Pour répondre à cette explosion de la demande, les opérateurs mobiles ont massivement investi dans leur infrastructure réseau (passant de la 3G à LTE), en mettant l’accent sur la création et l’amélioration des services pour les utilisateurs. Ils interviennent en effet sur un marché en proie à une forte concurrence, où la différenciation des services et la satisfaction des clients jouent un rôle clé dans la fidélisation de ces derniers et le revenu moyen par abonné.

Malheureusement, le niveau de sécurité des réseaux mobiles n’a pas suivi la croissance des réseaux de données eux-mêmes. A quelques notables exceptions près, de nombreux opérateurs mobiles/WiFi paraissent en être encore, en matière de sécurité, approximativement là où se trouvaient les opérateurs de réseaux fixes il y a huit ou dix ans. Les pirates recherchent des failles pour attaquer les infrastructures des operateurs proprement dites ou les applications et les données de leurs clients. Il manque aux opérateurs mobiles à la fois la capacité de repérer le trafic malveillant sur leurs réseaux et celle d’y remédier. Ils sont aux prises avec un nombre illimité de botnets bénéficiant d’une bande passante sans cesse croissante, de la vulnérabilité de l’infrastructure elle-même et de la rareté des points de contrôle sur le réseau. Du point de vue de la sécurité, l’explosion des volumes de données sur les réseaux mobiles change également la donne.

Selon notre étude annuelle les FAI qui affichent la plus forte croissance : les opérateurs mobiles et WiFi semblent donc être les moins bien préparés, en termes de visibilité et de maîtrise du réseau, à se défendre, ainsi que leurs clients, contre les attaques.

• Près de 60% des responsables que nous avons interrogés indiquent n’avoir aujourd’hui que peu de visibilité, voire aucune, sur le trafic réseau « paquets » radio.

• 46% d’entre eux déclarent avoir connu, pendant la durée de l’enquête, des pannes affectant les clients et imputables à des incidents de sécurité sur leur réseau. Le manque de visibilité évoqué ci-dessus donne à penser que ce chiffre est sous-estimé.

En un sens, les opérateurs mobiles sont devenus des FAI « par accident ». En l’espace de quelques années, ils ont investi et transformé leur activité d’opérateurs de téléphonie en celle de fournisseurs de services de données et de vidéo mobiles. Or l’élément le plus fondamental à la base de ces investissements est précisément la disponibilité des réseaux et des services eux-mêmes. A mesure que ceux-ci sont de plus en plus axés sur les données et que s’effectue une migration vers des réseaux « tout IP », les opérateurs mobiles se muent en opérateurs intégrés fournissant de plus en plus de services internet. Les menaces de sécurité principales pour la disponibilité des serveurs sont les attaques par déni de service distribué (DDoS) et les opérateurs mobiles en sont de plus en plus souvent victimes.

Néanmoins, les environnements de colocation tels que les centres de données Internet sont la cible de prédilection des attaques DDoS en raison des dommages collatéraux qui peuvent être causés à des clients multiples. En outre, les attaques DDoS évoluent rapidement : auparavant volumétriques, cherchant simplement à inonder la connexion de données - elles gagnent à présent en complexité en passant à la couche application afin de cibler des services spécifiques. Ne consommant pas beaucoup de bande passante et donc difficiles à identifier, les attaques DDoS des couches applicatives menacent une multitude de services. Un nombre non négligeable d’opérateurs mobiles signalent avoir enregistré des attaques DDoS applicatives visant les éléments de support de leur infrastructure (serveurs DNS, de portail Web, SMTP, Diameter, voire tunnels GTP et passerelles SMS).

• 56% des responsables consultés indiquent que leur infrastructure de support (portails Web, DNS et autres services associés) a souffert d’attaques DDoS au cours des 12 mois sur lesquels a porté l’enquête.

• 44% rapportent que les téléphones mobiles ou les ordinateurs de leurs abonnés dotés d’une connexion 3G ont été victimes d’attaques DDoS.

• 50% déclarent avoir observé des attaques DDoS sortantes ou croisées provenant de postes infectés de leurs abonnés. Le manque de visibilité évoqué plus haut laisse penser que cette statistique pourrait elle aussi être sous-estimée.

• 22% signalent que des pare-feu (firewalls) et/ou équipements NAT de type « stateful » sur leurs réseaux ont été la cible d’attaques DDoS durant cette période.