Bienvenue dans la 17e édition du rapport Cloudflare sur les menaces DDoS. Cette édition aborde le panorama des menaces DDoS, ainsi que les principales conclusions observées sur le réseau Cloudflare au cours du premier trimestre 2024.
Qu'est-ce qu'une attaque DDoS ?
Commençons par un bref récapitulatif. Une attaque DDoS, abréviation de « Distributed Denial of Service » (attaque par déni de service distribué), est un type de cyberattaque qui vise à mettre hors service ou à perturber des services Internet (comme un site web ou une application mobile) et à les rendre indisponibles pour les utilisateurs. Les attaques DDoS sont généralement menées en inondant le serveur de la victime sous un trafic plus important que ce dernier ne peut en traiter.
Pour en savoir plus sur les attaques DDoS et les autres types d'attaques, rendez-vous dans notre Centre d'apprentissage.
Accès aux rapports précédents
Pour rappel, vous pouvez accéder aux éditions précédentes des rapports consacrés aux menaces DDoS sur le blog de Cloudflare. Ces rapports sont également disponibles dans notre centre interactif, Cloudflare Radar. Sur Radar, vous retrouverez des tendances et des statistiques sur le trafic Internet mondial, les attaques et la technologie, en plus de fonctionnalités de zoom et de filtrage qui vous permettront d'examiner plus précisément des pays, des secteurs et des réseaux spécifiques. Nous y proposons également une API gratuite permettant aux universitaires, aux traceurs de données et aux autres passionnés du web d'étudier les tendances d'Internet à travers le monde.
Pour découvrir comment nous préparons ce rapport, reportez-vous à notre section Méthodologies.
Statistiques essentielles du premier trimestre 2024
Vous trouverez ci-dessous les principales informations relatives au premier trimestre 2024 :
- L'année 2024 a commencé en fanfare. Les systèmes de défense de Cloudflare ont atténué automatiquement plus de 4,5 millions d'attaques DDoS au cours du premier trimestre, soit une augmentation de 50 % par rapport à l'année précédente.
- Les attaques DDoS basées sur le DNS ont augmenté de 80 % par rapport à l'année précédente et demeurent le vecteur d'attaque le plus important.
- Les attaques DDoS contre la Suède ont connu une augmentation de 466 % après son entrée dans l'OTAN, soit un écho de la tendance observée lors de l'entrée de la Finlande dans l'OTAN en 2023.
Commencer l'année 2024 en fanfare
Le premier trimestre 2024 vient de s'achever et, déjà, nos défenses automatisées ont atténué 4,5 millions d'attaques DDoS, soit l'équivalent de 32 % de l'ensemble des attaques DDoS atténuées par nos soins en 2023.
En termes de types d'attaques, le nombre d'attaques DDoS HTTP a augmenté de 93 % par rapport à l'année précédente et de 51 % par rapport au trimestre précédent. Les attaques DDoS sur la couche réseau (également connues sous le nom d'attaques DDoS sur les couches 3/4) ont augmenté de 28 % par rapport à l'année précédente et de 5 % par rapport au trimestre précédent.
Lorsque nous comparons le nombre combiné d'attaques DDoS HTTP et d'attaques DDoS sur la couche 3/4 observées au premier trimestre 2024, nous constatons que, dans l'ensemble, ce nombre a augmenté de 50 % par rapport à l'année précédente et de 18 % par rapport au trimestre précédent.
Au total, nos systèmes ont atténué 10 500 milliards de requêtes liées à des attaques DDoS HTTP au cours du premier trimestre. Nos systèmes ont également atténué plus de 59 pétaoctets de trafic hostile lié à des attaques DDoS, uniquement sur la couche réseau.
Parmi ces attaques DDoS sur la couche réseau, beaucoup ont dépassé le térabit par seconde, sur une base pratiquement hebdomadaire. L'attaque la plus volumineuse que nous ayons atténuée jusqu'à présent en 2024 a été lancée par un botnet reposant sur une variante de Mirai. Cette attaque a atteint les 2 Tb/s et visait un fournisseur d'hébergement asiatique protégé par Cloudflare Magic Transit. Les systèmes de Cloudflare ont automatiquement détecté et atténué l'attaque.
Principalement composé d'appareils IdO infectés, le botnet Mirai reste tristement célèbre pour ses attaques DDoS de grande ampleur. Il a notamment perturbé l'accès Internet aux États-Unis en 2016 en ciblant des fournisseurs de services DNS. Près de huit ans plus tard, les attaques Mirai sont toujours très courantes. Quatre attaques DDoS HTTP sur cent et deux attaques DDoS sur cent visant les couches 3/4 sont lancées par un botnet reposant sur une variante de Mirai. La raison pour laquelle nous parlons de « variante » tient au fait que le code source de Mirai a été rendu public et qu'au fil des ans, il a connu de nombreuses permutations par rapport à l'original.
Les attaques DNS bondissent de 80 %
Au mois de mars 2024, nous avons inauguré le système Advanced DNS Protection, l'un de nos derniers systèmes de défense contre les attaques DDoS. Conçu pour protéger contre les attaques DDoS DNS les plus sophistiquées, ce système vient compléter nos systèmes existants.
Nous n'avons pas décidé d'investir dans ce nouveau système par hasard. Les attaques DDoS basées sur le DNS sont devenues le vecteur d'attaque le plus important et leur proportion parmi les attaques sur la couche réseau ne cesse de croître. Au cours du premier trimestre 2024, la part des attaques DDoS DNS a ainsi augmenté de 80 % par rapport à l'année précédente, pour représenter environ 54 % de l'ensemble des attaques.
Fait remarquable, malgré la hausse des attaques DNS et en raison de l'augmentation générale de tous les types d'attaques DDoS, la part de chaque type d'attaque reste la même que celle observée dans notre précédent rapport couvrant le dernier trimestre 2023. Les attaques DDoS HTTP totalisent toujours 37 % de l'ensemble des attaques DDoS et les attaques DDoS DNS 33 %, tandis que les 30 % restants englobent tous les autres types d'attaques sur la couche 3/4, comme le flood SYN et le flood UDP.
En réalité, les attaques SYN Flood représentaient la deuxième attaque la plus courante sur la couche 3/4. Les troisièmes plus fréquentes étaient les attaques RST Flood, un autre type d'attaque DDoS basée sur TCP. Les attaques UDP Flood arrivaient en quatrième position, avec une part de 6 %.
Lorsque nous analysons les vecteurs d'attaque les plus courants, nous vérifions également lesquels ont connu la plus forte croissance, sans nécessairement entrer dans la liste des dix vecteurs principaux. Parmi les vecteurs d'attaque les plus dynamiques (menaces émergentes), le Jenkins Flood a connu la plus forte croissance avec une hausse de plus de 826 % par rapport au trimestre précédent.
L'attaque Jenkins Flood est une attaque DDoS qui exploite les vulnérabilités du serveur d'automatisation Jenkins, notamment par le biais de services UDP multicast/broadcast et DNS multicast. Les acteurs malveillants peuvent envoyer de petites requêtes spécialement conçues vers un port UDP public situé sur des serveurs Jenkins, afin de les amener à répondre par des quantités de données disproportionnées. Cette opération peut amplifier considérablement le volume de trafic, submerger le réseau de la cible et conduire à une interruption de service. Jenkins a remédié à cette vulnérabilité (CVE-2020-2100) en 2020 en désactivant ces services par défaut dans les versions ultérieures. Toutefois, comme nous pouvons le constater, cette vulnérabilité est toujours utilisée de manière abusive pour lancer des attaques DDoS, même 4 ans plus tard.
Flood HTTP/2 Continuation
Un autre vecteur d'attaque qui mérite d'être examiné est le HTTP/2 Continuation Flood. Ce type d'attaque repose sur une vulnérabilité découverte et signalée publiquement par le chercheur Bartek Nowotarski le 3 avril 2024.
La vulnérabilité HTTP/2 Continuation Flood cible les implémentations du protocole HTTP/2 qui traitent de manière incorrecte les trames HEADERS et plusieurs trames CONTINUATION. L'acteur malveillant adresse une séquence de trames CONTINUATION sans le marqueur END_HEADERS, afin d'entraîner des problèmes potentiels au niveau du serveur, comme une défaillance par manque de mémoire ou l'épuisement du processeur. L'attaque HTTP/2 Continuation Flood permet (même à une seule machine) de perturber les sites web et les API via le HTTP/2, tout en apportant un défi supplémentaire en matière de détection, rendue plus difficile par l'absence de requêtes visibles dans les journaux d'accès HTTP.
Cette vulnérabilité constitue une menace potentiellement plus grave et dévastatrice que la vulnérabilité déjà connue, HTTP/2 Rapid Reset, qui a donné lieu à certaines des plus vastes campagnes d'attaques DDoS HTTP/2 jamais enregistrées. Cloudflare a été visée par des milliers d'attaques DDoS hyper-volumétriques pendant cette campagne. Les attaques ont atteint plusieurs millions de requêtes par seconde. Le débit moyen d'une attaque enregistrée par Cloudflare au cours de cette campagne était de 30 millions de r/s. Parmi ces attaques, près de 89 dépassaient les 100 millions de r/s, tandis que la plus volumineuse atteignait les 201 millions de r/s. Nous avons publié des informations supplémentaires à ce sujet dans notre rapport sur les menaces DDoS au troisième trimestre 2023.
Le réseau Cloudflare, son implémentation HTTP/2 et les clients utilisant nos services WAF/CDN ne sont pas touchés par cette vulnérabilité. Par ailleurs, aucun acteur malveillant n'exploite cette vulnérabilité « en milieu naturel » à notre connaissance.
Plusieurs CVE ont été attribuées aux différentes implémentations HTTP/2 concernées par cette vulnérabilité. Une alerte CERT publiée par Christopher Cullen de la Carnegie Mellon University et couverte par Bleeping Computer dresse la liste des différentes CVE :
| Service affecté | CVE | Détails |
|---|---|---|
| Serveur HTTP/2 Node.js | CVE-2024-27983 | L'envoi de quelques trames HTTP/2 peut entraîner une situation de concurrence concurrentielle et une fuite de mémoire, qui peuvent conduire à un événement de déni de service potentiel. |
| Codec oghttp d'Envoy | CVE-2024-27919 | Le fait de ne pas réinitialiser une requête lorsque les limites des cartes d'en-têtes sont dépassées peut entraîner une consommation illimitée de mémoire et potentiellement conduire à un événement de déni de service. |
| Tempesta FW | CVE-2024-2758 | Ses mesures de contrôle de volume ne sont pas totalement efficaces contre les trames CONTINUATION vides, qui peuvent conduire à un événement de déni de service. |
| amphp/http | CVE-2024-2653 | La collection rassemble les trames CONTINUATION au sein d'une mémoire tampon illimitée, en s'exposant au risque de défaillance par manque de mémoire (OOM, Out Of Memory) si la limite de taille de l'en-tête est dépassée. Cette situation peut entraîner un événement de déni de service. |
| Packages net/http et net/http2 de Go | CVE-2023-45288 | Ils permettent à un acteur malveillant d'envoyer un ensemble d'en-têtes arbitrairement grand, afin d'entraîner une consommation excessive du processeur susceptible de conduire à un événement de déni de service. |
| Bibliothèque nghttp2 | CVE-2024-28182 | Elle implique une implémentation utilisant la bibliothèque nghttp2, qui continuera à recevoir des trames CONTINUATION. Cette situation peut conduire à un événement de déni de service sans rappel de réinitialisation de flux approprié. |
| Apache Httpd | CVE-2024-27316 | Il est possible d'envoyer un flot de trames CONTINUATION sans marqueur END_HEADERS défini, afin d'entraîner une terminaison incorrecte des requêtes susceptible de conduire à un événement de déni de service. |
| Apache Traffic Server | CVE-2024-31309 | Les floods HTTP/2 CONTINUATION peuvent entraîner une consommation excessive de ressources sur le serveur, susceptible de conduire à un événement de déni de service. |
| Envoy version 1.29.2 ou antérieure | CVE-2024-30255 | L'importante consommation de ressources serveur peut conduire à l'épuisement du processeur lors d'un flood de trames CONTINUATION et ainsi potentiellement entraîner un événement de déni de service. |
Principaux secteurs visés
Lorsque nous analysons des statistiques des attaques, nous utilisons le secteur du client tel qu'il est enregistré dans nos systèmes afin de déterminer les secteurs les plus attaqués. Au cours du premier trimestre 2024, le secteur le plus fréquemment visé par des attaques DDoS HTTP en Amérique du Nord était celui du marketing et de la publicité. En Afrique et en Europe, il s'agissait du secteur des technologies de l'information et d'Internet. Au Moyen-Orient, le secteur le plus attaqué était celui des logiciels. En Asie, celui des jeux/jeux de hasard, et en Amérique du Sud, le secteur de la banque, des assurances et des services financiers (Banking, Financial Services and Insurance, BFSI). Enfin, et non des moindres, le secteur le plus visé en Océanie était celui des télécommunications.
À l'échelle mondiale, le secteur des jeux/jeux de hasard a été le plus touché par des attaques DDoS HTTP. Un peu plus de sept requêtes DDoS sur cent atténuées par Cloudflare visaient le secteur des jeux/jeux de hasard. La deuxième place revenait au secteur des technologies de l'information et d'Internet, et la troisième à celui du marketing et de la publicité.
Avec une part représentant 75 % de l'ensemble des octets envoyés dans le cadre d'une attaque DDoS sur la couche réseau, le secteur des technologies de l'information et d'Internet a été le plus touché par des attaques DDoS sur la couche réseau. Une explication possible à ce chiffre réside dans le fait que les entreprises de ce secteur peuvent agir comme des « super agrégateurs » d'attaques et recevoir les attaques DDoS destinées en réalité à leurs clients finaux. Le secteur des télécommunications, le secteur de la banque, des assurances et des services financiers (BFSI), le secteur des jeux/jeux de hasard et celui des logiciels totalisaient les 3 % suivants.
Si nous normalisons les données en divisant le trafic hostile par le trafic total vers un secteur donné, nous obtenons une image complètement différente. Sur le front HTTP, le secteur des cabinets et services juridiques s'est révélé le plus visé, car plus de 40 % de leur trafic était lié à des attaques DDoS HTTP. Le secteur de la biotechnologie est arrivé en deuxième position, avec une part de 20 % du trafic lié aux attaques DDoS HTTP. En troisième position, les organismes à but non lucratif ont enregistré une part de 13 % des attaques DDoS HTTP. La quatrième place est détenue par le secteur de l'aviation et de l'aérospatiale, suivi par celui des transports, de la vente en gros, des relations gouvernementales, du cinéma, de la politique publique et des loisirs pour adultes, qui viennent compléter le top 10.
Pour revenir à la couche réseau, une fois les données normalisées, le secteur des technologies de l'information et d'Internet est resté le plus visé par des attaques DDoS sur la couche 3/4, car près d'un tiers de son trafic était lié à des attaques. En seconde position, le secteur textile totalisait une part de 4 % des attaques. La troisième place est décernée au secteur du génie civil, suivi par celui de la banque, des assurances et des services financiers (BFSI), le secteur militaire, la construction, les appareils médicaux, la défense et l'espace, les jeux et les jeux de hasard, et enfin, la vente au détail, qui complètent le top 10.
Principales sources d'attaques DDoS
Lors de l'analyse des sources d'attaques DDoS HTTP, nous examinons l'adresse IP de la source afin de déterminer l'emplacement d'origine de ces attaques. Un pays ou une région s'imposant comme une source importante d'attaques indique très probablement l'existence d'une forte présence de nœuds de botnet derrière un réseau privé virtuel (Virtual Private Network, VPN) ou de points de terminaison de proxy que les acteurs malveillants peuvent utiliser pour dissimuler leur origine.
Lors du premier trimestre 2024, les États-Unis se sont révélé la principale source de trafic hostile DDoS HTTP, puisqu'un cinquième des requêtes liées à des attaques DDoS provenaient d'adresses IP domiciliées dans ce pays. La Chine arrivait en second, suivie par l'Allemagne, l'Indonésie, le Brésil, la Russie, l'Iran, Singapour, l'Inde et l'Argentine.
Les adresses IP sources peuvent être usurpées au niveau de la couche réseau. Ainsi, plutôt que de nous fier aux adresses IP pour déterminer la source, nous utilisons l'emplacement des datacenters au sein desquels le trafic hostile a été ingéré. La vaste couverture mondiale du réseau Cloudflare, présent dans plus de 310 villes à travers le monde, nous permet ainsi d'obtenir des résultats assortis d'une certaine précision géographique.
L'emplacement de nos datacenters nous permet de constater qu'au cours du premier trimestre 2024, plus de 40 % de trafic hostile lié à des attaques DDoS sur la couche 3/4 a été ingéré dans nos datacenters américains, un chiffre qui fait des États-Unis la plus grande source d'attaques sur les couches 3/4. Loin derrière, l'Allemagne arrivait à la seconde place (6 %), suivie par le Brésil, Singapour, la Russie, la Corée du Sud, Hong Kong, le Royaume-Uni, les Pays-Bas et le Japon.
Si nous normalisons les données en divisant le trafic hostile par le trafic total vers un pays ou une région donné, nous obtenons un résultat totalement différent. La source la plus importante de trafic HTTP était Gibraltar, avec près d'un tiers de son trafic lié à des attaques DDoS. Sainte-Hélène se plaçait en deuxième position, suivie par les Îles vierges britanniques, la Libye, le Paraguay, Mayotte, la Guinée équatoriale, l'Argentine et l'Angola.
Pour revenir à la couche réseau, les résultats se révèlent là aussi assez différents, une fois les données normalisées. Près de 89 % du trafic ingéré dans nos datacenters situés au Zimbabwe était lié à des attaques DDoS sur la couche 3/4. Au Paraguay, cette part dépassait les 56 %, tandis qu'en Mongolie, elle atteignait près de 35 % des attaques. La Moldavie, la République démocratique du Congo, l'Équateur, Djibouti, l'Azerbaïdjan, Haïti et la République dominicaine viennent compléter la liste des autres pays principaux.
Pays les plus attaqués
Lorsque nous analysons les attaques DDoS lancées contre nos clients, nous nous servons de leur pays de facturation pour déterminer le « pays attaqué » (ou la région). Au cours du premier trimestre 2024, ce sont les États-Unis qui ont subi le plus d'attaques DDoS HTTP. Près d'une requête DDoS sur dix atténuée par Cloudflare visait ainsi ce pays. La Chine arrive à la deuxième place, suivie par le Canada, le Vietnam, l'Indonésie, Singapour, Hong Kong, Taïwan, Chypre et l'Allemagne.
Si nous normalisons les données en divisant le trafic hostile par le trafic total vers un pays ou une région donné, la liste change radicalement. Plus de 63 % du trafic HTTP destiné au Nicaragua était lié à des attaques DDoS, soit un chiffre qui en fait la région la plus attaquée. La deuxième place est attribuée à l'Albanie, suivie par la Jordanie, la Guinée, Saint-Marin, la Géorgie, l'Indonésie, le Cambodge, le Bangladesh et l'Afghanistan.
Du point de vue de la couche réseau, la Chine s'est révélée le pays le plus attaqué, car 39 % de l'ensemble des octets hostiles liés à une attaque DDoS atténuée par Cloudflare au cours du premier trimestre 2024 étaient destinés aux clients chinois de Cloudflare. La ville de Hong Kong arrivait en second, suivie par Taïwan, les États-Unis et le Brésil.
Pour revenir à la couche réseau, une fois les données normalisées, Hong Kong prend la tête des régions les plus visées. Le trafic lié aux attaques DDoS sur la couche 3/4 totalisait plus de 78 % de l'ensemble du trafic destiné à Hong Kong. La Chine arrive à la deuxième place, avec une part d'attaques DDoS de 75 %, suivie par le Kazakhstan, la Thaïlande, Saint-Vincent-et-les-Grenadines, la Norvège, Taïwan, la Turquie, Singapour et le Brésil.
Cloudflare est là pour vous aider, peu importe le type, la taille ou la durée de l'attaque
Cloudflare s'est donné pour mission de contribuer à bâtir un Internet meilleur, c'est-à-dire de partager notre vision dans laquelle le réseau demeure sécurisé, performant et accessible à tous. Avec quatre attaques DDoS HTTP sur dix durant plus de 10 minutes et près de trois sur dix plus d'une heure, le défi est considérable. Toutefois, qu'une attaque implique plus de 100 000 requêtes par seconde (comme c'est le cas d'une attaque sur dix) ou qu'elle dépasse le million de requêtes par seconde (une rareté observée dans seulement quatre attaques sur mille), les défenses de Cloudflare restent impénétrables.
Depuis le lancement de sa protection illimitée contre les attaques DDoS en 2017, Cloudflare n'a pas ménagé ses efforts pour honorer sa promesse : proposer gratuitement une protection contre les attaques DDoS à toutes les entreprises, en veillant à ce que notre technologie avancée et notre robuste architecture réseau ne permettent pas uniquement de repousser les attaques, mais également de préserver les performances, le tout sans compromis.