Cloudflare a observé et atténué un nombre colossal d'attaques DDoS contre l'infrastructure réseau. Si certaines de ces attaques se sont révélées d'envergure assez vaste, la plupart d'entre elles étaient à la fois brèves et de moindre ampleur. Cette tendance s'est maintenue, malgré les fluctuations du nombre total d'attaques, mais aussi en matière de popularité des différents protocoles de couche réseau auprès des pirates.
Si la perspective d’attaques DDoS de moindre ampleur et de courte durée peut sembler rassurante, ces attaques représentent une menace pour les réseaux non protégés ou insuffisamment protégés. Elles permettent également aux pirates de mettre à l’épreuve les systèmes de sécurité des entreprises et peuvent détourner l’attention des équipes de sécurité d’autres attaques plus dangereuses.
Quelles sont les tendances et les stratégies à l’origine de la popularité des attaques DDoS de moindre ampleur ? Comment les entreprises peuvent-elles y faire face ?
Les attaques DDoS sont conçues pour exploiter les goulets d’étranglement présents dans les infrastructures informatiques des entreprises et les applications recevant du trafic. Bien qu’il existe de nombreux types d’attaques DDoS, la plupart d’entre elles utilisent l’une des deux techniques suivantes :
L’envoi de grands volumes de paquets : un serveur ou une application ne peut traiter qu’un nombre limité de requêtes simultanées. Lorsque ces limites sont dépassées, la capacité des applications à traiter les requêtes légitimes est réduite, voire supprimée.
L’envoi de grands volumes de données : la quantité de données que peuvent transmettre ou traiter les liaisons réseau, les serveurs et les applications est également limitée. Le dépassement des limites de bande passante peut également entraîner l’arrêt d’un système.
L'image ci-dessous, issue de données collectées sur le réseau Cloudflare au cours du quatrième trimestre 2021, démontre que l'immense majorité des attaques n'ont pas essayé d'utiliser la première technique. Au cours de cette période de trois mois, plus de 98 % des attaques DDoS n'ont pas dépassé le million de paquets par seconde (p/s), une tendance confirmée par les résultats des trimestres précédents.
À titre d'exemple, une attaque DDoS de grande envergure lancée contre GitHub en 2018 avait atteint un débit de 129,6 millions de paquets par seconde. Au quatrième trimestre 2021, seuls 2 % des attaques DDoS ont atteint le dixième de ce chiffre, un constat démontrant ainsi que la plupart des attaques sont lancées avec des volumes de paquets moins importants.
Le graphique ci-dessous montre que la plupart des attaques DDoS lancées au niveau des couches 3 et 4 au quatrième trimestre ne cherchaient pas non plus à submerger leurs cibles sous d'énormes volumes de données. En effet, la moitié des attaques mettaient en œuvre un volume de moins d'un demi-gigaoctet de données par seconde.
Les pirates n’ont plus recours aux mêmes tactiques que par le passé. En effet, les attaques brèves et de moindre ampleur peuvent présenter plusieurs avantages.
La généralisation des attaques de moindre ampleur peut sembler étonnante, puisqu’elle signifie que leurs auteurs ne tirent pas pleinement profit de leurs possibilités. Néanmoins, il existe de nombreuses raisons expliquant pourquoi les attaques DDoS plus brèves et moins vastes sont devenues plus répandues.
La popularité des plateformes d'attaques DDoS à la demande n'a cessé de croître ces dernières années. Ces plateformes (également connues sous le nom de « stresseurs ») permettent de louer un botnet DDoS existant afin de lancer une attaque contre une entreprise choisie par le client.
Les sites proposant des attaques DDoS à la demande permettent de lancer des attaques de courte durée et d'ampleur relativement limitée pour un coût assez faible, allant de 5 dollars pour 5 minutes à 400 dollars pour une journée entière. Ces attaques de moindre envergure devenant de plus en plus faciles à perpétrer, nous pensons qu'elles continueront à gagner en popularité.
Les cybercriminels ont tendance à orienter leurs attaques là où leur impact sera maximal. Ils peuvent ainsi s'attaquer à une infrastructure réseau éprouvant déjà des difficultés à gérer une grande quantité de trafic.
Les solutions d'accès à distance, comme les VPN et le RDP, en constituent un bon exemple. La pandémie de COVID-19 a contraint de nombreuses entreprises à faire massivement appel à ces services, dans la mesure où une grande partie de leurs collaborateurs travaillent à distance. Ces augmentations peuvent rapidement entraîner la saturation du service. Ainsi, de grandes entreprises renommées ont dû restreindre l'accès à leur VPN pour éviter de subir des pannes de réseau plus importantes.
De fait, les solutions d'accès à distance sont la cible d'attaques DDoS depuis le début de la pandémie. Lors d'une attaque de ce type, le criminel peut tout à fait générer un volume de trafic hostile comparativement faible tout en parvenant à ses fins, à savoir perturber la capacité de l'entreprise ciblée à traiter ce trafic.
Si une entreprise a mis en place une solution d’atténuation des attaques DDoS, une attaque de moindre ampleur peut avoir un impact limité, voire n’avoir aucun impact sur la disponibilité des services pour les utilisateurs légitimes. Toutefois, ces attaques de moindre ampleur ne sont pas toujours l’objectif final de leurs auteurs.
On observe depuis quelques années l'apparition d'attaques DDoS accompagnées d'une demande de rançon, dans le cadre desquelles les pirates menacent de lancer une attaque DDoS si l'entreprise refuse de céder à leurs exigences. Dans de nombreux cas, les groupes qui exigent une rançon se font passer pour des groupes de pirates réputés, comme Fancy Bear, Cozy Bear ou Lazarus Group, afin d'inciter la victime à payer.
Les attaques DDoS de moindre ampleur peuvent servir de préambule à des attaques DDoS avec demande de rançon. En montrant qu’il est capable de lancer une attaque DDoS de moindre ampleur, un pirate multiplie ses chances de convaincre l’entreprise visée de payer pour échapper à une attaque DDoS de grande envergure.
Les premières solutions d’atténuation des attaques DDoS ont été conçues pour identifier et bloquer les grands volumes de trafic. Ces systèmes peuvent donc se déclencher uniquement si le volume du trafic dépasse un certain seuil.
Les attaques DDoS de moindre ampleur peuvent déjouer les mécanismes de protection des solutions traditionnelles d’atténuation des attaques DDoS, qui utilisent ces seuils pour détecter d’éventuelles attaques. En se maintenant juste en dessous du seuil de déclenchement des mécanismes de défense, ces attaques peuvent provoquer des perturbations sur les réseaux ciblés, sans toutefois surcharger les mécanismes de défense déployés par l’organisation.
Les attaques DDoS de grande ampleur peuvent être coûteuses et nécessiter des ressources importantes. Une attaque DDoS de moindre ampleur peut être un repérage en vue d’une attaque ultérieure.
Si l’entreprise visée dispose d’une solution d’atténuation des attaques DDoS, les attaques de moindre ampleur n’auront aucun impact sur les performances de l’application contre laquelle est lancée l’attaque. À l’inverse, les applications non protégées peuvent souffrir de problèmes de latence non négligeables, même en cas d’attaque DDoS de moindre ampleur. Les attaques de moindre ampleur permettent d’identifier les entreprises qui ont mis en place des dispositifs de défense et celles qui en sont dépourvues, fournissant une information utile pour la planification d’attaques ultérieures.
La plupart des attaques DDoS sont conçues pour être visibles. Si une attaque DDoS parvient à provoquer l’arrêt de l’application réseau attaquée, les équipes de sécurité de l’entreprise se trouvent confrontées à un problème manifeste, qu’elles doivent résoudre. Dans la mesure où l’infrastructure réseau joue un rôle essentiel dans la communication avec les clients et la fourniture de services à ces derniers, la gestion de l’attaque devient une priorité.
Ainsi, les attaques DDoS peuvent servir « d’écran de fumée » pour dissimuler d’autres types d’attaques qui pourraient être détectées et bloquées par une équipe de sécurité vigilante. Si l’organisation concentre ses efforts sur l’atténuation de l’attaque DDoS en cours, elle risque de ne pas remarquer une tentative de piratage de ses données ou l’infiltration d’un logiciel malveillant sur son réseau. Même si elle ne suffit pas à paralyser les infrastructures d’une organisation, une attaque DDoS de moindre ampleur peut suffire à détourner l’attention de la véritable menace.
Si les attaques DDoS de moindre ampleur peuvent sembler constituer une menace moins importante que les attaques plus vastes, elles présentent néanmoins un certain nombre de risques pour les entreprises. Dans certains cas, il suffit d’une attaque mineure pour entraîner la défaillance d’une infrastructure ou, tout au moins, en altérer les performances. Par ailleurs, les attaques DDoS de moindre ampleur peuvent permettre à leurs auteurs de repérer des failles de sécurité ou de détourner l’attention de leurs cibles d’autres attaques utilisant des mécanismes totalement différents.
Les entreprises qui ont déployé des solutions d’atténuation des attaques DDoS performantes sont protégées contre les attaques DDoS, quelle que soit leur ampleur. On ne peut pas en dire autant des réseaux non protégés ou sous-protégés, surtout si ces derniers sont déjà surchargés.
Lors d’une attaque DDoS de moindre ampleur, le volume de données malveillantes envoyées à l’infrastructure réseau d’une entreprise peut atteindre un demi-gigaoctet par seconde. Le réseau d’une entreprise peut comporter des goulets d’étranglement potentiels, notamment :
La bande passante du réseau
Les connexions TCP ouvertes
L’utilisation des processeurs
Si l’une de ces ressources est surchargée par l’attaque, le réseau ne peut plus traiter les requêtes légitimes.
Qu’elle soit légitime ou non, toute requête envoyée au réseau d’une entreprise consomme des ressources. Dans des conditions normales, la plupart des requêtes sont légitimes et les éventuelles requêtes malveillantes ont un impact faible ou négligeable sur le réseau.
En revanche, lors d'une attaque DDoS, les requêtes malveillantes peuvent représenter un volume supérieur à celui du trafic légitime, le plus souvent dans des proportions considérables. Même lorsqu’une attaque n’entraîne pas l’arrêt du service pris pour cible, l’augmentation des coûts opérationnels du site peut avoir un impact considérable sur les revenus de l’entreprise. Le traitement des requêtes indésirables consomme des ressources informatiques et le coût peut s'avérer élevé si l'entreprise dispose d'un service d'atténuation des attaques DDoS facturé à l'utilisation.
L’impact d’une attaque DDoS peut également être ressenti longtemps après son arrêt. Dans certains cas, les attaques DDoS empêchent les applications de traiter les requêtes légitimes uniquement pendant leur exécution, et la situation revient à la normale une fois l’attaque terminée. Dans d’autres cas, les attaques peuvent entraîner une défaillance des applications ou des serveurs, contraignant les services informatiques à redémarrer les machines ou les logiciels et à restaurer les données perdues (lorsque c’est possible). Dans ce dernier scénario, une attaque brève et de moindre ampleur peut avoir un impact durable, malgré son coût relativement faible.
Le meilleur moyen pour une entreprise de bien se préparer à affronter les attaques DDoS est de mettre en place une solution d’atténuation. Cependant, toutes les solutions d’atténuation des attaques DDoS ne se valent pas. Voici quelques critères à prendre en compte :
Protection permanente : certaines solutions d’atténuation des attaques DDoS s’activent uniquement lorsque le trafic malveillant atteint un certain volume. Malheureusement, les attaques DDoS de moindre ampleur sont capables de les contourner. Les solutions d’atténuation des attaques DDoS actives en permanence offrent une protection continue contre les attaques.
Intégration aux outils de sécurité : les attaques DDoS peuvent servir à masquer d’autres attaques. Intégrée à d’autres outils de sécurité, une solution de lutte contre les attaques DDoS peut contribuer à identifier une attaque dissimulée derrière une attaque DDoS de faible ampleur.
Atténuation à la périphérie : réacheminer tout le trafic du réseau vers un système centralisé pour l’inspecter et l’atténuer augmente la latence du réseau. Les outils d’atténuation doivent être placés à la périphérie du réseau, afin de minimiser l’impact sur les performances.
Atténuation des attaques DDoS illimitée : certains prestataires facturent leurs services en fonction de la consommation de bande passante au moment où l’attaque atteint son intensité maximale, ce qui peut s’avérer très coûteux en cas d’attaque de grande ampleur. Privilégiez les solutions de protection contre les attaques DDoS qui ne pratiquent pas une tarification en cas d’augmentation du volume de trafic.
Les attaques DDoS se généralisent et les attaques à grande échelle laissent la place à des offensives DDoS plus brèves et de moindre ampleur. Pour garantir la disponibilité et les performances des services web, il est nécessaire d'investir dans une solution de référence en matière d'atténuation des attaques DDoS.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Cet article vous permettra de comprendre les points suivants :
Les types d'attaques DDoS les plus courants.
Six raisons pour lesquelles ces attaques connaissent une augmentation considérable.
Les trois plus grands risques associés.
Les meilleures solutions d'atténuation des attaques DDoS.
Rapport GigaOm Radar sur la protection contre les attaques DDoS
Blog : les tendances en matière d'attaques DDoS au quatrième trimestre 2021
Article : l'utilisation des menaces DDoS dans les tentatives d'extorsion ciblant les entreprises
Magic Transit protège les réseaux, tout en améliorant les performances
Découvrez comment permet à la fois de protéger les réseaux contre les attaques DDoS et d'améliorer leurs performances.