Rapport sur le paysage des menaces DDoS pour 2015-2016

1
135

Du 1er avril 2015 au 31 mars 2016, Imperva Incapsula a neutralisé en moyenne 445 attaques DDoS par semaine ciblant ses clients. Sur cette période, le nombre d’attaques tant au niveau de la couche réseau que de la couche application a doublé en l’espace d’un an.

Augmentation du nombre et de la fréquence des attaques DDoS

Les attaques applicatives sont restées majoritaires (60 %). Cependant, à y regarder de plus près, leur proportion est en baisse, de plus de 5 % d’une année sur l’autre. Si cette tendance se confirme, les attaques au niveau de la couche réseau pourraient devenir aussi courantes que leurs homologues applicatives d’ici à 2018.

ddos_semaines
Figure 1 – Nombre moyen d’attaques DDoS par semaine

La tendance à la hausse des attaques DDoS s’explique par :

  • une recrudescence de l’utilisation des services DDoS à louer (« stressers » ou « booters »), dont le nombre est passé de 63,8 % au T2 2015 à 93 % au T1 2016 ;
  • des tactiques de frappe éclair, consistant à exécuter une même attaque en plusieurs vagues d’assauts consécutives. 

Il est à noter que plus de 40 % des cibles ont essuyé plusieurs attaques, tandis que 16 % ont été visées à plus de cinq reprises.

intervalles-ddos
Figure 2 – Intervalle des attaques DDoS

L’examen des données sur les quatre trimestres révèle une multiplication des attaques récurrentes, dont la proportion est passée de 29,4 % au T3 2015 à 49,9 % au T1 2016. Cela montre la ténacité des auteurs d’attaques DDoS, dont bon nombre persistent à tenter de « faire tomber » une cible même après de multiples échecs.

Augmentation de l’ampleur et de la complexité des attaques sur la couche réseau

ampleur-ddos
Figure 3 – Pics d’attaque sur la couche réseau

Au cours des 12 derniers mois, Incapsula a neutralisé plusieurs attaques dépassant 200 Gbit/s, au point que celles-ci deviennent quasiment régulières. Un nouveau sommet a été atteint au deuxième trimestre lorsque nous avons protégé un client contre une attaque multivecteur à 470 Gbit/s, la plus violente que nous ayons observée à ce jour. Ses caractéristiques fournissent une intéressante étude de cas concernant la complexité croissante des attaques DDoS sur la couche réseau.

Cet exemple montre comment les auteurs des attaques se sont mis à utiliser des charges (paquets réseau) de moindre taille afin d’augmenter à la fois le taux de transmission des paquets et le débit. En utilisant des taux de paquets élevés, ils tentent d’exploiter un défaut de conception des actuelles appliances de neutralisation, dont la majorité ne peuvent en effet traiter autant de millions de paquets par seconde (Mpps).

Il est alarmant que les attaques de ce type deviennent de plus en plus répandues. Au T1 2016, nous avons neutralisé une attaque dépassant 80 Mpps tous les huit jours. Un certain nombre d’entre elles ont même franchi les 100 Mpps, pour culminer à 300 Mpps.

debits_ddos
Figure 4 – Une nouvelle menace : des attaques à haut débit culminant à 300 Mpps

Des attaques applicatives ciblant les solutions de neutralisation

A l’instar des attaques à fort débit de paquets mentionnées plus haut, l’an dernier a connu divers exemples de nouvelles attaques applicatives conçues pour court-circuiter les solutions de neutralisation DDoS.

Un cas remarquable porte sur une attaque de type flood HTTP exécutée de manière originale, durant laquelle la cible a été bombardée de requêtes (upload) POST de taille anormalement élevée. L’attaque exploitait un point faible d’une installation de neutralisation DDoS hybride, ce qui souligne à quel point certains assaillants maîtrisent désormais le fonctionnement interne des solutions anti-DDoS.

Cette tendance se traduit également par l’emploi accru de robots d’attaque avancés présentant des caractéristiques semblables aux navigateurs, notamment la faculté de conserver des cookies et d’interpréter du code JavaScript (JS).

En moyenne, nos relevés font apparaître que 24 % des robots DDoS ont été à l’origine d’attaques avancées, capables de contourner au moins des tests de sécurité rudimentaires. Au T1 2016, leur proportion a atteint le niveau record de 36,6 %.

ddos-bots
Figure 5 – Capacités des robots DDoS

Téléchargez le rapport complet pour en savoir plus sur les autres tendances en matière d’attaques, notamment :

  • l’effet des services de botnets à louer sur l’écosystème DDoS,
  • une recrudescence des attaques DDoS ciblant des entreprises britanniques,
  • les dernières statistiques sur la durée des attaques DDoS,
  • les botnets DDoS les plus utilisés,
  • les raisons du pic d’activité DDoS émanant de Corée du Sud,
  • etc.

Proofpoint, Imperva et Tenable seront présents aux Assises de la Sécurité et des systèmes d’information à Monaco.

Proofpoint y présentera les dernières fonctionnalités de ses solutions de protection dont “Email Fraud Protection (EFP)”, l’activité récemment acquise à Return Path, assurant une authentification reposant sur le standard DMARC.
Ce sera également l’occasion pour Proofpoint de commenter les résultats de sa dernière étude consacrée à la fraude aux marques sur les réseaux sociaux, le Brand Fraud Report (voir PJ).

Imperva quant à lui présentera la refonte de son programme partenaires, PartnerSphere Imperva, une initiative destinée à aider plus de 250 partenaires mondiaux à développer une activité différenciée et commentera les résultats de son dernier rapport sur le paysage des menaces DDoS pour 2015-2016 (voir PJ).

Tenable enfin dont ce sera la première participation aux Assises, présentera sa solution Security Center CV, une plate-forme de sécurité réseau. Et co-animera un atelier le 6 octobre sur le thème « Transition numérique et transformation de la DSI » avec le témoignage de Safran.

Les commentaires sont fermés.