theNet by CLOUDFLARE

Les attaques DDoS visant les couches 3 et 4 continuent d'augmenter avec le confinement

Les organisations se démènent pour répondre à la « nouvelle normalité » en déplaçant les services en ligne, en faisant face aux pics de trafic et en soutenant les nouveaux télétravailleurs. Les données d'attaques observées nous ont permis de constater que ces efforts, tout comme l'importance croissante d'Internet dans notre vie quotidienne, offrent aux pirates la possibilité d'accroître leur activité malveillante.

Ce rapport présente les données sous-jacentes à cette tendance et propose des suggestions de réponse.


Les données mondiales montrent une fréquence accrue des attaques et une diminution de leur taille

Sur la base des données d'attaques observées entre avril et juin 2020, Cloudflare a dégagé les tendances suivantes :

  • Le nombre d'attaques DDoS visant les couches 3 et 4 observées sur notre réseau a doublé par rapport au premier trimestre.

  • La plupart des attaques au 2e trimestre 2020 sont de taille plus réduite, mais ce n'est pas nécessairement une bonne nouvelle

  • Les États-Unis ont subi le plus grand nombre d'attaques DDoS.


Le nombre d'attaques DDoS mondiales visant les couches 3 et 4 a doublé au cours du deuxième trimestre 2020

Les attaques DDoS ciblant les couches 3 et 4 (également connues sous le nom de couches Réseau et Transport dans le modèle OSI) exploitent les fonctions de ces deux couches (par ex. les pings serveur de la couche 3 et les paquets TCP SYN de la couche 4) afin de saturer un serveur cible de trafic indésirable.

L'analyse des attaques DDoS visant les couches 3 et 4 nous a permis de constater une forte augmentation du nombre d'attaques en avril, mai et juin. Les mois de mai et juin représentent à eux seuls plus de 50 % de l'ensemble des attaques visant les couches 3 et 4 cette année :

Cette période a également connu certaines des attaques de plus grande ampleur. La catégorie regroupant les attaques les plus importantes évaluées par Cloudflare concernait celles dont le débit d'attaque dépassait 100 gigabits par seconde (Gb/s). Sur l'ensemble des attaques présentant un débit supérieur à 100 Gb/s survenues au cours du deuxième trimestre 2020, 63 % se sont produites au mois de mai, soit une progression significative des attaques de grande taille par rapport au premier trimestre.


La plupart des attaques au 2e trimestre 2020 sont de taille plus réduite, mais ce n'est pas nécessairement une bonne nouvelle

Il existe différentes manières de mesurer la taille d'une attaque DDoS. L'une d'entre elles s'attache au volume de trafic qu'elle délivre, mesuré en débit binaire (plus précisément, en gigabits par seconde). Une autre s'intéresse au nombre de paquets qu'elle délivre, mesuré en termes de débit de paquets (plus précisément, en paquets par seconde). Les attaques à haut débit binaire tentent de saturer la liaison Internet et les attaques à haut débit de paquets tentent de submerger les routeurs ou les autres équipements en ligne.

Pendant la période d'avril à juin, plus de la moitié des attaques présentaient un trafic inférieur à 1 Gb/s et près de 90 % un débit inférieur à 10 Gb/s. (Cette tendance est cohérente avec le format des attaques survenues au cours du premier trimestre 2020, dont 92 % présentaient un débit inférieur à 10 Gb/s.)

De la même manière, près de 76 % de l'ensemble des attaques présentaient un débit de paquets inférieur à un million de pps (paquets par seconde), soit un seuil relativement bas.


Les États-Unis ont connu le plus grand nombre d'attaques DDoS visant les couches 3 et 4

Lorsque nous examinons la répartition des attaques DDoS visant les couches 3 et 4 par pays, nos datacenters situés aux États-Unis ont fait l'objet du plus grand nombre d'attaques (22,6 %), suivis par les datacenters implantés en Allemagne (4,4 %), au Canada (2,8 %) et en Grande-Bretagne (2,7 %).


Comment les organisations peuvent répondre à ces tendances

Sur la base de ces tendances, nous pouvons tirer les conclusions ci-dessous. Nous proposons également des recommandations sur les réactions possibles :

  • Les pirates semblent avoir augmenté leur activité DDoS visant les couches 3/4 lorsque la pandémie de COVID-19 a pris de l'ampleur.

    La pandémie devant encore se poursuivre pendant un certain temps, les organisations doivent s'assurer que leur infrastructure des couches 3 et 4 est prête à résister aux attaques DDoS sur le long terme.

  • Les attaques de moindre envergure peuvent néanmoins demeurer un problème.

    Une attaque avec un débit binaire inférieur à 10 Gb/s est toujours capable de faire tomber un site qui ne dispose pas d'une protection adéquate, tout comme les attaques avec des débits de paquets plus faibles. Les entreprises doivent investir dans la protection contre les attaques de toutes tailles.

  • Les attaques de moindre envergure peuvent constituer la salve initiale d'une stratégie plus vaste

    , qui voit les pirates extorquer une rançon aux entreprises en échange de la promesse de ne pas perturber le fonctionnement de leurs propriétés Internet ou chercher à détourner l'attention des équipes de sécurité pendant la conduite d'une autre attaque distincte. Les entreprises doivent s'assurer qu'elles sont en mesure de surveiller leur infrastructure afin de détecter les attaques de toutes les tailles et non seulement les attaques de grande ampleur, conçues pour abattre des serveurs entiers.

  • Les attaques proviennent de sources disséminées à travers le monde.

    Les organisations devraient investir dans la capacité d'inspecter et de nettoyer tout le trafic provenant en même temps de nombreux points du globe.

Un vaste réseau basé sur le cloud représente la seule réponse vraiment viable à tous ces défis. En plaçant la protection contre les attaques DDoS sur un plan de contrôle unique, à la périphérie du réseau, cette approche permet également d'arrêter les attaques distribuées aussi près que possible de leur source. Les serveurs d'origine demeurent ainsi sûrs et sécurisés, qu'ils soient situés sur place ou dans le cloud L'étendue du réseau lui permet en outre de distribuer le trafic des attaques sur une grande surface, afin qu'aucun datacenter n'en subisse les conséquences et ne souffre de performances amoindries.

Ces résultats sont issus du réseau Cloudflare, qui couvre plus de 200 villes réparties dans plus de 100 pays et bloque chaque jour plus de 72 milliards de cybermenaces. Grâce à sa vision inégalée et à 360 degrés sur le panorama des menaces DDoS, Cloudflare parvient à réunir une vaste quantité de données concernant ces attaques omniprésentes, au fur et à mesure de leur évolution. Le réseau Cloudflare tire des enseignements de chaque attaque, en permanence, tout en partageant automatiquement des informations sur ces dernières afin de contrer la menace suivante. Il offre par ailleurs une sécurité anti-DDoS performante à l'ensemble de votre entreprise, sans grever les performances du réseau ni des applications.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.


Approfondir le sujet

Consultez notre rapport complet pour découvrir plus de données sur les tendances en matière d'attaques DDoS (notamment la prévalence des différents vecteurs d'attaque) et en apprendre davantage sur la manière dont certaines entreprises ont pu gérer des menaces similaires.

Recevez un récapitulatif mensuel des tendances Internet les plus populaires !