Etude : la COVID-19 déclenche une forte recrudescence d’attaques DDoS et d’attaques par login/mot de passe. Le F5 Labs révèle des pics significatifs d’attaques et des modes d’attaques nouveaux suite aux mesures de confinement observées dans le monde.
Principaux résultats de l’étude :
- Les attaques entrent dans deux grandes catégories : les attaques par déni de service distribué (DDoS) et les attaques par login / mot de passe
- De janvier à août, 45 % des incidents signalés par le SIRT étaient liés à un déni de service distribué et 43 % étaient des attaques par login / mot de passe
- En janvier, les attaques DDoS n’ont représenté qu’un dixième des incidents signalés. En mars, elles étaient trois fois plus nombreuses que l’ensemble des incidents
- En 2019, 4,2 % des attaques DDoS signalées au SIRT F5 ont été identifiées comme visant des applications web. Ce chiffre a été multiplié par six en 2020, pour atteindre 26 %
- En 2019, 17 % de toutes les attaques DDoS signalées au SIRT ont été identifiées comme des attaques d’amplification DNS, qui usurpent les requêtes DNS pour se retourner contre une victime. Le nombre a presque doublé cette année, pour atteindre 31 %
- 67 % de toutes les attaques contre les commerçants signalées par le SIRT en 2020 étaient des attaques par mot de passe, ce qui représente une augmentation de 27 % par rapport à l’année dernière
La pandémie de COVID-19 a provoqué un pic significatif des attaques par déni de service (DDoS) et par login/mot de passe, selon une nouvelle analyse du F5 Labs. Sur la base de nouvelles données mondiales fournies par l’équipe de réponse aux incidents de sécurité (SIRT) de F5, les recherches révèlent un paysage de menaces fébrile et vulnérable sans précédent post-confinement.
“F5 Labs a passé en revue tous les incidents signalés depuis le début 2020 jusqu’au mois d’août, et il est certain que les attaquants font tout ce qu’ils peuvent pour exploiter les comportements en ligne liés à la pandémie“, explique Raymond Pompon, directeur du F5 Labs.
“Alors que la COVID-19 continue d’évoluer et d’avoir un impact économique, attendons-nous à encore plus de turbulences. La période des fêtes de fin d’année sera plus que jamais en ligne et sous le feu intense des cybercriminels. Une chose est claire : notre utilisation croissante et notre dépendance à l’égard de la technologie ont également entraîné une augmentation des tendances d’attaque déjà croissantes“.
Des confinements qui donnent naissance à de nouvelles menaces
En janvier, le nombre d’incidents signalés par le SIRT était inférieur de moitié à la moyenne des années précédentes. Avec les confinements instaurés à partir du mois de mars, le nombre d’incidents a fortement augmenté. Les chiffres ont atteint un pic en avril, trois fois supérieur à celui des années précédentes, et n’ont commencé à retomber à la normale qu’en mai et juin. En juillet, ils sont remontés à deux fois le niveau observé à la même époque en 2019.
Les attaques entrent dans deux grandes catégories : les attaques par déni de service distribué (DDoS) et les attaques par login / mot de passe. Les attaques par login / mot de passe comprennent des attaques par force brute et le credential stuffing (bourrage d’adresse). Dans les deux cas, les attaquants tentent de deviner le mot de passe.
De janvier à août, 45 % des incidents signalés par le SIRT étaient liés à un déni de service distribué et 43 % étaient des attaques par login / mot de passe. Les 12 % restants étaient des incidents liés à des infections de logiciels malveillants, des attaques web ou des attaques non classifiées.
Les pics d’attaques DDoS et les évolutions
En janvier, les attaques DDoS n’ont représenté qu’un dixième des incidents signalés. En mars, elles étaient trois fois plus nombreuses que l’ensemble des incidents.
En 2019, 4,2 % des attaques DDoS signalées au SIRT F5 ont été identifiées comme visant des applications web. Ce chiffre a été multiplié par six en 2020, pour atteindre 26 %.
Dans le même temps, les types d’attaques se diversifient de plus en plus. En 2019, 17 % de toutes les attaques DDoS signalées au SIRT ont été identifiées comme des attaques d’amplification DNS, qui usurpent les requêtes DNS pour se retourner contre une victime. Le nombre a presque doublé cette année, pour atteindre 31 %.
Les excès de requêtes DNS sont également en augmentation. Il s’agit d’un attaquant qui envoie des requêtes malveillantes qui sont délibérément malformées pour qu’un serveur DNS épuise ses ressources. 12% des attaques DDoS durant la période étudiée par le F5 Labs ont utilisé cette méthode.
Le commerce de détail est le plus touché par les attaques login / mot de passe
67 % de toutes les attaques contre les commerçants signalées par le SIRT en 2020 étaient des attaques par mot de passe, ce qui représente une augmentation de 27 % par rapport à l’année dernière.
Au cours de la même période, la moitié des incidents signalés par les fournisseurs de services ont été attribués à des attaques de login / mot de passe. Ce chiffre s’élevait à 43 % des incidents pour les clients des services financiers.
Le F5 Labs a également observé un pic des attaques d’authentification sur les API, qui ont doublé, passant de 2,6 % en 2019 à 5 % jusqu’à présent en 2020.