Il existe de nombreuses statistiques sur l’origine des attaques informatiques, et en particulier des attaques en déni de service distribué (DDoS) dans le monde. Ces statistiques classent régulièrement les pays en fonction du nombre d’attaques qui en émanent. La Figure 1 montre un exemple de ce type de statistique. Nous allons montrer que ces informations en elles-mêmes ne sont pas forcément significatives.

En effet, si on observe la répartition des machines dans le monde connectées à internet, on se rend compte qu’on obtient à peu près le même type de graphique que pour celui des attaques. (Le nombre de "machines" pris en compte concerne l’usage Internet : il comprend l’ensemble des souscriptions "fixes" à Internet (>256kb/s) pour chaque pays.)

Plus un pays a de machines connectées à Internet, plus il a de machines susceptibles d’être infectées par un malware, et donc, de faire partie d’un « botnet » et d’apparaître ainsi comme impliquées dans des attaques DDoS.
Il n’est donc pas révolutionnaire de stigmatiser certains pays particulièrement impliqués dans des attaques, dans la mesure où il s’agit aussi des pays ayant le plus de machine connectées. C’est le cas par exemple de la Chine, des USA, ou du Japon.

Il est par contre intéressant d’observer des pays pour lesquels le ratio est inversé par rapport à la tendance globale, à savoir les pays qui sont globalement « surreprésentés » dans leur contribution aux attaques DDoS en regard de leur poids dans le nombre de machines connectées à internet.
Comme on peut le voir dans la Figure 2, il s’agit par exemple du Mexique, du Brésil, de l’Inde, de la Thaïlande, de la Turquie.

Cela s’explique par la conjonction de deux facteurs :

• tout d’abord, ces pays ont connu une croissance importante du nombre d’accès à internet, due notamment à la démocratisation des usages informatiques et à une croissance économique forte ;

• d’autre part, cela ne s’est pas accompagné d’une augmentation aussi rapide du degré de maturité en termes de sécurité informatique, contrairement à des pays ayant une plus grande antériorité dans le domaine de l’accès à internet et de la mise en ligne de services.

De nombreuses machines dans ces pays se font donc régulièrement infecter car elles se révèlent mal, peu ou pas protégées du tout, et sont alors souvent impliquées dans des attaques DDoS.

Afin de mieux mettre en évidence ce phénomène, nous proposons une nouvelle métrique, c’est-à-dire ne plus mesurer le nombre de bots impliqués dans des attaques DDoS, mais plutôt la virulence d’un pays par rapport aux attaques DDoS.

Considérant une source d’attaques donnée, nous allons combiner d’une part la variabilité des attaques, à savoir le nombre d’attaques distinctes (i.e. utilisant une technique d’attaque différente) menées au cours de la période de référence ; et d’autre part la fugacité des sources, à savoir le nombre d’événements (attaques) dans lesquels chaque source est impliquée sur la même période.
Il est en effet très facile de se protéger de sources que l’on voit souvent et qui effectuent toujours le même type d’attaque (par exemple en les bannissant du trafic accepté). Si, en revanche, on doit faire face à des sources fugaces et capables de réaliser des attaques présentant des formes très variables, il devient plus difficile de s’en protéger, et la virulence de ces sources sera donc plus forte.

Le classement obtenu ainsi est complètement différent.
On y voit apparaître des pays déjà cités précédemment, avec un niveau de virulence supérieur à la moyenne mondiale. Ce classement permet également de visualiser des origines bien moins connues.

Selon cette nouvelle métrique, l’ordre des choses et les idées reçues sont un peu bousculés, les pays mis en évidence par ce nouveau classement ne sont plus tout à fait les mêmes, ni forcément ceux auxquels on s’attendait …

*Ce rapport a été établi sur la base de l’exploitation des produits 6cure, sur la période septembre 2013 - août 2014 (12 mois), dans le contexte opérationnel quotidien de ses clients, ainsi que de ses propres infrastructures de surveillance de l’activité malicieuse sur Internet.

Les données ainsi collectées ont été préalablement anonymisées, dans le souci de préserver les engagements pris par 6cure en termes de confidentialité auprès de ses clients et partenaires.