Bienvenue dans le deuxième rapport consacré aux menaces DDoS de 2023. Les attaques DDoS, pour distributed denial-of-service attacks (déni de service distribué), constituent un type de cyberattaque visant à perturber les sites web (et d'autres types de propriétés Internet). Elles ont pour objectif de rendre ces derniers indisponibles aux utilisateurs légitimes en les submergeant sous un flux de trafic plus important que ce qu'ils peuvent traiter, comme un conducteur coincé dans un embouteillage pendant son trajet vers le supermarché.
Nous observons de nombreuses attaques DDoS de toutes tailles et de tous types grâce à notre réseau, l'un des plus vastes au monde avec plus de 300 villes couvertes dans plus de 100 pays. Ce réseau nous permet ainsi de traiter plus de 63 millions de requêtes HTTP par seconde en pic et plus de 2 000 milliards de requêtes DNS chaque jour. Cette quantité gigantesque de données nous confère un point de vue unique, que nous mettons à profit pour proposer de précieuses statistiques sur les tendances des attaques DDoS.
Nos lecteurs réguliers pourraient remarquer un changement dans la mise en page de ce rapport. Nous avions ainsi l'habitude de suivre un modèle préétabli pour partager nos statistiques et nos tendances en matière d'attaques DDoS. Toutefois, face à l'évolution du panorama des attaques, qui deviennent de plus en plus puissantes et sophistiquées, nous avons estimé qu'il était temps de modifier la manière dont nous présentons nos découvertes. Nous allons donc démarrer cette présentation par une rapide vue d'ensemble, avant de nous intéresser plus avant aux changements importants que nous observons dans l'univers des attaques DDoS.
Rappel : une version interactive de ce rapport est également disponible sur Cloudflare Radar. Nous lui avons en outre ajouté un nouvel élément interactif conçu pour vous permettre d'examiner plus en profondeur l'activité de chaque pays ou région.
Le panorama des attaques DDoS : examen des schémas mondiaux
Le deuxième trimestre 2023 s'est caractérisé par des vagues de campagnes d'attaques DDoS persistantes et portant sur différents fronts. Réfléchies en amont et taillées sur mesure, elles comprenaient notamment les suivantes :
- Plusieurs offensives DDoS orchestrées par les groupes d'hacktivistes pro-russes REvil, Killnet et Anonymous Sudan à l'encontre de sites web occidentaux présentant un certain intérêt.
- Une augmentation des attaques DNS délibérées et ciblées, en plus d'un bond de 532 % des attaques DDoS exploitant la vulnérabilité de Mitel (CVE-2022-26143). Cloudflare a contribué à la révélation de cette vulnérabilité zero-day l'année dernière.
- Une augmentation de 600 % des attaques visant les entreprises du secteur des cryptomonnaies a ainsi été observée, en même temps qu'une hausse de 15 % des attaques DDoS HTTP. Nous avons également remarqué une escalade alarmante de la sophistication de ces attaques. Nous aborderons cet aspect plus en détail dans la suite du rapport.
En outre, l'une des attaques les plus volumineuses que nous avons observées ce trimestre était une attaque DDoS par flood ACK. Cette dernière tirait sa source d'une variante du botnet Mirai totalisant approximativement 11 000 adresses IP. Lancée à l'encontre d'un fournisseur d'accès Internet américain, l'attaque a culminé à 1,4 térabit par seconde (Tb/s). Elle fut automatiquement détectée et atténuée par les systèmes de Cloudflare.
Malgré des chiffres indiquant une hausse générale de la durée des attaques, la plupart d'entre elles sont de courte durée et c'était le cas de celle-ci. Cette dernière n'a ainsi duré que deux minutes. Dans une démarche plus globale, toutefois, nous avons constaté une augmentation de 103 % du nombre d'attaques dépassant les trois heures.
Maintenant que nous avons planté le décor, intéressons-nous plus en profondeur aux changements que nous avons observés dans le panorama des attaques DDoS.
L'alliance d'hacktivistes surnommée le « Darknet Parliament » s'en prend aux banques occidentales et au réseau SWIFT
Le 14 juin, les groupes d'hacktivistes pro-russes Killnet et Anonymous Sudan, en compagnie d'une résurgence de REvil, ont annoncé avoir uni leurs forces afin de procéder à des cyberattaques « massives » contre le système financier occidental, notamment les banques européennes et américaines, ainsi que la Réserve fédérale des États-Unis. Ce collectif, surnommé le « Darknet Parliament » (le parlement du Darknet), a déclaré que son objectif premier était de paralyser le réseau SWIFT (Society for Worldwide Interbank Financial Telecommunication, la Société de télécommunications interbancaires mondiales). Une attaque DDoS réussie sur le système SWIFT pourrait avoir de graves conséquences, car il s'agit du principal service utilisé par les institutions financières pour conduire leurs transactions.
Au-delà d'une poignée d'événements largement médiatisés, comme la défaillance chez Microsoft, nous n'avons pas observé de nouvelles attaques DDoS ni de perturbations visant nos clients. Nos systèmes ont automatiquement détecté et atténué les attaques associées à cette campagne. Au cours des dernières semaines, près de 10 000 de ces attaques ont ainsi été lancées par le Darknet Parliament à l'encontre de sites web protégés par Cloudflare (voir le graphique ci-dessous).
En dépit des déclarations des hacktivistes, les sites du secteur bancaire et financier n'ont représenté que le neuvième secteur le plus attaqué, si l'on se base sur les attaques que nous avons observées à l'encontre de nos clients dans le cadre de cette campagne.
Les secteurs les plus attaqués ont été celui des logiciels, celui des jeux de hasard et des casinos, ainsi que celui des jeux vidéo. Les secteurs des télécommunications et des médias arrivent respectivement en quatrième et cinquième place. Au total, l'attaque la plus volumineuse observée lors de cette campagne atteignait un pic de 1,7 million de requêtes par seconde (r/s), l'attaque moyenne étant fixée à 65 000 r/s.
Afin de replacer la situation en perspective, plus tôt cette année, nous avons atténué l'attaque la plus volumineuse jamais enregistrée, avec un pic de 71 millions de r/s. Si ces attaques se révélaient d'ampleur plutôt faible par rapport à l'échelle de Cloudflare, elles ne l'étaient toutefois pas nécessairement pour le site web moyen. Par conséquent, nous ne devrions pas sous-estimer le potentiel de nocivité pour les sites non protégés ou configurés de manière sous-optimale.
Des attaques DDoS HTTP sophistiquées
Une attaque DDoS HTTP désigne une attaque DDoS lancée via Hypertext Transfer Protocol (HTTP). Elle prend pour cibles les propriétés Internet HTTP, telles que les sites web et les passerelles d'API. Au cours du dernier trimestre, les attaques DDoS HTTP ont augmenté de 15 % par rapport au trimestre précédent, malgré un recul de 35 % par rapport à l'année précédente.
Nous avons en outre constaté une augmentation alarmante des attaques DDoS HTTP sophistiquées et fortement randomisées ces derniers mois. Il semblerait que les acteurs malveillants à l'origine de ces attaques aient intentionnellement modifié ces dernières afin de tenter de circonvenir les systèmes d'atténuation en imitant avec habileté et grande précision le comportement d'un navigateur. Ainsi, dans certains cas, ils introduisent un haut niveau de randomisation sur diverses propriétés, comme les agents utilisateur et les empreintes JA3, pour n'en citer que quelques-unes. Nous vous présentons un exemple de ce type d'attaque ci-dessous. Chaque couleur représente une fonctionnalité de randomisation différente.
Par ailleurs, pour bon nombre de ces attaques, il semble que les acteurs malveillants tentent de conserver le volume d'occurrences par seconde à un taux relativement faible afin d'éviter la détection et de se dissimuler parmi le trafic légitime.
Ce niveau de sophistication était autrefois associé aux attaques opérant au niveau du pays et aux acteurs malveillants sponsorisés par des États-nations. Il apparaît que ces capacités sont désormais à la disposition des simples cybercriminels. Dans le cadre de leurs opérations, ces derniers se sont déjà attaqués à de grandes entreprises, parmi lesquelles un fournisseur de VoIP de premier plan, une des plus grandes entreprises de semi-conducteurs et un important fournisseur de solutions financières et de cartes de paiement.
La protection des sites web contre les attaques DDoS HTTP nécessite un système de défense intelligent, automatisé et rapide, capable de tirer parti des informations sur les menaces, du profilage du trafic, de l'analyse statistique et de l'apprentissage automatique (Machine Learning afin de différencier le trafic hostile du trafic utilisateur. De plus, l'augmentation constante de la mise en cache lorsque c'est possible peut permettre de réduire le risque d'incidence du trafic hostile sur votre origine. Vous trouverez davantage d'informations sur les meilleures pratiques en matière de protection contre les attaques DDoS ici.
Les attaques DDoS par blanchiment de DNS
Le système de noms de domaine, ou DNS (Domain Name System), se comporte comme un annuaire téléphonique pour Internet. Le DNS aide à traduire les adresses web lisibles par l'humain (p. ex. www.cloudflare.com) en adresse IP lisible par la machine (p.ex. 104.16.124.96). En perturbant les serveurs DNS, les acteurs malveillants influent sur la capacité de cette dernière à se connecter à un site web et, ce faisant, rendent les sites indisponibles aux utilisateurs.
Lors du dernier trimestre, les attaques DDoS basées sur le DNS constituaient le vecteur d'attaque le plus courant, avec 32% de l'ensemble des attaques DDoS effectuées via le protocole DNS. Parmi ces dernières, l'un des types d'attaques les plus préoccupants que nous avons vu augmenter était l'attaque de type DNS Laundering (attaque DDoS par blanchiment de DNS) qui peut poser de sérieux problèmes aux entreprises exécutant leurs propres serveurs DNS de référence.
Le terme de « blanchiment » marque ici l'analogie avec le principe du blanchiment d'argent, c'est-à-dire la manœuvre sournoise visant à donner l'apparence de la légalité à des gains financiers illégaux (souvent qualifiés d'« argent sale »). De manière similaire, dans l'univers des attaques DDoS, une attaque DDoS par blanchiment de DNS désigne le processus visant à faire apparaître le trafic malveillant comme du trafic utile et légitime par l'intermédiaire de résolveurs DNS récursifs.
Lors d'une attaque par blanchiment de DNS, l'acteur malveillant adresse des requêtes aux sous-domaines d'un domaine géré par le serveur DNS de la victime. Randomisé, le préfixe qui définit le sous-domaine n'est jamais utilisé plus d'une ou deux fois lors de ces attaques. Du fait de cette randomisation, les serveurs DNS récursifs ne disposeront jamais d'une réponse en cache et devront dès lors transférer la requête au serveur DNS de référence de la victime. Ce dernier est alors bombardé d'un nombre colossal de requêtes jusqu'à ce qu'il ne puisse plus traiter les requêtes légitimes, voire qu'il s'effondre.
Du point de vue de la protection, les administrateurs DNS ne peuvent bloquer la source de l'attaque, car cette dernière inclut des serveurs DNS récursifs renommés pour leur fiabilité, comme le serveur 8.8.8.8 de Google et le 1.1.1.1. de Cloudflare. Les administrateurs ne peuvent pas non plus bloquer l'ensemble des requêtes adressées au domaine attaqué, car il s'agit d'un domaine valide auquel ils souhaitent préserver l'accès pour les requêtes légitimes.
Les facteurs ci-dessus compliquent véritablement la distinction entre les requêtes légitimes et les requêtes malveillantes. Une importante institution financière située en Asie et un fournisseur DNS nord-américain figurent au rang des victimes les plus récentes de ces attaques. Nous vous présentons un exemple de ce type d'attaque ci-dessous.
À l'instar des stratégies décrites pour les applications HTTP, la protection de serveurs DNS nécessite également une approche précise, rapide et automatisée. La capacité de tirer parti d'un service DNS géré ou d'un proxy DNS inverse comme ceux de Cloudflare peut vous aider à absorber et à atténuer le trafic hostile. Contre les attaques plus sophistiquées visant le DNS, une solution plus intelligente capable de tirer parti de l'analyse statistique des données historiques est nécessaire pour être en mesure de différencier les requêtes légitimes des requêtes hostiles.
L'essor des botnets basés sur machines virtuelles
Comme nous l'avons communiqué précédemment, nous assistons à une évolution de l'ADN des botnets. L'époque des botnets DDoS basés sur machines virtuelles est arrivée et, avec elle, celle des attaques DDoS hypervolumétriques. Composés de machines virtuelles (VM, pour Virtual Machines ou de serveurs privés virtuels, VPS pour Virtual Private Servers) plutôt que d'appareils liés à l'Internet des objets (IdO), ces botnets se révèlent ainsi jusqu'à 5 000 fois plus puissants.
En raison des ressources en termes de puissance de calcul et de bande passante à la disposition des botnets VM, ces derniers sont capables de générer des attaques hypervolumétriques à l'aide d'un parc bien plus petit par rapport aux botnets basés sur l'IdO.
Ces botnets ont ainsi lancé les plus volumineuses attaques DDoS jamais enregistrées, notamment l'attaque évaluée à 71 millions de requêtes par seconde. Plusieurs entreprises, dont l'une des plus grandes plateformes de jeux vidéo du secteur, ont déjà été prises pour cible par cette nouvelle génération de botnets.
Cloudflare collabore de manière proactive avec les principaux fournisseurs d'informatique cloud pour lutter contre ces nouveaux botnets. Grâce aux réactions rapides et aux actions spécifiques de ces fournisseurs, nous sommes parvenus à neutraliser des composants importants de ces botnets. Véritable témoignage de l'efficacité de cette collaboration, nous n'avons observé aucune nouvelle attaque hypervolumétrique depuis cette intervention commune.
Comme nous jouissons déjà d'une alliance fructueuse avec la communauté de la cybersécurité pour contrer les botnets lorsque nous identifions des attaques de grande ampleur, notre objectif consiste à rationaliser et à automatiser davantage ce processus. Nous étendons notre invitation aux fournisseurs d'informatique cloud, aux fournisseurs d'hébergement et aux autres fournisseurs de services généraux afin d'unir nos forces dans le cadre du Botnet Threat Feed (flux d'informations sur les menaces liées aux botnets) proposé gratuitement par Cloudflare. Cette initiative permettrait de bénéficier d'une visibilité sur les attaques provenant de leurs réseaux, tout en contribuant à nos efforts collectifs visant à démanteler les botnets.
« Startblast » : exploiter les vulnérabilités de Mitel dans le cadre des attaques DDoS
En mars 2022, nous avons révélé une vulnérabilité zero-day (CVE-2022-26143), nommée TP240PhoneHome. Identifiée au sein du système de téléphonie d'entreprise Mitel MiCollab, cette dernière expose le système aux attaques DDoS par amplification UDP.
L'exploitation de cette faiblesse fonctionne en réfléchissant le trafic vers des serveurs vulnérables, tout en amplifiant celui-ci d'un facteur pouvant atteindre 220 milliards de pour cent. La vulnérabilité provient d'un port UDP non authentifié et exposé à l'Internet public, c'est-à-dire un moyen susceptible de permettre aux acteurs malveillants d'émettre une commande de débogage nommée « starblast », qui simule un flot d'appels afin de tester le système.
En conséquence, deux paquets UDP sont adressés à l'émetteur pour chaque appel-test. Ce mode opératoire permet ainsi à un pirate de diriger ce trafic vers n'importe quelle adresse IP et n'importe quel numéro de port afin d'amplifier une attaque DDoS. Malgré cette vulnérabilité, seuls quelques milliers d'appareils sont exposés, limitant ainsi l'échelle potentielle des attaques. Ces dernières doivent également s'exécuter en série, c'est-à-dire que chaque appareil ne peut lancer qu'une attaque à la fois.
Dans l'ensemble, au cours du dernier trimestre, nous avons assisté à l'apparition de nouvelles menaces émergentes, comme les attaques DDoS abusant du protocole TeamSpeak3. Ce vecteur d'attaque a connu une augmentation stupéfiante de 403 % ce trimestre.
TeamSpeak, un protocole de voix sur IP (VoIP) propriétaire exécuté sur UDP et aidant les joueurs à communiquer entre eux en temps réel. La communication vocale plutôt que par discussion écrite peut considérablement améliorer l'efficacité d'une équipe de jeu et l'aider à gagner. Les attaques DDoS qui ciblent les serveurs TeamSpeak peuvent être lancées par des groupes rivaux dans le but de perturber les circuits de communication pendant les parties multijoueurs en temps réel et ainsi avoir une incidence sur les performances des équipes adverses.
Hotspots DDoS : l'origine des attaques
Au total, le nombre d'attaques DDoS HTTP a augmenté de 15 % par rapport au trimestre précédent, malgré une baisse de 35 % par rapport à l'année précédente. Les attaques DDoS sur la couche réseau ont également diminué d'environ 14 % ce trimestre.
En termes de volume total de trafic hostile, les États-Unis ont été la plus grande source d'attaques DDoS HTTP. Trois requêtes pour mille que nous avons observées faisaient partie d'une attaque DDoS HTTP en provenance des États-Unis. La Chine arrivait en second, suivie par l'Allemagne à la troisième place.
Certains pays reçoivent naturellement plus de trafic du fait de divers facteurs (comme la taille du marché) et, par conséquente, plus d'attaques. Aussi, s'il reste intéressant de connaître la quantité totale de trafic hostile provenant d'un pays donné, il est également utile de supprimer ce biais en normalisant le trafic hostile en fonction du trafic total reçu par ce pays.
Nous voyons dès lors apparaître une image différente. Les États-Unis n'entrent même pas dans la liste des dix premiers pays. À la place, le Mozambique, l'Égypte et la Finlande prennent la tête des principaux pays sources de la plus grande quantité de trafic hostile par rapport à l'ensemble de leur trafic. Près d'un cinquième de la totalité du trafic HTTP provenant d'adresses IP situées au Mozambique faisait partie d'une attaque DDoS.
Selon la même méthode de calcul, mais pour les octets, le Vietnam demeure la plus grande source d'attaques DDoS sur la couche réseau (c'est-à-dire, d'attaques DDoS sur les couches 3 et 4), et ce pour le second trimestre consécutif. Le nombre d'attaques a même augmenté de 58 % par rapport au trimestre précédent. Plus de 41 % de l'ensemble des octets ingérés par les datacenters vietnamiens de Cloudflare faisaient ainsi partie d'attaques DDoS sur les couches 3 et 4.
Secteurs attaqués : examiner les cibles d'attaques DDoS
Si l'on examine l'activité liée aux attaques DDoS HTTP au cours du deuxième trimestre, on remarque que les sites web d'achat de cryptomonnaies ont été les plus visés, avec la plus grande quantité de trafic hostile. Six requêtes HTTP sur 10 000 adressées à des sites d'achat de cryptomonnaies protégés par Cloudflare faisaient ainsi partie de ce type d'attaque. Ce chiffre représente une augmentation de 600 % par rapport au trimestre précédent.
Après les sites d'achat de cryptomonnaies, les sites web liés au secteur des jeux et des jeux de hasard se placent en deuxième position, avec un accroissement de 19 % de leur part du volume d'attaques par rapport au trimestre précédent. Les sites de marketing et de publicité arrivent non loin, à la troisième place, avec une variation minime de leur part d'attaques subies.
Toutefois, lorsque nous examinons la quantité de trafic hostile par rapport à l'ensemble du trafic pour n'importe quel secteur, les chiffres brossent un tableau différent. Au cours du dernier trimestre, ce sont les organismes à but non lucratif qui ont subi le plus d'attaques (12 % du trafic adressé à ces organisations faisaient partie d'attaques DDoS HTTP). Cloudflare protège plus de 2 271 organismes à but non lucratif dans 111 pays dans le cadre de son projet Galileo, qui a célébré son neuvième anniversaire cette année. Ces derniers mois, les organismes à but non lucratif se sont ainsi retrouvés chaque jour sous les feux de 67,7 millions de cyberattaques (en moyenne).
Dans l'ensemble, le nombre d'attaques DDoS visant les organisations caritatives a augmenté de 46 %, en totalisant un pourcentage de trafic hostile de 17,6 %. Malgré cette croissance, c'est le secteur du conseil en gestion qui a toutefois bondi à la première place, avec 18,4 % de son trafic lié à des attaques DDoS.
En remontant les couches du modèle OSI, les réseaux Internet les plus visés appartenaient au secteur des services et des technologies de l'information. Près d'un octet sur trois adressé à ces derniers faisait partie d'une attaque sur la couche 3/4.
Aussi surprenant soit-il, ce sont les entreprises officiant dans le secteur de la musique qui arrivent en deuxième position des secteurs les plus attaqués, suivies par les entreprises du secteur des médias audiovisuels et de l'aviation/aéronautique.
Les principaux secteurs attaqués : une mise en perspective régionale
Les sites web d'achat de cryptomonnaies ont connu le plus grand nombre d'attaques à travers le monde, tandis que ce sont les secteurs du conseil en gestion et celui des organisations à but non lucratif qui ont été les plus visés par rapport à leur trafic total. Toutefois, si nous nous intéressons individuellement à chaque région, la situation est quelque peu différente.
Afrique
Le secteur des télécommunications demeure le plus attaqué en Afrique, et ce pour le deuxième trimestre consécutif. Le secteur de la banque, des assurances et des services financiers (BFSI, Banking, Financial Services and Insurance) lui emboîte le pas, à la deuxième place. La majeure partie du trafic hostile provenait d'Asie (35 %) et d'Europe (25 %).
Asie
Ces deux derniers trimestres, c'est le secteur des jeux et des jeux de hasard qui était le plus visé en Asie. Le deuxième trimestre 2023 a toutefois vu ce secteur chuter à la seconde place et celui des cryptomonnaies prendre la tête des secteurs les plus attaqués (environ 50 %). Des portions considérables du trafic hostile provenaient d'Asie elle-même (30 %) et d'Amérique du Nord (30 %).
Europe
Pour le troisième trimestre consécutif, c'est le secteur des jeux et des jeux de hasard qui demeure le plus visé en Europe. Le secteur de l'hôtellerie et celui des médias audiovisuels suivent non loin, respectivement en deuxième et troisième place des secteurs les plus attaqués. La majeure partie du trafic hostile provenait d'Europe en elle-même (40 %) et d'Asie (20 %).
Amérique latine
Étonnamment, la moitié du trafic hostile dirigé contre l'Amérique latine visait le secteur des articles de sport. Lors du trimestre précédent, c'est le secteur des BFSI qui était le plus attaqué. Près de 35 % du trafic hostile provenait d'Asie et 25 % d'Europe.
Moyen-Orient
Le secteur des médias et celui de la presse ont été les plus attaqués au Moyen-Orient. La vaste majorité du trafic hostile provenait d'Europe (74 %).
Amérique du Nord
Pour le deuxième trimestre consécutif, les entreprises du secteur du marketing et de la publicité ont été les plus attaquées en Amérique du Nord (environ 35 %). Le secteur manufacturier et celui du logiciel se placent respectivement à la deuxième et à la troisième place. Les principales sources de trafic hostile étaient l'Europe (42 %) et les États-Unis eux-mêmes (35 %).
Océanie
Ce trimestre, c'est le secteur de la biotechnologie qui a été le plus attaqué. Il s'agissait précédemment du secteur de la santé et du bien-être. La plus grande partie du trafic hostile provenait d'Asie (38 %) et d'Europe (25 %).
Pays et régions sous attaque : examiner les cibles d'attaques DDoS
Si l'on examine le volume total de trafic hostile, Israël a bondi en tête du classement des pays les plus attaqués le trimestre dernier. Ce trimestre, les attaques ciblant des sites web israéliens ont diminué de 33 %, soit un chiffre qui place le pays en quatrième position. Les États-Unis sont à nouveau le pays le plus visé, suivis par le Canada et Singapour.
Si nous normalisons les données en fonction du pays/de la région et que nous divisons le trafic hostile par le trafic total, nous obtenons une image différente. La Palestine bondit en première place des pays les plus visés par les attaques. Près de 12 % de l'ensemble du trafic circulant vers des palestiniens se composait de trafic lié à des attaques DDoS HTTP.
Au cours du trimestre dernier, nous avons constaté un écart particulièrement frappant au niveau de la couche réseau, avec l'émergence des réseaux finlandais sous l'égide de Cloudflare en tant que cible principale. Cette hausse était probablement liée aux discussions diplomatiques qui ont précipité l'intégration formelle de la Finlande au sein de l'OTAN. Près de 83 % de l'ensemble du trafic entrant en Finlande était lié à des cyberattaques, la Chine arrivant juste derrière avec 68 % de trafic hostile.
Ce trimestre dresse toutefois un portrait bien différent. La Finlande a quitté le classement des dix pays les plus visés, tandis que les réseaux Internet chinois derrière le bouclier de Cloudflare ont pris la première place. Près de deux tiers des flux d'octets destinés aux réseaux chinois protégés par Cloudflare étaient malveillants. Après la Chine, la Suisse a également vu la moitié de son trafic entrant se composer d'attaques. La Turquie arrivait en troisième position, avec un quart de son trafic entrant identifié comme hostile.
Attaques DDoS avec demande de rançon
Certaines attaques DDoS ont occasionnellement été lancées pour extorquer une rançon à leur cible. Nous étudions les clients de Cloudflare depuis plus de trois ans maintenant et avons suivi l'occurrence des événements d'attaques DDoS avec rançon.
À la différence des attaques par rançongiciel, dans lesquelles les victimes sont généralement amenées à télécharger un fichier malveillant (ou à cliquer sur un lien au sein d'un e-mail compromis) qui va verrouiller, supprimer ou faire fuiter leurs fichiers jusqu'au versement d'une rançon, les attaques DDoS avec demande de rançon peuvent se révéler bien plus simples à exécuter pour les acteurs malveillants. Ces attaques n'ont pas besoin de faire appel à des techniques trompeuses, comme essayer de piéger les victimes afin de les amener à ouvrir des e-mails suspects ou à cliquer sur des liens frauduleux. De même, elles ne nécessitent pas l'établissement d'une brèche dans les défenses du réseau ou un accès aux ressources de l'entreprise.
Les signalements d'attaques DDoS avec demande de rançon ont diminué au cours du dernier trimestre. Une personne interrogée sur dix a déclaré avoir été menacée d'une attaque DDoS avec demande de rançon ou en avoir été la cible.
Récapitulatif : le panorama en évolution constante des menaces DDoS
Ces derniers mois, nous avons assisté à une escalade alarmante de la sophistication des attaques DDoS. Or, même les attaques les plus volumineuses et les plus sophistiquées peuvent ne durer que quelques minutes, voire quelques secondes. Ce laps de temps n'est pas suffisant pour qu'un humain puisse réagir. Avant même l'envoi de l'alerte PagerDuty, l'alerte peut tout à fait être terminée et seuls restent alors les dégâts causés. La phase de récupération après une attaque DDoS peut durer bien plus longtemps que l'attaque en elle-même, tout comme un boxeur peut prendre bien plus de temps à se remettre d'un coup de poing au visage par rapport au temps nécessaire pour porter le coup, qui ne demande généralement qu'une fraction de seconde.
La sécurité ne se résume pas à un produit unique ou à un clic sur un bouton. Il s'agit davantage d'un processus impliquant plusieurs couches de défense pour réduire le risque d'impact. Les systèmes de défense automatisés de Cloudflare protègent nos clients contre les attaques DDoS en permanence, afin de leur permettre de se concentrer sur leurs opérations essentielles. Ces systèmes sont complétés par le large éventail de fonctionnalités proposées par Cloudflare, comme le pare-feu, la détection des bots, la protection des API, voire la mise en cache, qui peuvent toutes contribuer à réduire le risque d'impact.
Le panorama des menaces DDoS évolue et devient de plus en plus complexe. Il nécessite désormais plus que de simples solutions rapides et provisoires. Fort heureusement, grâce aux mesures de défenses multicouches et aux protections automatisées contre les attaques DDoS proposées par Cloudflare, nos clients sont équipés pour relever ces défis en toute confiance. Nous nous sommes donné pour mission de contribuer à bâtir un Internet meilleur et comptons donc continuer à monter la garde, afin d'assurer un univers numérique plus sûr et plus fiable, pour tous.
Méthodologie
Notre méthode de calcul des statistiques relatives aux attaques DDoS avec demande de rançon
Les systèmes de Cloudflare analysent constamment le trafic et déploient automatiquement des mesures d'atténuation lorsque des attaques DDoS sont détectées. Chaque client ayant été la cible d'une attaque est invité à répondre à une enquête automatisée, qui nous aide à mieux comprendre la nature de l'attaque et l'efficacité des mesures d'atténuation. Cloudflare interroge ainsi ses clients victimes d'attaques depuis plus de deux ans désormais. Nous leur demandons notamment s'ils ont reçu une menace ou une demande de rançon. Au cours des deux années passées, nous avons recueilli en moyenne 164 réponses par trimestre. Les réponses à cette étude servent à calculer le pourcentage d'attaques DDoS avec demande de rançon.
Notre méthode de calcul des statistiques relatives à la position géographique et au secteur
Pays source
Au niveau de la couche applicative, nous nous servons des adresses IP des acteurs malveillants pour découvrir le pays d'origine des attaques. En effet, cette couche rend impossible l'usurpation (c'est-à-dire la modification) d'adresses IP. En revanche, les adresses IP sources peuvent être usurpées au niveau de la couche réseau. Aussi, plutôt que de nous fier aux adresses IP pour comprendre la source, nous utilisons l'emplacement des datacenters dans lesquels les paquets des attaques ont été ingérés. Notre réseau mondial couvrant plus de 285 sites à travers le monde nous permet ainsi d'obtenir des résultats assortis d'une certaine précision géographique.
Pays cible
Nous regroupons les attaques et le trafic en fonction du pays de facturation de nos clients, à la fois pour les attaques DDoS sur la couche applicative et celles qui visent la couche réseau. Cette opération nous permet ainsi de comprendre quels pays subissent le plus d'attaques.
Secteur cible
À la fois pour les attaques DDoS sur la couche applicative et celles qui visent la couche réseau, nous regroupons les attaques et le trafic en fonction du secteur de nos clients, tel qu'indiqué dans notre système de gestion des relations client. Cette opération nous permet ainsi de comprendre quels secteurs subissent le plus d'attaques.
Volume total et pourcentage
Nous comparons le volume de trafic hostile total à l'ensemble du trafic au niveau d'un point de données, et ce pour les deux statistiques (source et cible). En outre, nous examinons également le pourcentage de trafic hostile destiné à ou émis depuis un pays spécifique (ou un secteur spécifique). Ce chiffre nous donne un « taux d'activité hostile » pour un pays/secteur donné, normalisé ensuite selon son niveau de trafic total. Cette approche nous permet d'éliminer les biais concernant un pays ou un secteur qui reçoit naturellement un trafic plus important et donc une plus grande quantité de trafic hostile.
Notre méthode de calcul des caractéristiques d'une attaque
Pour calculer la taille, la durée, les vecteurs d'attaque et les menaces émergentes, nous répartissons les attaques par catégories avant de définir la part de chaque catégorie sur le total de chaque dimension. Dans le nouveau composant Radar, ces tendances sont à la place calculées sur la base du nombre d'octets. Comme les attaques peuvent varier considérablement entre elles du point de vue du nombre d'octets, ce calcul peut conduire à des tendances différentes entre celles présentées dans les rapports et celles du composant Radar.
Avertissement d'ordre général et clarification
La catégorisation des « principaux pays » comme étant la source ou la cible d'attaques ne signifie pas nécessairement que ce pays a été attaqué en tant que tel, mais que les entreprises qui déclarent ce pays comme leur pays de facturation ont été visées par des attaques. De manière similaire, les « attaques provenant d'un pays » n'impliquent pas que ce pays est lui-même à l'origine de ces attaques, mais plutôt que ces dernières ont été lancées depuis des adresses IP reliées à ce pays. Les acteurs malveillants utilisent des botnets mondiaux, dotés de nœuds situés partout dans le monde et, dans de nombreux cas, font également appel à des réseaux privés virtuels (VPN), ainsi qu'à des proxys, pour dissimuler leur véritable emplacement. L'indicateur de pays source indique donc surtout la présence de nœuds de sortie ou de nœuds de botnets au sein de ce pays.