Les principales tendances

Le nombre d’attaques DDoS ne cesse de croître de trimestre en trimestre. On a ainsi constaté une hausse de 22 % entre les deuxièmes trimestres 2013 et 2014. Outre ce volume croissant des attaques, on constate une explosion de leur puissance, leur taille moyenne ayant augmenté de 291 % si l’on compare les deuxièmes trimestres de 2013 et de 2014. La presse elle-même a fait mention de DDoS records qui ont touché certaines entreprises en 2014 : CloudFlare (400 Gbit/s), OVH (350 Gbit/s), Spamhaus (300 Gbit/s), etc. Autre tendance majeure, les DDoS deviennent de plus en plus complexes, les attaquants n’hésitant pas à exploiter plusieurs vecteurs (hybride, multicanal, etc.) dans 64 % des cas.

Et du coté des cibles ?

En France ce sont 43 % des entreprises de plus de 1 000 salariés qui ont déjà été touchées par une attaque DDoS. 78 % de ces entreprises subissent généralement une ou plusieurs autres attaques dans l’année. Aucune entreprise n’est épargnée même si 73 % des attaques se concentrent sur les secteurs médias et divertissements, sociétés de services, services financiers et enseignes de distribution.

« Les attaques DDoS sont aujourd’hui devenue monnaie courante et nombre d’entreprises en ont déjà fait l’expérience », commente Laurent Pétroque, Responsable avant-ventes de F5 Networks. « Les DDoS se complexifient, gagnent en intelligence, afin de pouvoir contourner les solutions qui se concentrent sur certains types d’attaques. Une attaque peut être puissante, longue, intelligente et se répéter, les entreprises doivent prendre en compte tous ces facteurs pour optimiser leur protection et pouvoir garantir la continuité de leurs activités. »

Motivations et portrait robot des attaquants

Il existe désormais de nombreux profils derrière les attaques DDoS. On y retrouve bien sûr des cybercriminels auxquels sont venus s’ajouter des hacktivistes, des Etats, des concurrents et des auto-justiciers. Les motivations et/ou les objectifs à l’origine d’une attaque DDoS sont également variés : nuire à l’activité d’une entreprise, chantage financier, déstabilisation politique, espionnage, démonstration de force, besoin de reconnaissance, ou tout simplement faire passer un message.

Et c’est pas fini !

Comme expliqué en préambule, le nombre d’attaques DDoS devraient continuer à croître au cours des prochaines années. Et il y a plusieurs raisons à cela :
1. La croissance exponentielle du nombre d’utilisateurs : beaucoup des nouveaux utilisateurs des pays en voie de développement qui accèdent à Internet et ne sont pas suffisamment éduqués aux problématiques de sécurité. Des cibles idéales pour créer des botnets.
2. Certaines technologies militaires, commerciales ou open source sont de plus en plus détournées et mises à profit par les attaquants. Ex : Low Orbi Ion Cannon (LOIC) a été conçu comme outil open source de test de charge de réseaux qui a ensuite été adopté pour devenir une application d’attaque DDoS. LOIC a été utilisé pour attaquer l’Eglise de Scientologie, le Department of Justice (DoJ) des USA et plusieurs banques.
3. L’atténuation des attaques complexes - comme les solutions d’atténuation sont de plus en plus couramment utilisées, les cyberattaquants travaillent désormais aux moyens de les contourner. La question n’est plus forcément de savoir qui possède le plus gros botnet mais qui possède le plus intelligent et le plus avancé techniquement.
4. La migration vers IPv6 ne résoudra pas les problèmes - IPv6 est vu comme un protocole internet plus sécurisé alors que ce n’est pas tout à fait le cas. La couche 3 a été ignorée dans la conception du protocole et constituera l’une de couches utilisées pour les attaques DDoS. De plus IPv6 offre davantage d’adresses IP et donc d’opportunités pour bâtir une attaque de type spoofing.
5. L’internet des objets - D’après ABI Research plus de 30 millions d’appareils seront connectés à l’internet des objets d’ici 2020. La plupart de ces objets (frigos, TV, autos, thermostats, montres et objets à porter, etc.) ne prendront pas forcément en compte l’aspect sécurité et n’offriront pas tous des possibilités de sécurisation ou la possibilité de les désinfecter, d’installer un antivirus ou autres solutions utilisées par un PC. Plus de la moitié du trafic IP sera généré par des objets autres que des PC d’ici 2017 (contre 26 % en 2012). Cela en fait des outils de choix pour les attaquants.
6. Une dépendance accrue à Internet qui accroît les risques : communication, finance, télévision, système de santé, internet des objets… Comme de plus en plus d’éléments de notre vie dépendent d’une connexion, cela nous garantit que les attaques feront partie intégrante du quotidien dans quelque temps.
7. De nouvelles cibles : les connexions internet de l’entreprise. Au-delà d’attaquer des sites Web et des services, il y a un tout nouveau vecteur d’attaque inexploré : les connexions internet de bureau. Elles sont généralement de faible puissance, protégées par des dispositifs sujets à des attaques DDoS et sont souvent oubliées jusqu’à ce qu’elles cessent de fonctionner.
8. API, CDN, et services Cloud : le logiciel reste encore une cible compliquée. D’après Cisco, les réseaux CDN (Content Delivery Networks) transporteront plus de la moitié du trafic internet mondial d’ici 2017. Ces réseaux sont conçus pour pousser de nombreux paquets rapidement dans une direction et certains DDoS pourraient paralyser ces services si l’attaque vise le bon endroit sur le CDN.
9. Les dépendances au Cloud : un service pourrait en faire basculer beaucoup !

Quelques conseils pour faire face à un DDoS

Pour les néophytes, une attaque par déni de service distribué représente une expérience éprouvante, voire effrayante. Pourtant, il existe quelques conseils qui peuvent être mis en place :

• Etre en mesure de lutter contre les attaques DDoS au niveau matériel et applicatif
• Pouvoir assurer face à des attaques massives, durables et répétitives
• Savoir identifier et contrer le maximum de vecteurs d’attaque et pouvoir assurer en cas d’attaques hybrides utilisant plusieurs vecteurs
• Etre capable d’assurer un service minimum tout en contrant une attaque DDoS (maintien de l’activité)
• Avoir une équipe prête, des processus de réponse en cas d’attaques que ce soit au niveau technique mais également en termes de communication (interne et externe).

« Si une entreprise n’as pas encore été victime d’une attaque DDoS aujourd’hui, les raisons ne manquent pas pour la convaincre que ce n’est qu’une question de temps, avant qu’elle ne soit prise pour cible », conclut Laurent Pétroque. « Le combat n’en est pas pour autant perdu d’avance et il existe des moyens techniques et humains pour se prémunir et gérer la situation en cas d’attaques DDoS. Le tout est de savoir s’y prendre à temps et de bénéficier des bonnes solutions. »