4,2 Tb/s de paquets malveillants et bien d'autres informations : le rapport de Cloudflare sur les DDoS au troisième trimestre

Bienvenue dans la 19e édition du rapport Cloudflare sur les menaces DDoS. Publiés chaque trimestre, ces rapports proposent une analyse approfondie du panorama des menaces DDoS, tel que nous l'observons sur le réseau Cloudflare. Cette édition se concentre sur le troisième trimestre 2024.

Grâce à son réseau d'une capacité de 296 térabits par seconde (Tb/s), présent dans plus de 330 villes à travers le monde, Cloudflare est utilisé en tant que proxy inverse par près de 20 % de la totalité des sites web. Cloudflare dispose d'une perspective unique, lui permettant de présenter des statistiques et des tendances utiles à l'ensemble de la communauté Internet.

• Le nombre d'attaques DDoS a connu un pic au troisième trimestre de 2024. Cloudflare a atténué près de 6 millions d'attaques DDoS, ce qui représente une augmentation de 49 % par rapport au trimestre précédent et de 55 % par rapport à l'année précédente.

• Sur ces 6 millions d'attaques, les systèmes autonomes de défense contre les attaques DDoS de Cloudflare ont détecté et atténué plus de 200 attaques DDoS hyper-volumétriques, présentant des débits supérieurs à 3 térabits par seconde (Tb/s) et 2 milliards de paquets par seconde (p/s). L'attaque la plus importante a atteint un pic de 4,2 Tb/s et n'a duré qu'une minute.

• C'est le secteur des services bancaires et financiers qui a subi le plus grand nombre d'attaques DDoS. La Chine a été le pays le plus fréquemment ciblé par les attaques DDoS, tandis que l'Indonésie a été le plus important pays d'origine des attaques DDoS.

Pour en savoir plus sur les attaques DDoS et les autres types de cybermenaces, consultez notre Centre d'apprentissage, accédez aux précédents rapports sur les menaces DDoS publiés sur le blog de Cloudflare ou rendez-vous sur notre portail interactif, Cloudflare Radar. Une API gratuite est également disponible pour les utilisateurs intéressés par l'exploration de ces informations et d'autres tendances liées à Internet. Vous pouvez également en apprendre davantage sur les méthodologies employées pour préparer ces rapports.

Durant la première moitié de 2024, les systèmes autonomes de défense contre les attaques DDoS de Cloudflare ont automatiquement détecté et atténué 8,5 millions d'attaques DDoS, dont 4,5 millions d'attaques au premier trimestre et 4 millions au deuxième trimestre. Au troisième trimestre, nos systèmes ont atténué près de 6 millions d'attaques DDoS, ce qui s'élève à un total de 14,5 millions d'attaques DDoS depuis le début de l'année. Cela représente, en moyenne, environ 2 200 attaques DDoS par heure.

Parmi ces attaques, Cloudflare a atténué plus de 200 attaques DDoS hyper-volumétriques sur la couche réseau, présentant un volume supérieur à 1 Tb/s ou 1 milliard de p/s. L'attaque la plus volumineuse a atteint des pics de 3,8 Tb/s et 2,2 milliards de p/s. Apprenez-en davantage sur ces attaques et sur la manière dont nos systèmes de défense contre les attaques DDoS les ont atténuées de manière autonome.

^{Répartition dans le temps des attaques DDoS hyper-volumétriques}

Au moment où nous écrivions cet article de blog, nos systèmes ont continué à détecter et atténuer ces attaques colossales et, trois semaines seulement après notre dernière publication, un nouveau record vient d'être établi. Le 21 octobre 2024, les systèmes de Cloudflare ont détecté et atténué de manière autonome une attaque DDoS de 4,2 Tb/s, d'une durée d'environ une minute.

^{Atténuation autonome par Cloudflare d'une attaque DDoS de 4,2 Tb/s}

Sur les 6 millions d'attaques DDoS, la moitié étaient des attaques DDoS HTTP (couche application), et l'autre moitié des attaques DDoS sur la couche réseau. Le nombre d'attaques DDoS sur la couche réseau a augmenté de 51 % par rapport au trimestre précédent et de 45 % par rapport à l'année précédente, tandis que les attaques DDoS HTTP ont progressé de 61 % par rapport au trimestre précédent et de 68 % par rapport à l'année précédente.

90 % des attaques DDoS, parmi lesquelles les attaques les plus vastes, ont été très brèves. Nous avons toutefois constaté une légère augmentation (7 %) des attaques d'une durée supérieure à une heure. Ces attaques plus longues représentaient 3 % de l'ensemble des attaques.

Au troisième trimestre, nous avons constaté une répartition homogène du nombre d'attaques DDoS sur la couche réseau par rapport au nombre d'attaques DDoS HTTP. Parmi les attaques DDoS sur la couche réseau, les attaques SYN flood constituaient le principal vecteur d'attaque, suivies par les attaques DNS flood, les attaques UDP flood, les attaques par réflexion SSDP et les attaques par réflexion ICMP.

En ce qui concerne la couche application, 72 % des attaques DDoS HTTP ont été lancées par des botnets connus et ont été atténuées automatiquement par nos instruments heuristiques propriétaires. L'atténuation de 72 % des attaques DDoS par nos systèmes heuristiques développés en interne souligne les avantages qu'offre l'exploitation d'un réseau étendu. Le volume de trafic et d'attaques que nous observons nous permet de concevoir, tester et déployer de robustes défenses contre les botnets.

Par ailleurs, 13 % des attaques DDoS HTTP ont été atténuées en raison de leurs attributs HTTP suspects ou inhabituels, tandis que 9 % étaient des attaques DDoS HTTP lancées depuis des faux navigateurs ou des programmes d'usurpation de navigateurs. Les 6 % d'attaques restantes dans la catégorie « Other » (Autres) incluent les attaques ciblant les points de terminaison de connexion et les attaques de type cache busting (infiltration de cache).

Il convient de noter que ces vecteurs d'attaque, ou groupes d'attaques, ne sont pas nécessairement exclusifs. Par exemple, les botnets connus imitent également des navigateurs et présentent des attributs HTTP suspects ; toutefois, cette répartition constitue notre tentative de proposer une catégorisation pertinente des attaques DDoS HTTP.

^{Répartition des attaques DDoS au troisième trimestre 2024}

Au troisième trimestre, nous avons observé une augmentation de 4 000 % du nombre d'attaques par amplification SSDP par rapport au trimestre précédent. Une attaque SSDP (Simple Service Discovery Protocol) est un type d'attaque DDoS par réflexion et amplification qui exploite le protocole UPnP (Universal Plug and Play). Les acteurs malveillants adressent des requêtes SSDP à des appareils vulnérables compatibles UPnP, tels que des routeurs, des imprimantes et des appareils photo compatibles IP, et usurpent l'adresse IP source afin qu'elle corresponde à l'adresse IP de la victime. Les appareils ciblés répondent à l'adresse IP de la victime, transmettant ainsi d'immenses volumes de trafic qui saturent l'infrastructure de cette dernière. L'effet d'amplification permet aux acteurs malveillants de générer un volume de trafic colossal à partir de requêtes de petite taille, entraînant l'arrêt et l'indisponibilité du service de la cible de l'attaque. La désactivation du protocole UPnP sur les appareils sur lesquels il n'est pas utile et l'utilisation de stratégies d'atténuation des attaques DDoS peuvent vous aider à vous défendre contre ce type d'attaque.

^{Illustration d'une attaque par amplification SSDP}

Lorsqu'ils lancent des attaques DDoS HTTP, les acteurs malveillants cherchent à se fondre dans la masse, afin d'éviter d'être détectés. À cette fin, une tactique consiste à usurper l'agent utilisateur. Cette tactique, si elle aboutit, permet aux acteurs malveillants d'apparaître comme un navigateur ou un client légitime.

Au troisième trimestre, 80 % du trafic lié aux attaques DDoS HTTP usurpait l'identité du navigateur Google Chrome, qui était l'agent utilisateur le plus fréquemment observé lors d'attaques. Plus précisément, les versions 118, 119, 120 et 121 de Chrome étaient les plus courantes.

En deuxième position, aucun agent utilisateur n'a été observé pour 9 % du trafic lié aux attaques DDoS HTTP.

En troisième et quatrième position, nous avons observé des attaques utilisant les agents utilisateurs Go-http-client et fasthttp. Le premier est le client HTTP par défaut de la bibliothèque standard de Go, tandis que le second est une alternative très performante. fasthttp est utilisé pour développer des applications web rapides, mais est également souvent utilisé pour lancer des attaques DDoS, ainsi qu'aux fins de l'extraction de contenus web.

^{Principaux agents utilisateurs utilisés dans les attaques DDoS}

L'agent utilisateur hackney arrivait en cinquième position. Il s'agit d'une bibliothèque de clients HTTP pour Erlang, utilisée pour exécuter des requêtes HTTP, qui est fréquemment mise en œuvre dans les écosystèmes Erlang/Elixir.

Un agent utilisateur intéressant apparaît en sixième position : HITV_ST_PLATFORM. Cet agent utilisateur semble être associé aux téléviseurs connectés ou aux boîtiers décodeurs. Les acteurs malveillants évitent généralement d'avoir recours à des agents utilisateurs inhabituels, comme le démontre l'utilisation fréquente d'agents utilisateurs de Chrome lors des cyberattaques. Par conséquent, la présence de HITV_ST_PLATFORM suggère probablement que les appareils en question sont bien des téléviseurs connectés ou des boîtiers décodeurs compromis.

En septième position, nous avons observé l'utilisation de l'agent utilisateur uTorrent lors d'attaques. Cet agent utilisateur est associé à un client BitTorrent populaire, utilisé pour le téléchargement de fichiers.

Enfin, okhttp était l'agent utilisateur le moins fréquemment utilisé dans les attaques DDoS, malgré sa popularité en tant que client HTTP pour les applications Java et Android. 

Alors que 89 % du trafic lié aux attaques DDoS HTTP utilisait la méthode GET, il s'agit également de la méthode HTTP la plus fréquemment utilisée. Par conséquent, lorsque nous normalisons le trafic d'attaque en divisant le nombre de requêtes liées à une attaque par le nombre total de requêtes par méthode HTTP, nous obtenons un résultat différent.

Près de 12 % de l'ensemble des requêtes employant la méthode DELETE étaient liées à une attaque DDoS HTTP. Après DELETE, nous avons observé que HEAD, PATCH et GET étaient les méthodes les plus fréquemment utilisées dans les requêtes associées à des attaques DDoS.

Si 80 % des requêtes liées à des attaques DDoS étaient transmises via HTTP/2 et 19 % des requêtes via HTTP/1.1, elles ne représentaient qu'une part beaucoup plus faible, une fois normalisées par rapport au trafic total par version. Lorsque nous normalisons les requêtes liées à une attaque par rapport au nombre total de requêtes par version, nous voyons apparaître une représentation différente. Plus de la moitié du trafic adressé à la version non standard ou incorrectement identifiée « HTTP/1.2 » était du trafic malveillant, lié à une attaque DDoS. Il est important de noter que « HTTP/1.2 » n'est pas une version officielle du protocole.

^{L'immense majorité (près de 94 %) des attaques DDoS HTTP sont en réalité chiffrées avec le protocole HTTPS.}

La Chine a été le pays le plus fréquemment ciblé par des attaques au troisième trimestre 2024. Les Émirats arabes unis occupaient la deuxième place et Hong Kong la troisième place, suivi de près par Singapour, l'Allemagne et le Brésil.

Le Canada arrivait à la septième place, suivi de la Corée du Sud, des États-Unis et de Taïwan à la dixième place.

Le secteur des services bancaires et financiers a été la cible la plus fréquente des attaques DDoS au troisième trimestre 2024. Le secteur des technologies et services de l'information arrivait en deuxième position, suivi par le secteur des télécommunications, des fournisseurs d'accès Internet et des opérateurs de télécommunications.

Les secteurs des cryptomonnaies, d'Internet, des jeux de hasard et des casinos ainsi que des jeux vidéo suivaient de près, étant également des cibles fréquentes d'attaques. Les secteurs des appareils électroniques grand public, de la construction et du génie civil ainsi que de la vente au détail venaient compléter la liste des dix secteurs les plus fréquemment ciblés.

Depuis quelques années maintenant, nous interrogeons nos clients qui ont été la cible d'attaques DDoS. Cette étude englobe différents facteurs, notamment la nature des attaques et les acteurs malveillants. Dans le cas des acteurs malveillants, 80 % des personnes interrogées ont déclaré ne pas connaître l'identité des auteurs de l'attaque, mais 20 % ont déclaré la connaître. Parmi ces derniers, 32 % ont déclaré que l'objectif des acteurs malveillants était de leur extorquer des fonds. 25 % ont déclaré que l'attaque était l'œuvre d'un concurrent, et 21 % ont déclaré que le responsable de l'attaque était un client ou un utilisateur mécontent. 14 % des personnes interrogées ont déclaré que les attaques étaient lancées par un État-nation ou un groupe soutenu par un État-nation. Enfin, 7 % des personnes interrogées ont déclaré s'être attaquées elles-mêmes par inadvertance. À titre d'exemple, une entreprise peut lancer une attaque DDoS contre elle-même si elle effectue une mise à jour post-firmware d'appareils IoT, ce qui entraîne la connexion au serveur d'origine de tous les appareils simultanément, générant ainsi un afflux de trafic considérable.

^{Répartition des principaux acteurs malveillants}

Si les tentatives d'extorsion de fonds incarnaient la menace la plus courante, dans l'ensemble, les signalements d'attaques DDoS avec demande de rançon ont diminué de 42 % par rapport au trimestre précédent, mais ont augmenté de 17 % par rapport à l'année précédente. Au total, 7 % des personnes interrogées ont déclaré avoir été victimes d'une attaque DDoS avec demande de rançon ou d'une menace émanant d'un acteur malveillant. En août, cependant, ce chiffre est passé à 10 %, soit une personne interrogée sur dix.

^{Rapports sur les attaques DDoS avec demande de rançon, répartition trimestrielle}

L'Indonésie a été la plus importante source d'attaques DDoS au troisième trimestre 2024. Les Pays-Bas étaient la deuxième source la plus importante, suivis par l'Allemagne, l'Argentine et la Colombie.

Les cinq principales sources les plus importantes étaient ensuite Singapour, Hong Kong, la Russie, la Finlande et l'Ukraine.

Pour les fournisseurs d'accès Internet qui exploitent leurs propres réseaux et infrastructures, l'identification des acteurs qui utilisent leur infrastructure à des fins malveillantes (par exemple, pour générer des attaques DDoS) peut être une tâche difficile. C'est pourquoi nous proposons un flux gratuit d'informations sur les menaces à l'intention des opérateurs de réseaux. Ce flux fournit aux fournisseurs d'accès Internet des informations sur les adresses IP de leurs réseaux qui ont, selon nos observations, participé à des attaques DDoS ultérieures.

À ce titre, Hetzner (AS24940), un fournisseur de services informatiques situé en Allemagne, a été la principale source d'attaques DDoS HTTP au troisième trimestre 2024. Linode (AS63949), une plateforme d'informatique cloud acquise par Akamai en 2022, a été la deuxième plus importante source d'attaques DDoS HTTP. Vultr (AS64515), un fournisseur d'accès Internet situé en Floride, États-Unis, a pris la troisième place.

Netcup (AS197540), un autre fournisseur de services informatiques basé en Allemagne, est arrivé en quatrième position. Google Cloud Platform (AS15169) arrivait ensuite en cinquième position. DigitalOcean (AS14061) occupait la sixième place, suivi par le fournisseur français OVH (AS16276), Stark Industries (AS44477), Amazon Web Services (AS16509) et Microsoft (AS8075).

^{Réseaux ayant été les plus importantes sources d'attaques DDoS HTTP au troisième trimestre 2024}

Ce trimestre, nous avons observé une hausse sans précédent des attaques DDoS hyper-volumétriques, avec des pics atteignant 3,8 Tb/s et 2,2 milliards de p/s. Ce chiffre reflète une tendance similaire à la même période l'année dernière, lorsque les attaques sur la couche application de la campagne HTTP/2 Rapid Reset ont dépassé 200 millions de requêtes par seconde (r/s). Ces attaques de très grande ampleur sont capables de submerger les propriétés Internet, notamment celles qui dépendent de solutions sur site ou de services cloud dotés d'une capacité limitée.

L'utilisation croissante de puissants botnets, alimentée par des tensions géopolitiques et des événements internationaux, augmente le nombre d'entreprises à risque, dont beaucoup n'étaient pas traditionnellement considérées comme des cibles privilégiées d'attaques DDoS. Malheureusement, un trop grand nombre d'entreprises déploient uniquement de manière réactive des protections contre les attaques DDoS, après qu'une attaque a déjà causé des dommages considérables.

Nos observations confirment que les entreprises qui disposent de stratégies de sécurité complètes et bien préparées sont beaucoup plus résilientes contre ces cybermenaces. Cloudflare s'engage à protéger votre présence sur Internet. Grâce aux investissements considérables que nous avons réalisés dans nos défenses automatisées et à notre solide portefeuille de produits de sécurité, nous assurons une protection proactive contre les menaces actuelles et émergentes, afin de vous éviter de devoir le faire.