Les attaques DDoS visant les couches 3 et 4 continuent d'augmenter avec le confinement

Les organisations se démènent pour répondre à la « nouvelle normalité » en déplaçant les services en ligne, en faisant face aux pics de trafic et en soutenant les nouveaux télétravailleurs. Les données d'attaques observées nous ont permis de constater que ces efforts, tout comme l'importance croissante d'Internet dans notre vie quotidienne, offrent aux pirates la possibilité d'accroître leur activité malveillante.

Ce rapport présente les données sous-jacentes à cette tendance et propose des suggestions de réponse.

Les données mondiales montrent une fréquence accrue des attaques et une diminution de leur taille

Sur la base des données d'attaques observées entre avril et juin 2020, Cloudflare a dégagé les tendances suivantes :

  • Le nombre d'attaques DDoS visant les couches 3 et 4 observées sur notre réseau a doublé par rapport au premier trimestre.
  • La plupart des attaques au 2e trimestre 2020 sont de taille plus réduite, mais ce n'est pas nécessairement une bonne nouvelle
  • Les États-Unis ont subi le plus grand nombre d'attaques DDoS.

Le nombre d'attaques DDoS mondiales visant les couches 3 et 4 a doublé au cours du deuxième trimestre 2020

Les attaques DDoS ciblant les couches 3 et 4 (également connues sous le nom de couches Réseau et Transport dans le modèle OSI) exploitent les fonctions de ces deux couches (par ex. les pings serveur de la couche 3 et les paquets TCP SYN de la couche 4) afin de saturer un serveur cible de trafic indésirable.

L'analyse des attaques DDoS visant les couches 3 et 4 nous a permis de constater une forte augmentation du nombre d'attaques en avril, mai et juin. Les mois de mai et juin représentent à eux seuls plus de 50 % de l'ensemble des attaques visant les couches 3 et 4 cette année :

Cette période a également connu certaines des attaques les plus importantes. La catégorie regroupant les attaques les plus importantes évaluées par Cloudflare concernait celles dont le débit d'attaque dépassait 100 gigabits par seconde (Gbit/s). Sur l'ensemble des attaques présentant un débit supérieur à 100 Gbit/s survenues au cours du deuxième trimestre 2020, 63 % se sont produites au mois de mai, soit une progression significative des attaques de grande taille par rapport au premier trimestre.

La plupart des attaques au 2e trimestre 2020 sont de taille plus réduite, mais ce n'est pas nécessairement une bonne nouvelle

Il existe différentes manières de mesurer la taille d'une attaque DDoS. L'une d'entre elles s'attache au volume de trafic qu'elle délivre, mesuré en débit binaire (plus précisément, en gigabits par seconde). Une autre s'intéresse au nombre de paquets qu'elle délivre, mesuré en termes de débit de paquets (plus précisément, en paquets par seconde). Les attaques à haut débit binaire tentent de saturer la liaison Internet et les attaques à haut débit de paquets tentent de submerger les routeurs ou les autres équipements en ligne.

Pendant la période d'avril à juin, plus de la moitié des attaques présentaient un trafic inférieur à 1 Gbit/s, et près de 90 % un débit inférieur à 10 Gbit/s. (Cette tendance est cohérente avec le format des attaques survenues au cours du premier trimestre 2020, dont 92 % présentaient un débit inférieur à 10 Gbit/s.)

De la même manière, près de 76 % de l'ensemble des attaques montraient un débit de paquets inférieur à un million de pps (paquets par seconde), soit un seuil relativement bas. :

Les États-Unis ont connu le plus grand nombre d'attaques DDoS visant les couches 3 et 4

Lorsque nous examinons la répartition des attaques DDoS visant les couches 3 et 4 par pays, nos datacenters situés aux États-Unis ont fait l'objet du plus grand nombre d'attaques (22,6 %), suivis par les datacenters implantés en Allemagne (4,4 %), au Canada (2,8 %) et en Grande-Bretagne (2,7 %).

Comment les organisations peuvent répondre à ces tendances

Sur la base de ces tendances, nous pouvons tirer les conclusions ci-dessous. Nous proposons également des recommandations sur les réactions possibles :

  • Les pirates semblent avoir augmenté leur activité DDoS visant les couches 3/4 lorsque la pandémie de COVID-19 a pris de l'ampleur. La pandémie devant encore se poursuivre pendant un certain temps, les organisations doivent s'assurer que leur infrastructure des couches 3 et 4 est prête à résister aux attaques DDoS sur le long terme.
  • Les attaques plus petites peuvent toujours poser problème. Une attaque avec un débit binaire inférieur à 10 Gbit/s est toujours capable de faire tomber un site qui ne dispose pas d'une protection adéquate, tout comme les attaques avec des débits de paquets plus faibles. Les entreprises doivent investir dans la protection contre les attaques de toutes tailles.
  • Les attaques de plus petite envergure constituent les salves initiales d'une stratégie plus vaste, qui voit les pirates extorquer une rançon aux entreprises en échange de la promesse de ne pas perturber le fonctionnement de leurs propriétés Internet, ou qui cherche à détourner l'attention des équipes de sécurité alors qu'une autre attaque est en cours. Les organisations doivent s'assurer qu'elles sont en mesure de surveiller leur infrastructure pour détecter les attaques de toutes tailles, et non pas seulement les grandes attaques qui détruisent des serveurs entiers.
  • Les attaques proviennent de sources disséminées dans le monde. Les organisations devraient investir dans la capacité d'inspecter et de nettoyer tout le trafic provenant en même temps de nombreux points du globe.

Un vaste réseau basé sur le cloud est la seule réponse vraiment viable à tous ces défis. Il place la protection DDoS sur un plan de contrôle unique, à la périphérie du réseau, afin d'arrêter les attaques aussi près que possible de leur source. Ainsi, les serveurs d'origine restent sûrs et sécurisés, qu'ils soient situés sur site ou dans le cloud. De plus, la taille du réseau lui permet de distribuer le trafic des attaques sur une grande surface, ainsi aucun datacenter n'en subit les conséquences et ne souffre de performances amoindries.

Ces résultats proviennent du réseau Cloudflare, qui couvre plus de 200200 villes dans plus de 100100 pays et bloque chaque jour plus de 72 milliards de cybermenaces. Grâce à sa vision inégalée à 360 degrés du paysage des menaces DDoS, Cloudflare est en mesure de collecter une vaste quantité de données sur ces attaques omniprésentes, au fur et à mesure qu'elles évoluent. Le réseau Cloudflare tire des enseignements de chaque attaque, tout en partageant automatiquement les connaissances indispensables pour contrer l'attaque suivante. Il offre par ailleurs une sécurité anti-DDoS performante pour l'ensemble de votre entreprise, sans ralentir les performances du réseau et des applications.

Explorez plus profondément ce sujet et consultez davantage de données sur les tendances des attaques DDoS (y compris la prévalence des différents vecteurs d'attaque), et découvrez comment certaines entreprises ont géré des menaces similaires dans notre rapport de données complet.

Cet article fait partie de notre série consacrée aux tendances et sujets d’actualité qui affectent les décideurs d’aujourd’hui officiant dans le secteur des technologies.