Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport Imperva Incapsula sur le paysage des menaces DDoS au 4ème trimestre 2015

février 2016 par Imperva

Le dernier rapport Imperva en date sur le paysage des menaces DDoS détaille les évolutions des schémas d’attaque pendant les derniers mois de 2015. Ce rapport a été établi à partir des données concernant 3997 attaques DDoS au niveau de la couche réseau et 5443 attaques applicatives, toutes neutralisées par Imperva Incapsula Services entre le 1er octobre et le 29 novembre, désigné comme Q4 ou quatrième trimestre. Ces informations permettent d’anticiper les menaces DDoS auxquelles les entreprises risquent d’être confrontées en 2016, tout en annonçant les changements dans les approches du secteur de la sécurité en matière de neutralisation DDoS.

Faits marquants

- Les attaques sur la couche réseau sont en hausse de 25,3 % par rapport au trimestre précédent (calcul prenant en compte l’augmentation de la base d’utilisateurs d’Incapsula). Cette progression vient s’ajouter au bond de 108,5 % relevé au trimestre précédent.

- La plus forte attaque sur la couche réseau a culminé à 325 Gbit/s et 115 millions de paquets par seconde, ce qui en fait une des plus grosses attaques DDoS à ce jour.

- 75,6 % des attaques utilisaient un seul vecteur et 82,9 % ont duré moins de 30 minutes. Cela dénote une recrudescence de l’activité des services DDoS à louer, connus pour leurs attaques brèves et monovectorielles.

Cela résulte également d’une évolution du modus operandi des assaillants, qui privilégient les attaques en rafales lancées en l’espace de quelques heures pour mener une guerre d’usure.

- On observe une augmentation du nombre des attaques à fort débit de paquets (par exemple de type SYN et TCP Flood). Ces assauts obligent les opérateurs à penser en termes de capacité de traitement (millions de paquets par seconde), plutôt que de bande passante réseau (Gbit/s), lorsqu’ils considèrent les points faibles de leurs infrastructures.

- La plus longue attaque applicative dure depuis 101 jours (et est toujours en cours). Il est intéressant de noter que sa cible est une entreprise de restauration américaine relativement modeste.

Cela nous rappelle que les attaques DDoS sont un problème commun qui touche l’ensemble de l’écosystème d’Internet. Cela montre également combien il est facile de mener une attaque applicative soutenue de grande ampleur : il suffit de quelques équipements infectés pour générer le trafic nécessaire afin de paralyser un site Web de taille moyenne pendant une durée prolongée.

- En termes de fréquence, le dernier trimestre a été marqué par une proportion plus élevée d’attaques récurrentes (+15,3 %). En particulier, le nombre des cibles visées plus de 10 fois a plus que doublé, passant de 5,3 % à 10,7 %.

- Comme lors des trimestres précédents, les sites Web américains ont attiré le plus gros des attaques DDoS au 4ème trimestre 2015, en étant la cible de 47,6 % de l’ensemble du trafic des botnets.

Ce trimestre, ils sont suivis des sites britanniques et japonais, les uns comme les autres étant nettement plus visés par des attaques DDoS qu’au trimestre précédent : leur proportion est passée respectivement de 2,5 % à 23,2 % et de 1,2 % à 8,6 %.

- Du côté des assaillants, la Chine, la Corée du Sud, les Etats-Unis et le Vietnam demeurent en tête de liste, des variantes des malwares Nitol (33,3 %), PCRat (32,8 %) et Dirtjumper (5,3 %) étant les plus couramment utilisées pour les attaques.

- 3,7 % des attaques applicatives ont été rendues possibles par une faille connue dans le plugin Joomla ! pour Google Maps. Cette vulnérabilité a permis aux assaillants d’utiliser le serveur hôte comme proxy pour des attaques par déni de service, injection XML, Cross Site Scripting et Full Path Disclosure.

Le plugin a été corrigé depuis longtemps afin de colmater cette faille. Cependant, le nombre élevé des attaques nous donne à penser que de nombreux sites Web continuent d’en utiliser une ancienne version vulnérable.

En examinant les schémas d’attaque observés au second semestre 2015, Imperva constate une augmentation du nombre de brefs assauts récurrents servant à mener une guerre d’usure contre des services de protection DDoS à la demande.

Le but est de forcer la cible à réactiver constamment ses solutions de neutralisation, jusqu’au point où le remède devient pire que le mal. De toute évidence, pour contrer ce type de tactique, il faut une solution pouvant être déployée rapidement et de manière transparente, mettant l’accent sur un délai de neutralisation quasi instantané, ce que les fournisseurs de protections DDoS peinent souvent à proposer.

En outre, en 2016, Imperva s’attend à voir encore plus d’attaques à haut débit. Celles-ci nécessiteront des solutions capables de traiter à la fois un grand nombre de paquets et de gigabits par seconde, ce qui n’est pas le cas de nombreuses solutions de neutralisation.

Il est intéressant de noter que ces deux tendances sont liées à une évolution du secteur de la neutralisation, qui affiche régulièrement sa capacité à faire face aux menaces DDoS classiques, de longue durée et de grande ampleur, tout au long de l’année.

A présent, cette porte étant fermée, les assaillants sont contraints de sortir du « sentier battu des 100 Gbit/s » et de rechercher de nouveaux points faibles dans le périmètre de sécurité.

Dans le jeu du chat et de la souris que constitue la cybersécurité, c’est une fois encore au tour de la souris d’innover.




Voir les articles précédents

    

Voir les articles suivants