Le 7 octobre 2023, à 3h30 GMT (6h30 heure locale), le Hamas a attaqué des villes israéliennes et tiré des milliers de roquettes contre des lieux très fréquentés du sud et du centre d'Israël, parmi lesquels Tel-Aviv et Jérusalem. Les sirènes d'alerte aérienne ont commencé à retentir, demandant aux civils de se mettre à l'abri.
Environ douze minutes plus tard, les systèmes de Cloudflare ont automatiquement détecté et atténué des attaques DDoS ciblant les sites web qui fournissent aux populations civiles des informations vitales et des alertes concernant les attaques à la roquette. L'attaque initiale a atteint un pic de 100 000 requêtes par seconde (r/s) et a duré dix minutes. Quarante-cinq minutes plus tard, une deuxième attaque, beaucoup plus vaste, a été lancée, atteignant un pic de 1 million de r/s. Elle a duré six minutes. D'autres attaques DDoS de moindre ampleur ont continué à frapper les sites web dans les heures qui ont suivi.
Pas uniquement des attaques DDoS
Plusieurs sites web et applications mobiles israéliens ont été pris pour cible par différents groupes d'hacktivistes pro-palestiniens. Selon Cybernews, l'un de ces groupes, AnonGhost, a exploité une vulnérabilité de « Red Alert: Israel », une application mobile conçue pour alerter les populations civiles israéliennes des attaques à la roquette. L'exploitation de cette vulnérabilité a permis au groupe d'intercepter des requêtes, d'exposer des serveurs et des API et de diffuser de fausses alertes à certains utilisateurs de l'application, notamment un message indiquant l'arrivée d'une bombe nucléaire. AnonGhost a également affirmé avoir attaqué plusieurs autres applications de diffusion d'alertes aux attaques à la roquette.
Le 14 octobre, nous avons révélé les conclusions d'une enquête réalisée par l'équipe de réponse aux menaces Cloudforce One, qui a identifié des applications mobiles Android malveillantes usurpant l'identité de l'application légitime « RedAlert - Rocket Alerts ». Les applications malveillantes ont obtenu l'accès à des informations sensibles sur les utilisateurs, notamment la liste des contacts du téléphone mobile, les messages SMS, les journaux d'appels téléphoniques, les applications installées et des informations sur le téléphone et la carte SIM eux-mêmes. Des informations techniques plus détaillées sur notre enquête sont disponibles ici.
Par ailleurs, Cloudflare a identifié un site web israélien ayant été partiellement défiguré par AnonGhost. Ce site web n'utilisait pas Cloudflare, mais nous avons contacté l'organisation afin de lui offrir notre soutien.
Un bombardement continu d'attaques DDoS
Dans les jours qui ont suivi l'attaque du 7 octobre, les sites web israéliens ont été fortement ciblés par des attaques DDoS, et Cloudflare a contribué à l'intégration et la protection de bon nombre de ces sites.
Depuis l'attaque du 7 octobre 2023, les sites web de journaux et de médias ont été la principale cible des attaques DDoS ; ils représentaient 56 % de la totalité des attaques lancées contre des sites web israéliens. Nous avons observé les mêmes tendances lorsque la Russie a attaqué l'Ukraine ; les sites web d'organisations ukrainiennes de médias et d'audiovisuel ont été fortement ciblés. La guerre sur le terrain s'accompagne souvent de cyberattaques contre des sites web fournissant des informations cruciales aux populations civiles.
Le deuxième secteur d'industrie le plus fortement ciblé en Israël était celui des logiciels informatiques : Près de 34 % de l'ensemble des attaques DDoS ciblaient des entreprises de développement de logiciels. À la troisième place, et de manière plus significative, les sociétés du secteur des services bancaires, des assurances et des services financiers ont été attaquées. Les sites web des administrations publiques arrivaient en quatrième position.
Nous avons également constaté que les sites web de journaux et de médias israéliens ont été pris pour cible immédiatement après l'attentat du 7 octobre.
Depuis le 1er octobre 2023, Cloudflare a automatiquement détecté et atténué plus de 5 milliards de requêtes HTTP faisant partie d'attaques DDoS. Avant le 7 octobre, pratiquement aucune requête liée à une attaque DDoS HTTP contre des sites web israéliens utilisant Cloudflare n'avait été observée.
Toutefois, le jour de l'attaque du Hamas, le pourcentage de trafic lié aux attaques DDoS a augmenté : près d'une requête sur 100 adressée à des sites web israéliens utilisant Cloudflare était liée à une attaque DDoS HTTP. Ce chiffre a quadruplé le 8 octobre.
Cyberattaques contre des sites web palestiniens
Pendant la même période, à partir du 1er octobre, Cloudflare a automatiquement détecté et atténué plus de 454 millions de requêtes HTTP liées à des attaques DDoS ciblant des sites web palestiniens utilisant Cloudflare. Si ce chiffre représente à peine un dixième du nombre de requêtes liées à des attaques que nous avons observées contre des sites web israéliens utilisant Cloudflare, il représente une part proportionnellement plus importante du trafic global acheminé vers les sites web palestiniens utilisant Cloudflare.
Les jours précédant l'attaque du Hamas, nous n'avons observé aucune attaque DDoS contre des sites web palestiniens utilisant Cloudflare. Cela a changé le 7 octobre ; plus de 46 % de l'ensemble du trafic acheminé vers des sites web palestiniens était lié à des attaques DDoS HTTP.
Le 9 octobre, ce chiffre a atteint près de 60 %. Près de 6 requêtes HTTP sur 10 adressées à des sites web palestiniens utilisant Cloudflare étaient liées à une attaque DDoS HTTP.
Ces attaques sont également représentées par les pics sur le graphique ci-dessous, après l'attaque du Hamas.
Trois secteurs d'industrie palestiniens ont été attaqués au cours des dernières semaines. La majorité absolue des attaques DDoS HTTP, soit près de 76 % de l'ensemble des attaques, ciblait des sites bancaires. Le deuxième secteur d'industrie le plus fortement ciblé a été celui d'Internet, qui représentait 24 % de l'ensemble des attaques DDoS. Une autre part, moins importante, ciblait les sites web de production de médias.
Sécurisez vos applications et protégez-vous contre les attaques DDoS
Comme nous l'avons constaté ces dernières années, les conflits et les guerres dans le monde réel s'accompagnent toujours de cyberattaques. Nous avons compilé une liste de recommandations pour vous aider à optimiser vos défenses contre les attaques DDoS. Vous pouvez également suivre nos assistants pas-à-pas pour sécuriser vos applications et prévenir les attaques DDoS.
Nous invitons également les lecteurs à examiner plus en détail le tableau de bord Cloudflare Radar, qui leur permettra de visualiser les informations et tendances du trafic et des attaques en Israël et en Palestine. Vous pouvez en apprendre davantage sur les tendances du trafic Internet et des attaques en Israël et en Palestine après l'attaque du 7 octobre.
Vous êtes victime d'une attaque ou avez besoin d'une protection supplémentaire ? Cliquez ici pour demander de l'aide.
Cliquez ici pour vous protéger contre les applications mobiles malveillantes.
Remarque concernant les méthodologies employées
Les informations que nous fournissons sont fondées sur le trafic et les attaques que nous observons contre les sites web qui utilisent Cloudflare, sauf indication contraire ou référence à une source tierce. Des informations plus détaillées concernant nos méthodologies sont disponibles ici.