Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Akamai PLXsert publie son rapport « Etat des lieux de la sécurité sur internet » du 1er trimestre 2015

mai 2015 par Akamai

Akamai Technologies, Inc. annonce la publication du rapport « Etat des lieux de la sécurité sur internet » du 1er trimestre 2015 sur les attaques DDoS. Produit par le PLXsert (Prolexic Security Engineering and Research Team), aujourd’hui rattaché à Akamai, qui rassemble des experts des services et stratégies de protection contre les attaques DDoS et de sécurisation cloud, il livre une analyse trimestriel et un éclairage sur les cyber-menaces qui pèsent sur la sécurité cloud à l’échelle mondiale. Le rapport est téléchargeable sur www.stateoftheinternet.com/security-report.

« Dans ce rapport du 1er trimestre 2015, nous avons analysé les milliers d’attaques DDoS observées sur le réseau PLXrouted, ainsi que les déclencheurs d’attaques applicatives web sur le réseau Akamai Edge qui se comptent pratiquement en millions. À partir de ces données et des rapports détaillées de nos équipes de recherche en sécurité, nous sommes en mesure de fournir une vue d’ensemble de l’Internet et des attaques qui se produisent au quotidien », indique John Summers, vice-président du pôle Sécurité cloud chez Akamai. « Ce rapport de sécurité est le plus complet et le meilleur jamais établi par nos soins à ce jour. Il livre une analyse approfondie des attaques DDoS, et définit un cadre de référence pour les déclencheurs d’attaques applicatives web, ce qui nous permettra d’analyser sur les grandes tendances d’attaques sur les couches réseau et applicatives, dans nos prochains rapports. »

Montée en puissance des attaques DDoS

Le 1 er trimestre 2015 a battu le record du nombre d’attaques DDoS observées sur le réseau PLXrouted : plus du double par rapport au 1er trimestre 2014, et une progression de plus de 35 % comparé au dernier trimestre 2014. Cependant le profil des attaques a évolué. Si, l’an dernier, les attaques à très haut débit et de courte durée étaient la norme, au 1er trimestre 2015, l’attaque DDoS type était inférieure à 10 Gb/s (gigabits par seconde) et a duré plus de 24 heures. Huit méga-attaques se sont produites au 1er trimestre, dépassant chacune les 100 Gb/s. Même si le 4ème trimestre 2014 avait enregistré une méga-attaque de plus, force est de constater que des attaques de cette ampleur demeuraient rares il y a encore un an. Le débit crête de l’attaque DDoS la plus massive observée au 1er trimestre 2015 était de 170 Gb/s.

Depuis un an, les vecteurs d’attaques DDoS ont également changé. Ce trimestre, les attaques SSDP (Simple Service Discovery Protocol) représentaient plus de 20 % d’entre eux, alors qu’aucune attaque de ce type n’avait été observée au cours des 1er et 2ème trimestres 2014. Le protocole SSDP est activé par défaut sur plusieurs millions d’équipements électroniques de loisir et bureautiques - routeurs, serveurs multimédia, webcams, TV connectées et imprimantes, notamment - pour assurer leur découverte en réseau, établir des communications et coordonner des activités. Laissés sans surveillance et/ou mal configurés, ces équipements connectés à Internet via un réseau domestique peuvent être exploités comme réflecteurs.

Au cours du 1er trimestre 2015, les attaques DDoS dirigées contre le secteur des jeux en ligne ont à nouveau été plus nombreuses que partout ailleurs. Cible privilégiée depuis le 2ème trimestre 2014, ce secteur est systématiquement visé par 35 % des attaques DDoS. Le secteur des logiciels et des technologies, qui concentre 25 % des attaques, arrive en deuxième position

Quelques faits et chiffres marquants :

Par rapport au 1er trimestre 2014
 Nombre total d’attaques DDoS : + 116,5 %
 Attaques applicatives (couche 7) : + 59,83 %
 Attaques d’infrastructure (couches 3 et 4) : + 124,69 %
 Durée moyenne des attaques : +42,8 % (24,82 contre 17,38 heures)

Par rapport au 4ème trimestre 2014
 Nombre total d’attaques DDoS : + 35,24 %
 Attaques applicatives (couche 7) : + 22,22 %
 Attaques d’infrastructure (couches 3 et 4) : + 36,74 %
 Durée moyenne des attaques : - 15,37 % (24,82 contre 29,33 heures)

Gros plan sur les sept vecteurs d’attaques applicatives web les plus courants

Dans son rapport du 1er trimestre 2015, Akamai a construit son analyse sur sept vecteurs d’attaques, qui sont à l’origine de 178,85 millions d’attaques applicatives web observées sur le réseau Akamai Edge. Ces vecteurs les plus courants incluent l’injection SQL (SQLi), l’inclusion de fichier local (LFI), l’inclusion de fichier distant (RFI), l’injection PHP (PHPi), l’injection de commandes (CMDi), l’injection OGNL Java (JAVAi) et le chargement de fichier malveillant (MFU).1
Au cours du 1er trimestre 2015, plus de 66 % des attaques applicatives web ont été attribuées à des attaques de type LFI. Ce phénomène a été alimenté par une campagne massive dirigée contre deux géants de la grande distribution en mars, ciblant le module externe WordPress RevSlider.
Les attaques par SQLi ont également été relativement fréquentes, représentant plus de 29 % des attaques applicatives web. Elles correspondaient, pour la plupart, aux campagnes d’attaques dirigées contre deux acteurs présents dans le secteur du tourisme et de l’hôtellerie. Les cinq autres vecteurs d’attaques se sont partagé les 5 % restants.
Le secteur du commerce et de la grande distribution a donc été le plus durement touché par les attaques applicatives web, suivi par les secteurs des médias et des loisirs puis du tourisme et de l’hôtellerie.

La menace croissante des sites booter/stresser

Etant donné la simplicité d’emploi des vecteurs d’attaques proposés sur le marché « DDoS à louer », il est tentant de ne pas prendre au sérieux l’efficacité des pirates qui les utilisent. Il y a un an, les pics du trafic d’attaques utilisant ces tactiques, à partir de sites booter/stresser, étaient de l’ordre de 10 à 20 Gb/s. Mais ces sites sont aujourd’hui devenus plus dangereux, puisqu’ils sont capables de lancer des attaques à plus de 100 Gb/s. Compte tenu des nouvelles méthodes d’attaques par réflexion, telles que SSDP, qui ne cessent de voir le jour, les dommages potentiels induits risquent de s’intensifier avec le temps.

L’adoption IPv6 engendre de nouveaux risques de sécurité

Si les attaques DDoS IPv6 ne sont pas encore monnaie courante, certains indices donnent à penser que des acteurs malveillants ont d’ores et déjà commencé à les tester et à les explorer. De nouveaux risques et enjeux associés à la transition vers IPv6 pèsent d’ores et déjà sur les prestataires cloud ainsi que les propriétaires de réseaux d’entreprise et domestiques. Nombre d’attaques DDoS IPv4 peuvent être reproduites au moyen de protocoles IPv6, et de nouveaux vecteurs d’attaques sont directement liés à l’architecture IPv6. Plusieurs fonctionnalités IPv6 pourraient permettre aux pirates de court-circuiter les protections IPv4, créant ainsi un champ d’attaques DDoS plus étendu, voire plus efficace. Le rapport de sécurité du 1er trimestre expose certains des risques et enjeux futurs.

Les attaques par injection SQL vont au-delà du vol de données

Si les attaques par injection SQL sont avérées depuis 1998, leur utilisation s’est diversifiée. Ces requêtes malveillantes peuvent largement dépasser la simple exfiltration de données et sont susceptibles de causer bien plus de dégâts qu’une fuite de données. Les attaques en question peuvent servir à élever des privilèges, exécuter des commandes, contaminer ou corrompre des données, rejeter un service, etc. Les chercheurs d’Akamai ont analysé plus de 8 millions d’attaques par injection SQL au 1er trimestre 2015 afin de mettre en évidence les méthodes et objectifs les plus fréquents.

Dégradation/vandalisme de sites web et détournement de domaine

Plusieurs centaines de spécialistes de l’hébergement web proposent leurs prestations pour quelques dollars par mois, hébergeant bien souvent, dans ce cas, plusieurs comptes sur le même serveur. Des centaines de domaines et de sites peuvent alors s’exécuter sous la même adresse IP côté serveur, et éventuellement permettre à des acteurs malveillants de détourner plusieurs sites web simultanément. À partir du moment où un site est ainsi exposé, un acteur malveillant peut potentiellement s’introduire dans les répertoires du serveur, et s’approprier au passage les listes de noms d’utilisateurs et mots de passe, pour accéder aux fichiers d’autres comptes clients. Cela concerne également les identifiants de base de données de ce site web. Munis de ces informations, les pirates pourraient être en mesure de modifier les fichiers de chacun des sites hébergés sur le serveur. Le rapport de sécurité du 1er trimestre expose en détail cette vulnérabilité et préconise certaines mesures défensives.


Voir les articles précédents

    

Voir les articles suivants