Évolution des DDoS?: faire face à des attaques toujours plus innovantes
Entre 2005 et 2023, nous avons constaté une multiplication par 10 de la fréquence des attaques par déni de service distribué (DDoS). Un phénomène qui n'est pas étranger à l'utilisation renforcée d'internet, aux multiples connexions et à l'omniprésence des utilisateurs en ligne à des fins professionnelles et personnelles.
Dans un monde de plus en plus numérique et toujours plus connecté, l'utilisation d'Internet a atteint des sommets inédits, et plus particulièrement depuis le début de la pandémie de Covid-19.
Selon le dernier rapport IoT Analytics intitulé « State of IoT » publié au printemps 2023, le nombre de connexions d'appareils connectés ou « intelligents » mondiales aurait augmenté de 18 % en 2022 pour atteindre 14,3 milliards de terminaux IoT actifs.
En 2023, IoT Analytics s'attend à une augmentation supplémentaire de 16 %, pour atteindre 16,7 milliards de d'objets connectés actifs. Ces tendances devraient poursuivre leur croissance pour de nombreuses années. Or, cette hausse de l'usage du réseau des réseaux et de la connectivité numérique va de pair avec une augmentation des menaces et des cyberattaques.
Entre 2005 et 2023, nous avons constaté une multiplication par 10 de la fréquence des attaques par déni de service distribué (DDoS). Un phénomène qui n'est pas étranger à l'utilisation renforcée d'internet, aux multiples connexions et à l'omniprésence des utilisateurs en ligne à des fins professionnelles et personnelles.
Les motivations derrière les stratégies d'attaque par DDoS
Elles ne manquent pas : l'argent, la politique, la concurrence, mais aussi le pouvoir au sein de leur propre communauté ; dans cette optique, les cybercriminels utilisent ce type d'attaques pour semer la panique, provoquer des dégâts et, in fine, gagner de l'argent.
En 2022, les entreprises ont été confrontées à de multiples motivations de la part des auteurs d'attaques par DDoS : dès la fin du mois de février en effet, de nombreux sites web ont été mis hors d'usage peu avant le début de la guerre entre la Russie et l'Ukraine. Cet évènement a déclenché une série d'offensives contre de nombreux pays et secteurs industriels, toujours en cours aujourd'hui.
L'industrie manufacturière, les réseaux de télécommunications sans fil et même le secteur optique en ont été victimes. Quels que soient leurs objectifs, les cybercriminels doivent en permanence élaborer de nouveaux vecteurs d'attaque DDoS et imaginer de nouvelles méthodologies pour parvenir à leurs fins.
Les conclusions de nos dernières recherches sont éloquentes quant à la capacité d'innovation dont font preuve les cybercriminels pour créer de nouvelles techniques reposant sur des méthodologies performantes - des vecteurs d'attaque par voie directe utilisant le protocole TCP au « carpet-bombing », en passant par les attaques ciblant la couche applicative contre les serveurs DNS et les sites Internet.
On le voit, les auteurs de menaces ont accéléré l'adoption de techniques d'attaque et de cibles au cours des derniers mois.
Attaques par voie directe
Ces attaques se développent à un rythme alarmant. En 2022, ce mode d'agression a proliféré pour représenter environ la moitié de l'ensemble des attaques par DDoS. Au cours des trois dernières années, elles ont progressé de 18 % tandis que dans le même temps, les offensives traditionnelles par réflexion/amplification reculaient dans une proportion similaire, soulignant la nécessité de mettre en oeuvre une approche hybride pour faire face à la fluctuation des méthodologies employées.
Parallèlement, avec plus d'un milliard de sites en service aux quatre coins du monde, les attaques par DDoS visant Internet ont fortement augmenté, comme en témoigne l'augmentation de 487?% des offensives lancées contre la couche applicative HTTP/HTTPS depuis 2019.
Un palier a été franchi au second semestre 2022 lorsque des groupes pro-russes dont Killnet ont explicitement lancé des attaques visant des sites Internet. Les agressions de cette nature sont apparues concomitamment au conflit entre la Russie et l'Ukraine, mettant à genou plusieurs sites financiers, gouvernementaux et de médias.
Attaques par « carpet bombing »
Le recours à cette technique, qui cible simultanément des plages entières d'adresses IP et conçue pour échapper aux systèmes de détection DDoS habituels, a augmenté de 110 % au cours de l'année 2022. Cette méthode s'est généralisée à partir du mois de novembre 2021, avant de monter en puissance en août de l'année suivante.
Les attaques quotidiennes sont ainsi passées de 670 en moyenne en 2021 à 1 134 en 2022, soit une augmentation de 69 %. Dans la majorité des cas, ces attaques visaient les fournisseurs d'accès Internet (FAI).
Inondations de requêtes DNS
Enfin, les inondations de requêtes DNS (« DNS query flood ») ont plus que triplé depuis le début de leur exploitation malveillante en 2019 avec, depuis, une adoption en hausse de 243 %.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Sur le plan géographique, l'augmentation du nombre d'attaques montre que les adversaires ont employé cette technique sans distinction : en Asie-Pacifique et dans la région EMEA par exemple, l'utilisation quotidienne moyenne de ce mode d'attaque a augmenté de plus de 100 %.
De manière générale, la plupart des inondations de requêtes DNS ont pris pour cible des fournisseurs d'accès Internet. Au cours du second semestre 2022 toutefois, certains cybercriminels ont eu recours à cette tactique pour viser les secteurs de la sécurité nationale et des banques commerciales, respectivement en Amérique du Nord et dans la région EMEA.
Il ne fait nul doute que ces attaques sont liées dans leur quasi-exclusivité au conflit russo-ukrainien.
Le fait que les attaques multivectorielles et des méthodologies adverses plus sophistiquées ont gagné en complexité souligne, si besoin était, la nécessité de procéder à un examen scrupuleux du paysage des menaces et de mettre en place une défense en profondeur dynamique pour contrer l'assaut des agressions.
Un plan de réponse aux attaques par DDoS
La nature mouvante des attaques par DDoS amène les administrateurs réseau à se pencher sur l'efficacité réelle de leurs systèmes de défense, obligeant par ricochet les entreprises à s'interroger sur la manière dont elles peuvent prévenir et neutraliser ces menaces de plus en plus innovantes et dangereuses.
Faute de résister et de répondre efficacement à une attaque par DDoS, les entreprises s'exposent à des pertes financières, à des failles de conformité et à des dommages considérables sur le plan de leur notoriété et de leur image de marque. C'est pourquoi elles doivent absolument mettre en oeuvre un plan d'action leur permettant de faire face à une attaque par déni de service distribué.
À l'image de toute initiative de continuité d'activité, ce plan d'action dynamique doit être régulièrement testé et affiné sur une période étendue.
Comme le veut l'adage, en omettant de se préparer, on s'expose à l'échec. Face à une attaque par DDoS, la méthodologie à suivre se décompose ainsi en six phases : préparation, détection, classification, remontée de l'attaque (traceback), réaction et analyse post-mortem. Ces actions doivent faire partie de tout plan de réponse aux attaques par DDoS, chaque phase alimentant la suivante, de sorte que le cycle s'améliore à chaque itération.
Négocier avec succès une attaque par DDoS dépend entièrement du niveau d'anticipation de l'entreprise et du degré de préparation de son plan. Ce dernier constitue la colonne vertébrale autour de laquelle s'articuleront les six phases décrites ci-dessus. Modifié et actualisé en continu, ce document est adapté à l'environnement, affiné par la pratique et potentiellement perfectionné au fil de son exécution en conditions réelles.
En outre, il est essentiel que ce plan englobe la totalité des éléments, processus et procédures qui permettront à l'entreprise de réagir de façon appropriée en cas d'attaque DDoS. Mais pour savoir si le plan est exact et complet, il est indispensable de procéder régulièrement à des tests, par exemple en simulant des attaques internes et des agressions complètes qui impliquent toutes les parties prenantes et les intervenants extérieurs.
Tant que les cybercriminels trouveront des moyens efficaces de contourner les mesures de sécurité, les administrateurs de réseau et les entreprises devront développer de nouvelles méthodes pour combattre et stopper les attaques par DDoS. Mais pour réussir, les entreprises doivent disposer d'un plan complet, testé régulièrement et exécuté selon les bonnes pratiques.
Richard Hummel, Threat Research Lead - NETSCOUT.
Sur le même thème
Voir tous les articles Cybersécurité