Rapport sur les tendances Internet
Explorer en profondeur les dernières cybermenaces
Les attaques par déni de service distribué (Distributed Denial-of-Service, DDoS) constituent depuis longtemps une grave menace, principalement du fait que les pirates n'ont pas besoin d'une vulnérabilité ou d'un accès aux systèmes de l'entreprise pour submerger ces derniers sous un flot de requêtes ou de trafic.
Quoi qu'il en soit, les acteurs malveillants ont perfectionné pratiquement tous les aspects de leurs attaques et ainsi entraîné une évolution rapide du panorama des attaques DDoS ces derniers mois. Cette approche implique entre autres, pour eux, de se concentrer sur les cibles à haute valeur, d'échapper aux protections courantes contre les attaques DDoS et d'actualiser leur infrastructure de botnets afin de se donner les moyens de lancer des attaques bien plus volumineuses.
L'argent reste le nerf de la guerre
La plupart des cybercriminels sont motivés par les gains financiers. Parmi les principaux types de cyberattaques, bon nombre (violations de données, attaques par rançongiciel, etc.) présentent des perspectives claires de profit.
Il n'est donc pas surprenant de constater que les dernières tendances indiquent que les acteurs malveillants concentrent leurs efforts sur les cibles financièrement intéressantes. Les banques occidentales et le système SWIFT (utilisé pour régler les paiements interbancaires) sont ainsi devenus une cible prioritaire. En outre, le secteur des cryptomonnaies a été identifié comme le plus visé par les attaques DDoS HTTP comparativement à la part du trafic global, avec une augmentation de 600 % par rapport au trimestre précédent.
Ces attaques ciblées ont pour but de paralyser les systèmes essentiels du secteur financier et même au-delà.
Contourner les systèmes de détection des bots
Les algorithmes de détection des bots sont l'un des plus grands défis auxquels font face les pirates. Les services anti-bots identifient divers facteurs permettant de différencier les utilisateurs humains des bots malveillants, afin de permettre le filtrage du trafic nuisible avec un impact minime sur les utilisateurs légitimes.
Ces derniers mois, les cybercriminels conventionnels ont mis la main sur des solutions d'évasion sophistiquées, autrefois unique propriété d'acteurs mandatés par des États. Ces outils et ces techniques ont permis aux acteurs malveillants automatisés d'imiter les utilisateurs légitimes et les navigateurs avec plus de précision, afin de passer outre les systèmes d'atténuation. Vous trouverez ci-dessous deux des techniques d'évasion les plus couramment utilisées :
Propriétés HTTP randomisées : l'analyse des empreintes numériques des bots et des outils automatisés constitue une fonction essentielle de bon nombre de systèmes d'atténuation des bots. Pour lutter contre ces derniers, les acteurs malveillants ont commencé à randomiser certaines de leurs propriétés (comme les chaînes d'agent utilisateur et les empreintes numériques JA3) afin de rendre les systèmes de détection basés sur les signatures moins précis et moins efficaces.
Attaques lentes et de faible intensité : les volumes de requêtes HTTP supérieurs à ce que les utilisateurs humains peuvent générer sont un marqueur évident d'attaque DDoS automatisée. Les acteurs malveillants se sont récemment concentrés sur le lancement d'attaques plus lentes et de plus faible volume, afin de rendre leurs campagnes plus difficiles à détecter.
Une autre tactique courante visant à échapper aux défenses d'une cible est l'amplification DDoS, qui utilise un service légitime de manière abusive pour envoyer d'importants volumes de données à une victime. Les attaques basées sur le DNS forment presque un tiers de l'ensemble des attaques DDoS sur la couche réseau. Les cybercriminels tirent ainsi avantage du fait que le DNS bénéficie d'une confiance universelle et constitue un composant crucial de l'infrastructure Internet.
Botnets virtualisés
Par le passé, un botnet se composait généralement d'un ensemble d'appareils compromis en lien avec l'Internet des objets (IdO). Ces appareils se révèlent faciles à compromettre, car ils disposent souvent de capacités de sécurité particulièrement médiocres. La connectivité Internet et la puissance de calcul limitée de ces appareils leur permettent ainsi de lancer des attaques simples et automatisées, comme le bourrage d'identifiants (Credential Stuffing) ou les attaques DDoS.
Ces derniers mois, les cybercriminels sont passés aux botnets virtualisés. Comme ils disposent de capacités considérablement supérieures en termes de bande passante réseau et de puissance de calcul, ces appareils virtuels peuvent ainsi lancer des attaques jusqu'à 5 000 fois plus puissantes que les appareils IdO.
L'essor de ces botnets hyperscale basés sur des machines virtuelles (Virtual Machines, VM) a permis le lancement d'attaques DDoS bien plus volumineuses qu'il l'était autrefois possible, comme dans le cas de cette attaque record de 71 millions de requêtes par seconde, dont la trace a été remontée jusqu'à l'un de ces botnets basés sur VM.
Garder une longueur d'avance sur les menaces
La cybersécurité est un secteur au rythme rapide, au sein duquel le panorama des menaces peut changer du jour au lendemain. Si les attaques DDoS n'exploitent pas les vulnérabilités, elles tentent néanmoins de submerger les systèmes ou de consommer des ressources précieuses. Dans un contexte qui voit ces attaques devenir de plus en plus volumineuses et sophistiquées, le déploiement de services avancés de prévention des attaques DDoS s'avère essentiel pour filtrer le trafic hostile et maintenir la présence en ligne des systèmes.
Le service de protection anti-DDoS pour le réseau, les applications et le web est conçu pour protéger tous les équipements connectés à Internet. La solution de protection contre les attaques DDoS sur les couches 3, 4 et 7 proposée par Cloudflare dispose notamment de la capacité d'identifier et de bloquer les attaques de grande envergure et les attaques discrètes permises par les botnets VM, les campagnes d'attaques lentes et de faible intensité, ainsi que la randomisation HTTP.
Pour plus de tendances concernant Internet, rendez-vous sur Cloudflare Radar.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Auteur
David Belson — @dbelson
Head of Data Insight, Cloudflare
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
La manière dont les cybercriminels ont perfectionné leurs méthodes d'attaque.
Trois des dernières tendances en matière d'attaques.
Les stratégies d'atténuation qui vous permettront de garder une longueur d'avance sur les menaces.