Accueil Expert Expertise – Evolution de l’arsenal des attaques DDoS

Expertise – Evolution de l’arsenal des attaques DDoS

Yann Fralo

Yann Fralo, Country Manager A10 Networks France, revient pour les lecteurs de Solutions Numériques sur l’évolution, la recrudescence et les conséquences des attaques DDos et livre des conseils.

Entre l’accélération de la vitesse des données permise par la 5G, et l’utilisation accrue des IoT pour créer des botnets, les attaques DDoS, deviennent de plus en plus sophistiquées. Les organisations doivent s’y préparer dès à présent en adoptant une approche proactive de la défense pour ne pas compter parmi les prochaines victimes…

Tout au long de l’année 2019, la fréquence, l’intensité et la sophistication des attaques DDoS n’ont cessé d’augmenter. Toutefois, leur mode d’attaque n’a pas changé : il repose sur des botnets infectés et des serveurs vulnérables pour mener des attaques frontales à très grande échelle. Contrairement aux méthodes de sécurité traditionnelles, où les pirates s’appuient sur l’obfuscation pour échapper aux mesures de détection, les attaques DDoS sont distribuées et voyantes par nature, permettant aux défenseurs d’adopter une approche proactive et de se concentrer sur la source de l’attaque.

De 1997 à 2019 : une sophistication croissante des attaques DDoS

Retour sur la première attaque DDoS qui s’est produite en 1997 à Las Vegas, lors de la conférence DEF. Le coupable était le pirate Khan Smith, qui est parvenu à couper pendant plus d’une heure l’accès internet sur toute la longueur du Las Vegas Strip. La publication d’une partie de ce code a rapidement donné lieu à d’autres attaques en ligne contre Sprint, EarthLink, E-Trade et bien d’autres organisations. Plus récemment, en 2019, AWS, Telegram et Wikipedia ont été parmi les principales victimes des attaques DDoS. En septembre dernier, Wikipedia a ainsi subi ce qui semble être l’attaque DDoS la plus perturbatrice de ces dernières années. D’une efficacité telle qu’elle a rendu le site indisponible en Europe, en Afrique et au Moyen-Orient durant trois jours.

Son ampleur n’a pas été rendue publique, mais il est clair qu’il s’agissait d’une attaque volumétrique à l’ancienne, conçue pour submerger les serveurs web de l’entreprise, avec un trafic HTTP factice. Compte tenu du niveau de protection déployé de nos jours sur les sites, cette attaque a dû se mesurer en térabits par seconde, soit la mesure utilisée pour les plus grands événements DDoS sur Internet. De même, la plus grande attaque DDoS au premier trimestre de 2019 était de 587 Go/s en volume, contre 387 Go/s en volume pour la plus grande attaque du premier trimestre de 2018. Fait remarquable, les attaques supérieures à 100 Go/s ont augmenté de 967 % en 2019 par rapport à 2018, tandis que les attaques de 50 Go/s à 100 Go/s ont augmenté de 567 %. Cisco estime que le nombre d’attaques DDoS dépassant le gigabit de trafic par seconde s’élèvera à 3,1 millions d’ici 2021. 

L’amplification : point commun des attaques DDoS

Le dernier rapport du quatrième trimestre d’A10 Networks fait le constat que les attaques DDoS de grande ampleur ont un point commun : l’amplification. Les attaques à l’arme d’amplification réfléchie visent les vulnérabilités du protocole UDP, pour usurper l’adresse IP de la cible et exploiter les vulnérabilités des serveurs qui déclenchent une réponse réfléchie. Cette stratégie amplifie l’attaque en produisant des réponses serveur bien plus importantes que les requêtes initiales. Parmi les autres armes notables, citons les attaques à base de botnet DDoS qui exploitent des ordinateurs, des serveurs et des appareils IoT infectés par des logiciels malveillants qui sont sous le contrôle d’un « éleveur » de bots. Le botnet ainsi créé sert à lancer des attaques volumétriques avec et sans état, sur le réseau et la couche applicative.

Pour recueillir ces informations, les chercheurs d’A10 Networks surveillent de près les agents d’attaque sous le contrôle et la commande du botnet, et révèlent les innovations des logiciels malveillants en déployant des pièges (honeypots) et en recherchant sur Internet des sources d’amplification réfléchies exposées. Cela a permis de constater que les attaquants ont découvert une nouvelle arme d’amplification DDoS, basée sur l’IoT et exploitant des centaines de milliers d’appareils IoT reliés à Internet, en exécutant le protocole Web Services Dynamic Discovery (ou WS-Discovery) pour amplifier leurs attaques. Près de 800 000 amplificateurs réfléchis WS-Discovery prêts à être exploités ont ainsi été identifiés au cours du quatrième trimestre 2019. Moins de la moitié des hôtes WS-Discovery répondent depuis le port 3702 et le reste depuis les ports dont le numéro est plus élevé. 

2020 : se doter d’une défense solide contre les attaques DDoS

Fait intéressant, la Chine est le premier pays hôte de drones, mais le Brésil héberge les drones d’attaque les plus actifs. Le protocole SNMP est en tête des armes que nous suivons, avec 1 390 505 entrées. Le rapport identifie également les principales sources d’armes DDoS et, bien que les attaques DDoS soient distribuées, il met à jour des informations précieuses sur leur origine. On constate, par exemple, des concentrations plus élevées dans les pays où les populations connectées à Internet sont les plus denses, à savoir en Chine (739 223) et aux États-Unis (448 169). Le rapport souligne les principaux numéros de systèmes autonomes (ASN) qui hébergent des armes DDoS (Chinanet occupait la première position avec 289 601) et dévoile que les opérateurs de téléphonie mobile hébergeant des armes DDoS montaient en flèche au cours de la période considérée.

A travers ces chiffres, il est possible d’affirmer que les attaques DDoS ne feront que croitre. Les organisations doivent donc se préparer dès maintenant, avant que la prochaine attaque à grande échelle ne les frappe. Des renseignements précis sur les menaces DDoS, combinés à la détection des menaces en temps réel et à l’extraction automatisée des signatures, leur permettront de se défendre contre les attaques DDoS multivectorielles les plus massives, quelle que soit leur origine. Plus encore, ces informations leur permettront d’adopter une approche proactive de la défense, en créant des listes noires basées sur les flux actuels et précis des adresses IP des botnets DDoS, et des services vulnérables disponibles couramment utilisés pour de telles attaques. Prenez garde et prévenez les attaques sophistiquées en adoptant des mesures encore plus fortes et solides, sinon vous risquez de vous classer parmi les principales victimes des attaques DDoS en 2020.