distribué sont des cyberattaques qui visent à mettre hors service des propriétés Internet et à les rendre indisponibles pour les utilisateurs. Ces types de cyberattaques peuvent s'avérer très efficaces contre les sites web non protégés, et leur mise en œuvre peut être très peu coûteuse pour des acteurs malveillants.
Une attaque DDoS HTTP consiste généralement à inonder (« flood ») un site web cible de requêtes HTTP. L'objectif de l'acteur malveillant est de submerger un site web sous un nombre plus important de requêtes qu'il ne peut traiter. Si le nombre de requêtes est suffisamment élevé, le serveur du site web ne sera pas en mesure de traiter à la fois les requêtes liées à l'attaque et les requêtes légitimes des utilisateurs. Pour les utilisateurs, cela entraînera des lenteurs de chargement du site web, des délais d'attente et, finalement, l'impossibilité de se connecter au site web souhaité.
Pour accroître l'ampleur et la complexité des attaques, les acteurs malveillants exploitent généralement un réseau de bots, appelé « botnet ». L'auteur de l'attaque orchestre le botnet pour bombarder de requêtes HTTP les sites web de la victime. Un botnet suffisamment vaste et puissant peut générer des attaques de très grande ampleur, comme nous l'avons observé dans ce cas.
Toutefois, la création et l'exploitation de botnets exigent d'importants investissements et compétences. Alors, que pourrait bien faire un citoyen lambda ? Pour commencer, un citoyen lambda qui souhaite lancer une attaque DDoS contre un site web n'a pas besoin de monter l'attaque de toutes pièces. Il peut louer les services de l'une des nombreuses plateformes DDoS-as-a-Service pour 30 dollars par mois seulement. Plus le montant versé est élevé, plus l'attaque sera vaste et longue.
Quel est l'intérêt des attaques DDoS ?
Au fil des ans, il est devenu plus facile et moins coûteux pour les auteurs d'attaques et les « prestataires de services d'attaque » de lancer des attaques DDoS, qui sont ainsi devenues plus accessibles. Toutefois, face à la simplification de cette entreprise pour les acteurs malveillants, nous tenons à nous assurer qu'il est encore plus facile (et gratuit) pour les personnes chargées de la défense d'organisations de toute taille de se protéger contre les attaques DDoS de tous types.
À la différence des attaques par rançongiciel, les attaques DDoS avec demande de rançon ne nécessitent pas d'intrusion réelle dans le système ou d'implantation sur le réseau ciblé. En règle générale, les attaques par rançongiciel commencent lorsqu'un employé clique naïvement sur un lien contenu dans un e-mail, qui installe et propage le logiciel malveillant. Avec les attaques DDoS, cette démarche n'est pas nécessaire. Ces attaques ressemblent davantage à des « attaques éclair »". Les seules informations que l'auteur d'une attaque DDoS a besoin de connaître sont l'adresse et/ou l'adresse IP du site web ciblé.
Les attaques DDoS progressent-elles ?
Oui. La taille, la sophistication et la fréquence des attaques ont augmenté au cours des derniers mois. Dans la dernière édition de notre rapport consacré aux menaces DDoS, nous avons constaté que le nombre d'attaques DDoS HTTP a augmenté de 79 % par rapport à l'année précédente. En outre, le nombre d'attaques volumétriques dépassant 100 Gb/s a augmenté de 67 % par rapport au trimestre précédent, tandis que le nombre d'attaques d'une durée de plus de trois heures a augmenté de 87 % par rapport au trimestre précédent.
Toutefois, cette progression ne s'arrête pas là. L'audace des acteurs malveillants augmente, elle aussi. Dans la dernière édition de notre rapport consacré aux menaces DDoS, nous avons constaté que les attaques DDoS avec demande de rançon ont connu une augmentation régulière tout au long de l'année. Elles ont atteint leur point culminant en novembre 2022 ; à cette période, un client interrogé sur quatre a déclaré avoir été victime d'attaques ou de menaces DDoS avec demande de rançon.
Dois-je me préoccuper des attaques DDoS ?
Oui. Si votre site web, votre serveur ou vos réseaux ne sont pas protégés contre les attaques DDoS volumétriques par un service de cloud proposant des fonctions de détection et d'atténuation automatiques, nous vous recommandons vraiment d'y réfléchir.
Les clients de Cloudflare n'ont pas de raison de s'inquiéter, mais ils doivent être conscients et préparés. Vous trouverez ci-dessous une liste d'étapes recommandées pour garantir l'optimisation de votre posture de sécurité.
Quelles mesures dois-je prendre pour me défendre contre les attaques DDoS ?
Les systèmes de Cloudflare détectent et atténuent automatiquement les attaques DDoS.
Cloudflare propose de nombreuses fonctionnalités et capacités auxquelles vous avez peut-être déjà accès, mais que vous n'utilisez peut-être pas. C'est pourquoi, à titre de précaution supplémentaire, nous vous recommandons d'utiliser ces capacités pour améliorer et optimiser votre niveau de sécurité :
- Assurez-vous que toutes les règles gérées spécifiques aux attaques DDoS sont configurées avec les paramètres par défaut (sensibilité élevée et actions d'atténuation), pour une activation optimale en cas d'attaque DDoS.
- Les clients de l'offre Cloudflare Enterprise qui sont abonnés au service Protection anti-DDoS avancée doivent envisager d'activer le service Protection anti-DDoS adaptative, qui permet d'atténuer les attaques de manière plus intelligente, en fonction de vos schémas de trafic uniques.
- Déployez des règles de pare-feu et des règles de limitation de débit pour appliquer un modèle alliant des approches positive et négative de la sécurité. Limitez le trafic autorisé sur votre site web en fonction de votre utilisation connue.
- Assurez-vous que votre serveur d'origine n'est pas exposé à l'Internet public (autorisez uniquement l'accès aux adresses IP de Cloudflare). À titre de mesure de sécurité supplémentaire, nous vous recommandons de contacter votre fournisseur d'hébergement et de demander de nouvelles adresses IP pour votre serveur d'origine, si ces adresses ont été la cible directe d'attaques par le passé.
- Nous invitons les clients ayant accès aux listes d'adresses IP gérées à envisager d'intégrer ces listes aux règles de pare-feu. Quant aux clients ayant souscrit le service Gestion des bots, nous les invitons à tirer parti des scores de bots intégrés aux règles de pare-feu.
- Activez la fonction de mise en cache autant que possible, afin de réduire la pression sur vos serveurs d'origine, et lorsque vous utilisez Workers, évitez de surcharger votre serveur d'origine avec un volume inutilement élevé de sous-requêtes.
- Activez le service d'alertes sur les attaques DDoS, afin d'améliorer vos temps de réponse.
Se préparer pour la prochaine vague d'attaques DDoS
La défense contre les attaques DDoS est essentielle pour les entreprises de toutes tailles. Si les attaques sont lancées par des humains, elles sont mises en œuvre par des bots – et pour avoir le dessus sur ces derniers, il est nécessaire de combattre le feu par le feu. Les processus de détection et d'atténuation doivent être automatisés autant que possible, car le fait de compter uniquement sur l'intervention humaine pour atténuer les attaques en temps réel constitue un désavantage pour le personnel chargé de la défense. Les systèmes automatisés de Cloudflare détectent et atténuent les attaques DDoS en permanence pour nos clients, afin de leur épargner cette tâche. Cette approche automatisée, associée à notre vaste sélection de fonctionnalités de sécurité, permet aux clients d'adapter la protection à leurs besoins.
Nous fournissons gratuitement à tous nos clients une protection illimitée contre les attaques DDoS depuis 2017, date à laquelle nous sommes devenus les pionniers de ce concept. La mission de Cloudflare est de contribuer à bâtir un Internet meilleur, et un Internet meilleur est un Internet plus sûr, plus rapide et plus fiable pour tous – même face aux attaques DDoS.