Abonnez-vous pour recevoir des notifications sur les nouveaux articles :

Rapport sur les menaces DDoS au troisième trimestre 2023

2023-10-26

Lecture: 12 min.
Cet article est également disponible en English, en 繁體中文, en Deutsch, en Italiano, en 日本語, en 한국어, en Português, en Español, en Nederlands et en 简体中文.

Bienvenue dans le troisième rapport consacré aux menaces DDoS de 2023. Les attaques DDoS, pour distributed denial-of-service attacks (déni de service distribué), constituent un type de cyberattaque visant à perturber les sites web (et d'autres types de propriétés Internet). Elles ont pour objectif de rendre ces derniers indisponibles aux utilisateurs légitimes en les submergeant sous un flux de trafic plus important que ce qu'ils peuvent traiter, comme un conducteur coincé dans un embouteillage pendant son trajet vers le supermarché.

DDoS threat report for 2023 Q3

Nous observons de nombreuses attaques DDoS de toutes tailles et de tous types grâce à notre réseau, l'un des plus vastes au monde avec plus de 300 villes couvertes dans plus de 100 pays. Ce réseau nous permet ainsi de traiter plus de 64 millions de requêtes HTTP par seconde en pic et plus de 2,3 milliards de requêtes DNS chaque jour. Nous bloquons en moyenne 140 milliards de cybermenaces chaque jour. Cette quantité gigantesque de données nous confère ainsi un point de vue unique pour mieux comprendre le panorama des cybermenaces et permettre à la communauté d'accéder à de précieuses statistiques, parfaitement exploitables, sur les tendances des attaques DDoS.

Ces dernières semaines, nous avons également observé une explosion des attaques DDoS et des autres cyberattaques à l'encontre de diverses institutions israéliennes, comme les journaux et les sites d'information, mais aussi les établissements financiers et les sites gouvernementaux. Les sites web palestiniens ont également connu une hausse considérable des attaques DDoS. Vous retrouverez l'article complet sur le sujet ici.

Attaques DDoS HTTP contre des sites web israéliens utilisant Cloudflare

HTTP DDoS attacks against Israeli websites using Cloudflare

Le panorama mondial des menaces DDoS

Lors du troisième trimestre 2023, Cloudflare a fait face à l'une des campagnes d'attaques DDoS les plus sophistiquées et les plus persistantes à ce jour.

  1. Cloudflare a atténué des milliers d'attaques DDoS HTTP hyper-volumétriques, dont 89 dépassaient les 100 millions de requêtes par seconde (r/s), la plus importante atteignant même les 201 millions de r/s, soit un chiffre trois fois plus élevé que celui de l'attaque la plus volumineuse jamais enregistrée (71 millions de r/s).

  2. Cette campagne a contribué à l'augmentation générale de 65 % du trafic lié aux attaques DDoS HTTP lors du troisième trimestre par rapport au trimestre précédent. De manière similaire, les attaques DDoS sur les couches 3/4 ont également augmenté de 14 %.

  3. Les entreprises du secteur des jeux/jeux de hasard ont subi le plus gros volume de trafic lié aux attaques DDoS HTTP, détrônant ainsi le secteur des cryptomonnaies qui occupait la première place lors du trimestre précédent.

Rappel : une version interactive de ce rapport est également disponible sur Cloudflare Radar. La plateforme Radar vous permet d'ailleurs d'approfondir le sujet en explorant les tendances du trafic, les attaques et les pannes, parmi bien d'autres statistiques spécifiques concernant votre secteur, votre réseau et votre pays.

Attaques DDoS HTTP et attaques hyper-volumétriques

Le terme d'attaque DDoS HTTP désigne une attaque DDoS lancée via le protocole HTTP (Hypertext Transfer Protocol). Elle prend pour cible les propriétés Internet HTTP, telles que les serveurs d'applications mobiles, les sites web d'e-commerce et les passerelles d'API.

Illustration d'une attaque DDoS HTTP

Illustration of an HTTP DDoS attack

Le HTTP/2, qui représente 62 % du trafic HTTP, est une version du protocole conçue pour améliorer les performances des applications. Le revers de la médaille tourne autour du fait que le HTTP/2 peut également contribuer à accroître les performances d'un botnet.

Distribution des versions HTTP par Radar

La campagne d'attaques DDoS hyper-volumétriques exploitant la vulnérabilité HTTP/2 Rapid Reset

À partir de la fin août 2023, Cloudflare et d'autres fournisseurs ont commencé à être la cible d'une campagne d'attaques DDoS sophistiquée et persistante exploitant la vulnérabilité HTTP/2 Rapid Reset (CVE-2023-44487).

Schéma d'une attaque DDoS HTTP/2 Rapid Reset

La campagne se composait de milliers d'attaques DDoS hyper-volumétriques envoyées via HTTP/2 et culminant à plusieurs dizaines de millions de requêtes par seconde. Le volume moyen d'une attaque était de 30 millions de r/s. Parmi ces attaques, près de 89 dépassaient les 100 millions de r/s, tandis que la plus volumineuse atteignait les 201 millions de r/s.

La campagne d'attaques DDoS hyper-volumétriques HTTP/2 Rapid Reset

Les systèmes de Cloudflare ont automatiquement détecté et atténué la vaste majorité de ces attaques. Nous avons déployé des contre-mesures d'urgence et amélioré l'efficacité de nos systèmes d'atténuation pour nous assurer de la disponibilité de notre réseau et de ceux de nos clients.

N'hésitez pas à consulter notre blog technique, qui détaille en profondeur le HTTP/2, ce que nous avons appris et les actions que nous avons mises en œuvre pour rendre Internet plus sûr.

Les botnets basés sur machines virtuelles ont permis l'émergence des attaques DDoS hyper-volumétriques

Comme nous avons pu l'observer lors de cette campagne et des précédentes, les botnets qui tirent parti de plateformes d'informatique cloud pour exploiter le protocole HTTP/2 sont capables de générer jusqu'à 5 000 fois plus de puissance hostile par nœud de botnet. Cette particularité leur permet de lancer des attaques DDoS hyper-volumétriques à l'aide d'un unique botnet de petite taille (entre 5 et 20 000 nœuds). Pour resituer le contexte, par le passé, les botnets basés sur l'IdO se composaient de flottes regroupant des millions de nœuds, qui peinaient à atteindre un volume de quelques millions de requêtes par seconde.

Comparaison entre un botnet basé sur l'Internet des objets (IdO) et un botnet basé sur une machine virtuelle (VM)

À l'analyse de cette campagne DDoS s'étalant sur deux mois, nous pouvons remarquer que l'infrastructure de Cloudflare était la cible principale des attaques. Plus spécifiquement, 19 % de l'ensemble des attaques visaient les sites web et l'infrastructure de Cloudflare. 18 % visaient les entreprises de jeux et 10 % des fournisseurs de VoIP bien connus.

Principaux secteurs visés par les attaques DDoS HTTP/2 Rapid Reset

Le trafic lié aux attaques DDoS HTTP s'est accru de 65 %

La campagne d'attaques a contribué à l'accroissement général de la quantité de trafic hostile. Le trimestre dernier, le volume des attaques DDoS HTTP a augmenté de 15 % par rapport au trimestre précédent. Il s'est encore accru ce trimestre. Le volume d'attaques a augmenté de 65 % par rapport au trimestre précédent, pour atteindre un chiffre impressionnant de 8 900 milliards de requêtes DDoS HTTP automatiquement détectées et atténuées par les systèmes Cloudflare.

Volume agrégé des requêtes DDoS HTTP, répartition trimestrielle

En plus de l'augmentation de 65 % des attaques DDoS HTTP, nous avons également constaté une légère croissance (14 %) des attaques DDoS sur les couches 3/4, soit une valeur similaire aux chiffres que nous avons observés lors du premier trimestre de cette année.

Attaques DDoS sur les couches 3/4, répartition trimestrielle

Cet accroissement est dû à une hausse des attaques DDoS volumétriques de grande envergure. Lors du troisième trimestre, nos systèmes de défense anti-DDoS ont automatiquement détecté et atténué des attaques DDoS de l'ordre du térabit par seconde. L'attaque la plus volumineuse que nous ayons observée culminait à 2,6 Tb/s. Il s'agissait d'une attaque de type UDP flood lancée par un botnet reposant sur une variante de Mirai.

Principales sources d'attaques DDoS HTTP

Lorsque nous comparons les volumes généraux et par pays de requêtes DDoS HTTP, nous constatons que les États-Unis demeurent la plus grande source d'attaques DDoS HTTP. Une requête en lien avec une attaque DDoS HTTP sur 25 provenait des États-Unis. La Chine conserve la deuxième place. Le Brésil a remplacé l'Allemagne comme troisième plus grande source d'attaques DDoS HTTP, tandis que ce dernier pays chute à la quatrième place.

Attaques DDoS HTTP : principales sources par rapport à l'ensemble du trafic

Certains pays reçoivent naturellement plus de trafic du fait de divers facteurs, comme la population ou l'utilisation d'Internet, et reçoivent/génèrent par conséquent plus d'attaques. Aussi, s'il reste intéressant de connaître la quantité totale de trafic hostile provenant d'un pays donné ou visant ce dernier, il s'avère également utile de supprimer ce biais en normalisant le trafic hostile en fonction du trafic total reçu par ce pays.

Nous voyons dès lors se dessiner une image différente. Les États-Unis n'entrent même pas dans la liste des dix premiers pays. À la place, c'est le Mozambique qui occupe la première place (à nouveau). Une requête HTTP sur cinq en provenance du Mozambique faisait partie d'une attaque DDoS HTTP.

L'Égypte demeure à la deuxième place, avec près de 13 % des requêtes originaires du pays faisant partie d'une attaque DDoS HTTP. La Libye et la Chine suivent respectivement en tant que troisième et quatrième plus grande source d'attaques DDoS HTTP.

Attaques DDoS HTTP : principaux pays sources par rapport à leur propre trafic

Principales sources d'attaques DDoS sur les couches 3/4

Lorsque nous examinons l'origine des attaques DDoS sur les couches 3/4, nous ignorons l'adresse IP source, car elle peut être usurpée. Nous nous fondons à la place sur la position du datacenter Cloudflare dans lequel le trafic a été ingéré. Grâce à notre vaste réseau et à notre couverture mondiale, nous sommes en mesure de garantir la précision géographique nécessaire pour déterminer le lieu d'origine des attaques.

Près de 36 % de l'ensemble du trafic lié aux attaques DDoS sur les couches 3/4 que nous avons observé au troisième trimestre provenait des États-Unis. L'Allemagne arrivait à la deuxième place, loin derrière, avec 8 % et le Royaume-Uni suivait à la troisième place, avec près de 5 %.

Attaques DDoS sur les couches 3/4 : principales sources par rapport à l'ensemble du trafic

Lorsque nous normalisons les données, nous constatons qu'après avoir occupé la première place deux trimestres consécutifs, le Vietnam est retombé à la deuxième place des plus grandes sources d'attaques DDoS sur les couches 3/4. C'est la Nouvelle-Calédonie, un territoire français composé de dizaines d'îles du Pacifique Sud, qui a saisi la première place. Deux octets sur quatre ingérés dans les datacenters de Cloudflare implantés en Nouvelle-Calédonie étaient liés à des attaques.

Attaques DDoS sur les couches 3/4 : principaux pays sources par rapport à leur propre trafic

Principaux secteurs visés par des attaques DDoS HTTP

En termes de volume absolu de trafic DDoS HTTP, le secteur des jeux/jeux de hasard a bondi à la première place, en détrônant ainsi le secteur des cryptomonnaies. Plus de 5 % de l'ensemble du trafic DDoS HTTP observé par Cloudflare visait le secteur des jeux/jeux de hasard.

Attaques DDoS HTTP : principaux secteurs visés par rapport à l'ensemble du trafic

Le secteur des jeux/jeux de hasard est depuis longtemps l'un des plus visés par rapport aux autres. Toutefois, lorsque nous examinons le trafic lié aux attaques DDoS HTTP relatif à chaque secteur spécifique, nous voyons se dessiner une image différente. Le secteur des jeux/jeux de hasard voit tellement de trafic utilisateur circuler qu'il n'intègre même pas le Top 10 des secteurs les plus sujets aux attaques, bien qu'il s'agisse du secteur le plus visé en termes de volume.

À la place, c'est le secteur de l'exploitation minière et des métaux qui a été visé par le plus grand nombre d'attaques par rapport à son trafic total. 17,45 % de l'ensemble du trafic des entreprises du secteur faisait ainsi partie d'attaques DDoS.

Le secteur des organisations à but non lucratif le suivait de près à la deuxième place, avec 17,41 % de l'ensemble du trafic de ce dernier en lien avec des attaques DDoS HTTP. La plupart de ces attaques visaient plus de 2 400 organisations à but non lucratif et organismes médiatiques indépendants (dans 111 pays) protégés gratuitement par Cloudflare dans le cadre du projet Galileo, qui a fêté son neuvième anniversaire cette année. Au cours du seul trimestre précédent, Cloudflare a atténué chaque jour une moyenne de 180,5 millions de cybermenaces visant des sites web protégés par Galileo.

Attaques DDoS HTTP : principaux secteurs visés par rapport à leur propre trafic

Les entreprises du secteur pharmaceutique, de la biotechnologie et de la santé arrivaient en troisième place, tandis que les sites web du gouvernement fédéral des États-Unis décrochaient la quatrième place. Près d'une requête HTTP sur 10 adressée à des propriétés Internet du gouvernement fédéral des États-Unis faisait partie d'une attaque. Le secteur des cryptomonnaies se plaçait en cinquième position, suivi de peu par le secteur de l'agriculture et de la pêche.

Principaux secteurs visés, par région

Examinons maintenant les données plus en détail afin de mieux comprendre quels secteurs se sont révélés les plus visés dans chaque région.

Attaques DDoS HTTP : principaux secteurs visés, par région

Analyses détaillées

Afrique

Après deux trimestres consécutifs en tant que secteur le plus visé, le secteur des télécommunications a chuté de la première à la quatrième place. Ce sont les entreprises du secteur de la production média qui ont été les plus attaquées en Afrique. Le secteur de la banque, des assurances et des services financiers (BFSI, Banking, Financial Services and Insurance) leur emboîtait le pas, à la deuxième place. Les entreprises du secteur des jeux/jeux de hasard arrivaient en troisième position.

Asie

Le secteur des cryptomonnaies est resté le plus attaqué dans la région APAC, et ce pour le deuxième trimestre consécutif. Le secteur des jeux/jeux de hasard s'est placé en deuxième position. Le secteur des technologies et services d'information arrivait en troisième place.

Europe

Pour le quatrième trimestre consécutif, c'est le secteur des jeux/jeux de hasard qui est resté le plus visé en Europe. Les entreprises de vente au détail arrivaient en deuxième, tandis que celles du secteur des logiciels se plaçaient en troisième position.

Amérique latine

Le secteur de l'agriculture a été le plus visé en Amérique latine lors du troisième trimestre. Il totalisait 53 % de l'ensemble des attaques dirigées vers la région. Loin derrière, les entreprises du secteur des jeux/jeux de hasard arrivaient à la deuxième place des secteurs les plus visés. Les organisations civiques et sociales occupaient la troisième position.

Moyen-Orient

C'est le secteur de la vente au détail qui s'est révélé le plus visé au Moyen-Orient lors du troisième trimestre. Les entreprises du secteur des logiciels arrivaient en deuxième et celles du secteur des jeux/jeux de hasard en troisième.

Amérique du Nord

Après deux trimestres consécutifs en tant que secteur le plus visé, le secteur du marketing et de la publicité est passé de la première à la deuxième place. Le secteur des logiciels a pris la tête. Les entreprises du secteur des télécommunications se plaçaient en troisième position.

Océanie

Le secteur des télécommunications a été, de loin, le secteur le plus visé en Océanie lors du troisième trimestre, avec 45 % de l'ensemble des attaques dirigées vers le continent. Les entreprises du secteur des cryptomonnaies et du secteur des logiciels se sont placées, respectivement, à la deuxième et à la troisième position.

Principaux secteurs visés par les attaques DDoS sur les couches 3/4

En remontant les couches du modèle OSI, les réseaux et services Internet les plus visés appartenaient au secteur des services et des technologies de l'information. Près de 35 % de l'ensemble du trafic DDoS visant les couches 3/4 (en octets) ciblait ainsi ce dernier.

Loin derrière, les entreprises du secteur des télécommunications arrivaient à la deuxième place, avec une part de 3 %. Le secteur des jeux/jeux de hasard se plaçait en troisième position, tandis que les entreprises du secteur des services bancaires, des assurances et des services financiers (BFSI, Banking, Financial Services and Insurance) obtenaient la quatrième.

Attaques DDoS sur les couches 3/4 : principaux secteurs visés par rapport à l'ensemble du trafic

Lorsque l'on compare les attaques sur un secteur donné à l'ensemble du trafic de ce dernier, nous constatons que le secteur de la musique bondit à la première place, suivi par les entreprises du secteur de l'informatique et de la sécurité réseau, les entreprises du secteur des technologies de l'information et Internet, ainsi que le secteur de l'aviation/aérospatiale.

Attaques DDoS sur les couches 3/4 : principaux secteurs visés par rapport à leur propre trafic

Principaux pays visés par des attaques DDoS HTTP

En termes de volume total de trafic hostile, les États-Unis sont restés la principale cible des attaques DDoS HTTP. Près de 5 % de l'ensemble du trafic DDoS HTTP visait ainsi le pays. Singapour arrivait en second, suivie par la Chine à la troisième place.

Attaques DDoS HTTP : principaux pays visés par rapport à l'ensemble du trafic

Si nous normalisons les données en fonction du pays/de la région et que nous divisons le trafic hostile par le trafic total, nous obtenons une image différente. Les trois pays les plus visés étaient des nations insulaires.

Anguilla, un petit archipel situé à l'est de Porto Rico, a bondi à la première place des pays les plus attaqués. Plus de 75 % de l'ensemble du trafic circulant vers les sites web anguillais était lié à des attaques DDoS HTTP. Les Samoa américaines, un groupe d'îles à l'est des Fidji, arrivaient à la deuxième place. Les Îles Vierges britanniques se plaçaient à la troisième position.

L'Algérie se situait à la quatrième place, suivie par le Kenya, la Russie, le Vietnam, Singapour, le Bélize et le Japon.

Attaques DDoS HTTP : principaux pays visés par rapport à leur propre trafic

Principaux pays visés par les attaques DDoS sur les couches 3/4

Pour le deuxième trimestre consécutif, les réseaux et services Internet chinois sont restés les plus touchés par les attaques DDoS sur les couches 3/4. Les attaques à destination de la Chine représentent ainsi 29 % de l'ensemble des attaques que nous avons observées au troisième trimestre.

Loin derrière, les États-Unis arrivaient en seconde position (3,5 %), suivis par Taïwan à la troisième place (3 %).

Attaques DDoS sur les couches 34/ : principaux pays visés par rapport à l'ensemble du trafic

Lorsque l'on normalise la quantité de trafic hostile par rapport à l'ensemble du trafic adressé à un pays donné, la Chine conserve la première place et les États-Unis disparaissent du Top 10. Cloudflare a constaté que 73 % du trafic adressé aux réseaux Internet chinois était lié à des attaques. Toutefois, le classement normalisé change à partir de la seconde place, avec les Pays-Bas (qui reçoivent la deuxième plus grosse proportion de trafic hostile, avec 35 % de l'ensemble du trafic du pays), suivis de près par la Thaïlande, Taïwan et le Brésil.

Attaques DDoS sur les couches 3/4 : principaux pays visés par rapport à leur propre trafic

Principaux vecteurs d’attaque

Le système de noms de domaine, ou DNS (Domain Name System), se comporte comme un annuaire téléphonique pour Internet. Le DNS aide à traduire les adresses web lisibles par l'humain (p. ex. www.cloudflare.com) en adresses IP lisibles par la machine (p. ex. 104.16.124.96). En perturbant les serveurs DNS, les acteurs malveillants influent sur la capacité de cette dernière à se connecter à un site web et, ce faisant, rendent les sites indisponibles aux utilisateurs.

Pour le deuxième trimestre consécutif, les attaques DDoS basées sur le DNS étaient les plus courantes, avec près de 47 % de l'ensemble des attaques. Ce chiffre représente une augmentation de 44 % par rapport au trimestre précédent. Les attaques SYN flood ont conservé la deuxième place, suivies par les attaques RST flood, les attaques UDP flood et les attaques Mirai.

Principaux vecteurs d’attaque

Menaces émergentes : réduites, réutilisées et recyclées

En dehors des vecteurs d'attaque les plus courants, nous avons également observé une hausse considérable du nombre de vecteurs moins connus. Ces vecteurs tendent à être très volatils, car les acteurs malveillants tentent de « réduire, réutiliser et recycler » d'anciens vecteurs. Ces derniers ont tendance à s'appuyer sur des protocoles basés sur UDP, susceptibles d'être exploités pour lancer des attaques DDoS.

Une tactique bien connue que nous continuons à observer consiste à faire usage d'attaques par amplification/réflexion. Lorsqu'il emploie cette technique, le pirate fait rebondir le trafic de serveur en serveur et dirige les réponses vers la victime. Pour ce faire, il met à profit diverses méthodes, comme l'usurpation d'adresse IP.

Une autre forme de réflexion peut être atteinte de manière différente en utilisant une technique nommée « attaque par blanchiment de DNS ». Lors d'une attaque par blanchiment de DNS, l'acteur malveillant adresse des requêtes aux sous-domaines d'un domaine géré par le serveur DNS de la victime. Randomisé, le préfixe qui définit le sous-domaine n'est jamais utilisé plus d'une ou deux fois lors de ces attaques. Du fait de cette randomisation, les serveurs DNS récursifs ne disposeront jamais d'une réponse en cache et devront dès lors transférer la requête au serveur DNS de référence de la victime. Ce dernier est alors bombardé d'un nombre colossal de requêtes jusqu'à ce qu'il ne puisse plus traiter les requêtes légitimes, voire qu'il s'effondre.

Schéma d'une attaque par réflexion et par amplification

Au total, les attaques DDoS basées sur le protocole Multicast DNS (mDNS) ont été la méthode d'attaque qui a le plus augmenté au troisième trimestre. Les attaques exploitant le protocole pour applications contraintes (Constrained Application Protocol, CoAP) se sont classées à la deuxième place, tandis que les attaques basées sur le protocole Encapsulating Security Payload (ESP, encapsulation de contenu de sécurité) arrivaient à la troisième. Intéressons-nous plus en détail à ces vecteurs d'attaque.

Principales menaces émergentes

Les attaques DDoS mDNS ont augmenté de 456 %

Basé sur UDP, le protocole Multicast DNS (mDNS) est utilisé dans les réseaux locaux à des fins d'identification de service/appareil. Les serveurs mDNS vulnérables répondent aux requêtes unicast provenant de l'extérieur du réseau local, l'adresse de ces requêtes étant « usurpée » (altérée) pour l'adresse source de la victime. Une attaque par amplification en résulte. Nous avons constaté une forte augmentation des attaques mDNS au troisième trimestre, avec une hausse de 456 % par rapport au trimestre précédent.

Les attaques DDoS CoAP ont augmenté de 387 %

Le protocole CoAP (Constrained Application Protocol) est conçu pour être utilisé dans les appareils électroniques simples. Il permet la communication entre appareils dans un contexte de faible alimentation et au sein d'un environnement léger. Il peut toutefois faire l'objet d'une utilisation abusive dans le cadre d'attaques DDoS via l'usurpation d'adresse IP ou l'amplification. En effet, les acteurs malveillants exploitent sa prise en charge du multicast ou tirent parti d'appareils CoAP mal configurés pour générer de grandes quantités de trafic réseau indésirable. Ce processus peut conduire à une perturbation de service ou à une surcharge des systèmes visés, qui deviennent dès lors indisponibles pour les utilisateurs légitimes.

Les attaques DDoS ESP ont augmenté de 303 %

Le protocole Encapsulating Security Payload (ESP, encapsulation de contenu de sécurité) fait partie du cadre IPsec et assure confidentialité, authentification et intégrité aux communications réseau. Toutefois, il peut potentiellement faire l'objet d'une utilisation abusive lors d'attaques DDoS si les acteurs malveillants exploitent des systèmes vulnérables ou mal configurés pour réfléchir ou amplifier le trafic vers une cible, afin de provoquer une perturbation de service. Comme pour tous les autres protocoles, la sécurisation et la configuration adéquate des systèmes utilisant l'ESP s'avèrent essentielles pour atténuer le risque d'attaques DDoS.

Attaques DDoS avec demande de rançon

Certaines attaques DDoS ont occasionnellement été lancées pour extorquer une rançon à leur cible. Nous étudions les clients de Cloudflare depuis plus de trois ans maintenant et avons suivi l'occurrence des événements d'attaques DDoS avec rançon.

Comparaison entre les attaques par rançongiciel et les attaques DDoS avec rançon

À la différence des attaques par rançongiciel, dans lesquelles les victimes sont généralement amenées à télécharger un fichier malveillant (ou à cliquer sur un lien au sein d'un e-mail compromis) qui va verrouiller, supprimer ou faire fuiter leurs fichiers jusqu'au versement d'une rançon, les attaques DDoS avec demande de rançon peuvent se révéler bien plus simples à exécuter pour les acteurs malveillants. Ces attaques n'ont pas besoin de faire appel à des techniques trompeuses, comme essayer de piéger les victimes afin de les amener à ouvrir des e-mails suspects ou à cliquer sur des liens frauduleux. De même, elles ne nécessitent pas l'établissement d'une brèche dans les défenses du réseau ou un accès aux ressources de l'entreprise.

Les signalements d'attaques DDoS avec demande de rançon ont continué à diminuer au cours du dernier trimestre. Près de 8 % des personnes interrogées ont déclaré avoir été menacées d'une attaque DDoS avec demande de rançon ou en avoir été victimes, une tendance déclinante que nous avons pu observer toute l'année. Espérons qu'il en soit ainsi parce que les acteurs malveillants ont compris que les entreprises ne les paieraient pas (il s'agit de notre recommandation en la matière).

Attaques DDoS avec demande de rançon, répartition trimestrielle

Gardons toutefois à l'esprit que ce chiffre constitue une statistique très saisonnière et que nous pouvons nous attendre à une augmentation des attaques DDoS avec demande de rançon au cours des mois de novembre et décembre. Si nous examinons les chiffres afférents au quatrième trimestre de ces trois dernières années, nous pouvons constater que les attaques DDoS avec demande de rançon ont considérablement augmenté par rapport à l'année précédente sur le segment du mois de novembre. Lors du quatrième trimestre des années précédentes, elles ont atteint un point où une personne interrogée sur quatre déclarait avoir été victime d'une attaque DDoS avec demande de rançon.

Améliorer ses défenses à l'ère des attaques DDoS hyper-volumétriques

Lors du dernier trimestre, nous avons observé une hausse sans précédent du trafic lié aux attaques DDoS. Cette hausse découlait en grande partie de la campagne d'attaques DDoS HTTP/2 hyper-volumétriques.

Les clients Cloudflare qui utilisent notre proxy inverse HTTP (c'est-à-dire nos services CDN/WAF) sont déjà protégés contre ces attaques et les autres attaques DDoS HTTP. Nous encourageons vivement les clients Cloudflare qui utilisent des services non HTTP et les entreprises qui n'utilisent pas du tout Cloudflare à utiliser un service de protection anti-DDoS automatisé et actif en permanence pour leurs applications HTTP.

Il demeure important de se souvenir que la sécurité constitue un processus, pas un simple produit ni une fonction activable en cliquant sur un bouton. En plus de nos systèmes de protection contre les attaques DDoS automatisés, nous proposons des ensembles complets de fonctionnalités comme un pare-feu, un système de détection des bots, une fonctionnalité de protection des API et un service de mise en cache pour renforcer vos défenses. Notre approche multicouche optimise votre stratégie de sécurité et minimise les impacts potentiels. Nous avons en outre mis sur pied une liste de recommandations pour vous aider à optimiser vos défenses contre les attaques DDoS. Enfin, vous pouvez également suivre nos assistants pratiques pour sécuriser vos applications et prévenir les attaques DDoS.

...Méthodologies d'établissement de rapportApprenez-en davantage sur nos méthodologies et la manière dont nous générons ces statistiques : https://developers.cloudflare.com/radar/reference/quarterly-ddos-reports

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons tous les sites web ou applications Internet, repoussons les attaques DDoS, tenons les pirates informatiques à distance et pouvons vous accompagner dans votre parcours d'adoption de l'architecture Zero Trust.

Accédez à 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en apprendre davantage sur notre mission, à savoir contribuer à bâtir un Internet meilleur, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.
DDoSAttacks (FR)Cloudflare Radar (FR)DDoS Reports (FR)InsightsTrends (FR)HTTP2 (FR)Rapid Reset (FR)

Suivre sur X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Publications associées

20 novembre 2024 à 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...