« Akamai observe des attaques DDoS toujours plus nombreuses au fil des trimestres et la hausse au dernier trimestre confirme cette tendance. Bien que les récentes attaques aient été, en moyenne, de moindre envergure et plus brèves, elles continuent cependant à représenter un risque significatif pour la sécurité dans le cloud », précise John Summers, Vice president, Cloud Security Business Unit, chez Akamai. « Ces attaques se sont intensifiées car il est de plus en plus facile d’accéder à des sites ’DDoS à louer’ qui identifient et détournent des services Internet exposés, comme les protocoles SSDP, NTP, DNS, CHARGEN et même Quote of the Day ».

Panorama de l’activité des attaques DDoS

Les activités DDoS sur le réseau Akamai, qui enregistraient déjà des niveaux record, ont bondi de 23 % ce trimestre avec 1 510 attaques, et de 180 % par rapport au 3ème trimestre 2014. Bien que nettement plus nombreuses, ces attaques ont été plus brèves, se caractérisant par la diminution des débits crête et du volume maximal moyens. Les méga-attaques (supérieures à 100 Gb/s) ont été plus rares : 8 ont été recensées au 3ème trimestre, contre 12 le trimestre précédent et 17 au 3ème trimestre 2014. L’attaque DDoS la plus massive au 3ème trimestre 2015 (mettant à profit le botnet XOR DDoS), mesurée à 149 Gb/s, est loin du pic de 250 Gb/s atteint au 2ème trimestre. Trois de ces 8 méga-attaques, ont ciblé le secteur des médias et des loisirs.

Si le débit était légèrement en baisse, le 3ème trimestre détient le record d’envergure des attaques, grâce à un critère de mesure différent. Une entreprise du secteur des médias et des loisirs a, en effet, été victime d’une attaque DDoS d’une ampleur inégalée, à 222 Mp/s (millions de paquets par seconde), légèrement supérieure à l’attaque record du 2ème trimestre, qui s’établissait à 214 Mp/s. Cette attaque de grande ampleur peut être comparée au volume maximal moyen des attaques DDoS observées par Akamai au 3ème trimestre, de 1,57 Mp/s. Ce volume d’attaque est capable de paralyser des routeurs de niveau 1 comme ceux utilisés par les fournisseurs d’accès Internet.

Le secteur des jeux en ligne a été particulièrement touché par les attaques DDoS et demeure une cible privilégiée depuis plus d’un an. Au 3ème trimestre, il a été visé par 50% des attaques recensées. Suivi par le secteur des logiciels et des technologies qui a subi 25 % des attaques.

Les attaques DDoS par réflexion sont plus répandues que celles par infection. Plutôt que s’employer à créer et entretenir des botnets DDoS comme par le passé, de plus en plus de hackers utilisent des équipements réseau vulnérables et des protocoles peu sûrs. Alors que les attaques DDoS par réflexion ne représentaient que 5,9 % de la totalité du trafic DDoS au 3ème trimestre 2014, ces vecteurs d’attaques sont à l’origine de 33,19 % du trafic DDoS un an plus tard.

Akamai Edge Firewall, nouvelle source de données concernant les attaques DDoS
Pour la première fois, le rapport de sécurité englobe également les attaques observées à travers la plateforme mondiale Akamai Edge Firewall. Des ensembles de données dressent un panorama complet des attaques déclenchées avec des informations sur le trafic d’attaques en provenance de plus de 200 000 serveurs équipés de la technologie Akamai.

Akamai a constaté que les 10 premières sources d’AS (systèmes autonomes), liées au trafic d’attaques, émanaient principalement de la Chine et d’autres pays asiatiques, tandis que des réflecteurs aux Etats-Unis et en Europe ont été le plus souvent mis à profit de manière distribuée.

Faits marquants des attaques DDoS

Par rapport au 3ème trimestre 2014
• Nombre total d’attaques DDoS : +179,66 %
• Attaques applicatives (couche 7) : + 25,74 %
• Attaques d’infrastructure (couches 3 et 4) : + 198,1 %
• Durée moyenne des attaques : - 15,65 % : 18,86 contre 22,36 heures
• Débit crête moyen : - 65,58 %
• Volume maximal moyen : - 88,72 %
• Attaques par réflexion : + 462,44 %
• Attaques > 100 Gb/s : - 52,94 % (8 contre 17)

Par rapport au 2ème trimestre 2015
• Nombre total d’attaques DDoS : + 22,79 %
• Attaques applicatives (couche 7) : - 42,27 %
• Attaques d’infrastructure (couches 3 et 4) : + 30,21 %
• Durée moyenne des attaques : - 8,87 % (18,86 contre 20,64 heures)
• Débit crête moyen : - 25,13 %
• Volume maximal moyen : - 42,67 %
• Attaques par réflexion : + 40,14 %
• Attaques > 100 Gb/s : - 33,33 % (8 contre 12)

Activité des attaques applicatives web

Si, au 2ème trimestre, la vulnérabilité Shellshock a dominé les attaques applicatives web en utilisant le protocole HTTPS, ce ne fut pas le cas au 3ème trimestre. Par conséquent, la proportion d’attaques applicatives web menées sur HTTP par rapport à HTTPS est revenue à un niveau plus habituel (88 % via HTTP, 12 % via HTTPS). Les attaques applicatives web via HTTPS risquent de s’intensifier alors que davantage de sites adoptent le trafic TLS comme couche de sécurité standard. Des pirates peuvent également se servir du protocole HTTPS pour pénétrer des bases de données back-end, le plus souvent accessibles à partir d’applications exploitant HTTPS.

À l’instar des trimestres précédents, les attaques de type LFI (inclusion de fichier local) et par injection SQL (SQLi) étaient les principaux vecteurs d’attaques applicatives web. Le secteur de la distribution a été le plus durement touché, ciblé par 55 % des attaques applicatives web - le secteur des services financiers arrivant loin derrière, avec 15 % des attaques. La plupart des attaques applicatives web se sont appuyées sur des botnets détournant des routeurs et équipements domestiques non sécurisés.

Le 3ème trimestre se caractérise également par une augmentation des tentatives d’attaques ciblant les modules externes WordPress - non seulement les plus répandus mais également les composants vulnérables moins connus.

Au 3ème trimestre 2015, les attaques applicatives web émanait principalement des États-Unis ; à l’origine de 59 % du trafic d’attaques, ce pays a également été la cible de 75 % des attaques. Les trois premières sources d’AS utilisées lors des attaques, étaient associées à des serveurs privés virtuels (VPS) détenus par des prestataires cloud renommés aux États-Unis. Par manque de sécurisation, de nombreux serveurs virtuels en mode cloud, déployés au quotidien, sont compromis et exploités dans un botnet ou sur toute autre plate-forme d’attaques.

Le scraping de sites web

Un scraper est un modèle particulier de bot ayant pour objectif d’extraire des données à partir de sites web ciblés, de les stocker, de les analyser, puis de les commercialiser ou de les exploiter. Un scraper standard est par exemple, un moteur de recherche. Entrent également dans cette catégorie les comparateurs de prix et les services d’analyse et de référencement. Le rapport de sécurité aborde ce sujet et propose un moyen simple d’identifier ces scrapers.

Faits marquant des attaques applicatives web

Par rapport au 2ème trimestre 2015
• Attaques applicatives web sur HTTP : + 96,36 %
• Attaques applicatives web sur HTTPS : - 79,02 %
• Attaques SQLi : + 21,64 %
• Attaques LFI : + 204,73 %
• Attaques RFI : + 57,55 %
• Attaques PHPi : + 238,98 %