Akamai Technologies présente son rapport sur l’Etat de la Sécurité Internet portant sur le quatrième trimestre 2015. Ce rapport inclut des analyses et une mise en perspective des activités malveillantes qui ont été relevées par l’Intelligent Platform d’Akamai. Il offre par ailleurs un compte-rendu détaillé des menaces globales en matière de sécurité du cloud. Le texte intégral de ce rapport est disponible via ce lien.

“La menace que représentent les attaques de type DDoS et celles visant les applications Web est désormais une constante avec laquelle il nous faut compter. Le nombre d’attaques contre des clients Akamai continue de progresser de trimestre en trimestre. Lors de la période écoulée, le nombre d’attaques d’applications Web a augmenté de 28% tandis que le nombre d’attaques DDoS s’est accru de quelque 40% par rapport au troisième trimestre”, constate Tim Vereecke, Senior Solutions Engineer chez Akamai. “Les cyber-criminels ne s’octroient aucun répit. Ils continuent par ailleurs de s’attaquer aux mêmes objectifs et attendent de frapper au moment où la protection est moins affutée.”

Les attaques DDoS récurrentes ont été une constante au cours du quatrième trimestre 2015, avec une moyenne de 24 attaques par client visé. Au moins trois cibles ont dû faire face à plus de 100 attaques. Un client a même essuyé 188 attaques. Soit plus de deux attaques en moyenne par jour.

Bilan des attaques DDoS

Au cours du quatrième trimestre 2015, Akamai a écarté plus de 3.600 attaques DDoS en réacheminant le trafic de données entrant. Cela représente plus du double des attaques relevées un an auparavant. La plupart de ces attaques se sont appuyées sur des réseaux de zombies (“botnets”) de type “stresser/booter”. Ces attaques “location de DDoS” font largement appel à des techniques de réflexion (ou réverbération) afin de générer suffisamment de trafic et ne sont pas réellement à même de déclencher des attaques de grande envergure. Cela explique que l’on ait noté moins de méga-attaques qu’un an plus tôt. Ces sites “stresser/booter” sont par ailleurs associés à des durées maximales d’utilisation ce qui a contribué à réduire la durée moyenne des attaques, qui est passée à un peu moins de 15 heures.

Attaques DDoS de type réflexion - 4èmes trimestres 2014 & 2015

Les trimestres écoulés ont essentiellement été caractérisés par des attaques visant les couches d’infrastructure 3 et 4. Ce genre d’attaques a en effet représenté 97% des attaques relevées pendant le quatrième trimestre 2015. 21% des attaques DDoS au quatrième trimestre 2015 comportaient des fragments UDP. Une partie étaient le résultat direct de l’effet d’amplification qui caractérisent des attaques de type réflexion, essentiellement via une exploitation abusive des protocoles CHARGEN, DNS et SNMP.

Le nombre d’attaques NTP et DNS a enregistré une énorme croissance en comparaison avec le troisième trimestre 2015. Les attaques DNS par réflexion ont même augmenté de 92%. Les cyber-criminels sont en effet constamment à la recherche de moyens leur permettant d’exploiter les caractéristiques des domaines dotés de mécanismes de sécurité intégrés (DNSSEC) dans la mesure où ces derniers génèrent généralement davantage de réponses. NTP a pour sa part progressé de 57%, devenant très populaire parmi les cyber-criminels en dépit du fait que les sources de réflexion NTP exploitables soient en diminution.

Une autre tendance qui s’est fait jour est la croissance des attaques multi-vectorielles. Au cours du deuxième trimestre 2015, “seulement” 42% des attaques DDoS étaient de type multi-vectoriel. Au quatrième trimestre 2015, le total est passé à 56%. La plupart des attaques multi-vectorielles (35%) n’utilisent que deux vecteurs. Seulement 3% des attaques relevées au quatrième trimestre 2015 ont eu recours à un nombre de vecteurs oscillant entre 5 et 8.

Au quatrième trimestre de l’année dernière, l’attaque la plus massive a culminé à 309 gigabits/seconde et 202 millions de paquets par seconde (Mbps). Cette attaque a pris pour cible un client dans le secteur des logiciels et des technologies et a eu recours à une combinaison inhabituelle d’attaques SYN, UDP et NTP émanant des réseaux de zombies XOR et BillGates. Cette attaque s’est déroulée dans le cadre d’une campagne au cours de laquelle la cible fut attaquée 19 fois en l’espace de huit jours. L’attaque s’est d’ailleurs poursuivie en janvier 2016.

Plus de la moitié des attaques relevées au quatrième trimestre 2015 (54%) ont pris pour cibles des sociétés actives dans le secteur des jeux tandis que 23% ont visé des sociétés opérant dans le secteur des logiciels et des technologies.

Quelques statistiques DDoS marquantes

Par comparaison au quatrième trimestre 2014:

• augmentation de 148,85% du nombre d’attaques DDoS

• augmentation de 168,82% d’attaques visant une couche d’infrastructure (couches 3 & 4)

• diminution de 49,03% de la durée moyenne des attaques: 14,95 heures contre 29,33 heures

• diminution de 44,44% des attaques inférieures à 100 Gbps: 5 contre 9

Par comparaison au troisième trimestre 2015:

• augmentation de 39,89% du nombre d’attaques DDoS

• augmentation de 42,38% d’attaques visant une couche d’infrastructure (couches 3 & 4)

• diminution de 20,74% de la durée moyenne des attaques: 14,95 heures contre 18,86 heures

• diminution de 37,5% des attaques inférieures à 100 Gbps: 5 contre 8

Attaques d’applications Web

Alors que le nombre d’attaques visant des applications Web est en augmentation au cours du trimestre écoulé (28%), on constate une certaine stabilisation du pourcentage d’attaques opérées via HTTP par rapport à celles concernant du HTTPS. Lorsque l’on compare la situation lors des deux derniers trimestres, on constate en effet que 89% des attaques ont concerné le HTTP au quatrième trimestre contre 88% au troisième trimestre.

Au cours du trimestre écoulé, les vecteurs d’attaque les plus fréquemment utilisés furent LFI (41%), SQLi (28%) et PHPi (22%), suivis par XSS (5%) et Shellshock (2%). Les attaques RFI, MFU, CMDi et JAVAi se sont partagées les 2 pour-cents restants. PHPi ne fut utilisé comme vecteur d’attaque via HTTPS que dans 1% des cas.

Au quatrième trimestre 2015, 59% des attaques d’applications Web ont pris des commerçants pour cible. Au troisième trimestre 2015, ce chiffre était de 55%. Les secteurs des médias et loisirs et de l’hôtellerie et des voyages se classent en deuxième position, chacun représentant 10% des attaques. Il s’agit là d’une évolution par rapport au troisième trimestre 2015 lorsque le secteur financier figurait encore en deuxième position avec 15%. Au quatrième trimestre 2015, ce secteur n’a essuyé “que” 7% des attaques. La plupart des attaques d’applications Web avaient pour origine les Etats-Unis, qui furent d’ailleurs également la cible de la majorité des attaques.

Attaques d’applications Web - les chiffres

Par comparaison au troisième trimestre 2015:

• augmentation de 28,10% du nombre total d’attaques sur des applications Web

• augmentation de 28,65% d’attaques d’applications Web via HTTP

• augmentation de 24,05% d’attaques d’applications Web via HTTPS

• augmentation de 12,19% d’attaques SQLi

Opérations de scanning et de sondage

De nombreux cyber-criminels procèdent par scanning et sondage pour collecter des informations à propos de leurs cibles avant de frapper. Les données collectées par les pare-feu installés au périmètre de l’Intelligent Platform d’Akamai permettent à la société de pointer les sources favorites pour les opérations de reconnaissance. Il s’agit de Telnet (24%), NetBIOS (5%), MS-DOS (7%), SSH (6%) et SIP (4%).

Les réflecteurs les plus fréquemment exploités se situent en Chine (source: ASN) et dans d’autres pays asiatiques. Alors que la plupart des attaques SSDP proviennent essentiellement de connexions domestiques, les attaques NTP, CHARGEN et QOTD sont principalement relayées par des prestataires d’hébergement cloud qui proposent ce genre de services. Les plus détournés sont les réflecteurs SSDP et NTP (41% chacun), suivis par CHARGEN (6%) et RPC (5%). SENTINEL et QOTD viennent ensuite avec, chacun, 4%.