Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

PROGRAMME DES GSDAYS 28 JANVIER 2025

    

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etat des lieux du risque des attaques par déni de service – le rapport Imperva 2024

juillet 2024 par Imperva

Ce rapport d’Imperva dédié à l’analyse de l’activité des attaques par déni de service durant les six premiers mois de 2024 donne un aperçu des événements cyber marquants de l’année et des recommandations pour l’année à venir.

Au cours du premier semestre 2024, Imperva a identifié une augmentation de 111% d’attaque DDoS1 de plus qu’au premier semestre de 2023, soulignant la nécessité d’adopter des mesures de sécurité robustes.

Nous vous partageons ici les éléments à retenir de ce rapport.

Augmentation des attaques dans divers secteurs

Le nombre d’attaques DNS2 a augmenté de 215%, comparé à la période entre le premier semestre 2023 et le premier semestre 2024.
Au deuxième semestre 2023, la taille moyenne des attaques par amplification DNS a augmenté de 483% comparé au premier semestre de l’année.
Les tensions géopolitiques ont été un facteur important de l’augmentation des attaques DDoS (augmentation de 519% en Ukraine, de 118% en Israël, ​ 84% en Chine).

Les attaques DDoS ciblant des industries associées aux grands événements sportifs ont augmenté de 89% (dû à leur médiatisation, combinée à la volonté des cybercriminels de promouvoir leur action en perturbant ces opérations).
Les attaques ciblant les secteurs des fournisseurs d’accès internet et de télécommunication ont connu une hausse importante de 548% des attaques DDoS, reflétant leur rôle crucial dans le maintien de la connectivité et des enjeux liés à l’interruption de leurs services.
Les organisations de santé ont vu leur pourcentage d’attaques augmenter de 236%.
L’industrie du jeu vidéo a subi une augmentation des attaques de plus de 208%.

Les industries les plus touchées

Les services financiers (23.8%)
Business (20.1%)
Le secteur des télécommunications et les fournisseurs d’accès internet (12.3%)

Les industries visées par les attaques les plus impactantes :

Le secteur financier (total de 118 millions de requêtes par seconde au premier semestre de 2024)
Business
Le secteur de l’informatique

Les industries ayant subi la plus grande augmentation d’attaques DDoS applicatives

La télécommunication et fournisseur d’accès internet (augmentation de 548%)
La santé (augmentation de 236%)
Le Jeu vidéo (augmentation de 208%)

Les pays les plus touchés :

Les Etats-Unis (48.2% des attaques)
Le Brésil (6.4%)
Le Royaume-Uni (6.2%)
L’Australie (5.2%)

Les attaques volumétriques et protocolaires sur les couches 3 & 4 du modèle OSI3, se référant respectivement à la couche réseau en charge du routage de l’information à travers un réseau et la couche de transport des paquets, qui assure le transit correct et fiable des données d’un point à un autre sont en augmentation de 111% par rapport à l’année précédente.

Les pays les plus touchés par ces attaques sont :

Les Etats-Unis (79.4%)
Le Brésil (6.1%)
La Chine (4.3%)

Les attaques DDoS contre les serveurs DNS ont augmenté de 215% au premier semestre de 2024, comparé au premier semestre de 2023. Les attaques DNS en tant que vecteur augmentent dans le paysage global des attaques DDoS d’une année sur l’autre, passant de seulement 6% au premier semestre de 2022 contre 21% au premier semestre de 2024.

La portée des attaques des serveurs DNS a drastiquement augmenté en terme de bande passante, passant de 59 Gigabits par seconde au premier semestre de 2023 à 344 Gigabits par seconde au deuxième semestre de la même année, soit une augmentation de 483%.

Cette augmentation en nombre et en sophistication peut être attribué à de nombreux facteurs, notamment : le rôle essentiel des serveurs DNS dans le fonctionnement d’internet, la prolifération des réseaux de bots, l’évolution des techniques d’attaque, la faiblesse de sécurité et l’augmentation du nombre d’appareil IoT non sécurisés.

Les attaques DDoS par hacktivisme touchent, le plus fréquemment :

Les agences de communication nationale
Les médias audiovisuels
Les aéroports
Les hôpitaux
Les fournisseurs internet
Les bureaux gouvernementaux

Les attaques DDoS contre des événements sportifs majeurs

En février 2024, Imperva a déjoué sa plus grande attaque DDoS applicatives de l’année, avec un pic de 4,7 millions de RPS (requêtes par seconde). L’une des motivations de l’attaque visant un site de jeux indonésien pourrait être la Coupe de football de l’AFC. Les hacktivistes exploitent souvent les événements majeurs pour maximiser l’impact de leurs attaques. Une chaîne de sports polonaise a par exemple été victime d’une attaque DDoS pendant le match de l’équipe nationale contre les Pays-Bas durant l’Euro 2024.

Les recherches d’Imperva sur les menaces cyber indiquent que les attaques DDoS applicatives (couche 7 du modèle OSI), responsable de fournir des protocoles qui permettent aux logiciels d’envoyer et de recevoir des informations et de présenter des données significatives aux utilisateurs, contre les sites européens de voyage, de sport, de divertissement et de jeux d’argent ont augmenté de 89 % par rapport à l’année dernière, avec des pics d’intensité atteignant 1,5 million de RPS.

Prédiction des risques futurs

Sécurité des élections : Une vigilance accrue et des cyberdéfenses robustes sont essentielles en période électorale pour contrer les attaques DDoS potentielles.

Le logiciel malveillant Mirai, permettant à un attaquant de prendre le contrôle d’appareils non-protégés et de les utiliser comme zombies dans le cadre d’une attaque DDoS : La surveillance continue et les mises à jours régulières sont essentielles pour atténuer la menace posée par les botnets Mirai et ses variantes.

IA et cybersécurité : L’IA réduisant les barrières pour les cyberattaquants, il est de plus en plus important d’investir dans des mécanismes de défense basés sur l’IA.

Évolution des groupes de menace : Rester informé sur les activités des principaux groupes d’attaquants afin d’anticiper les nouvelles menaces et de s’y préparer.

Comment réagir en cas d’attaque

Être proactif
Si vous n’êtes pas équipé d’une protection permanente contre les DDoS, assurez-vous qu’une protection à la demande soit en place
Faites dès maintenant vos recherches et munissez-vous d’une protection contre les attaques DDoS
Si vous êtes victime d’une attaque, choisissez un fournisseur avec un enrôlement facile et rapide
Entretenez le dialogue avec votre équipe sécurité informatique et réseaux
Choisissez un fournisseur de confiance pour votre protection anti attaque DDoS avec une présence globale et une capacité de gérer des attaques sophistiquées et en grand nombre.

Choisissez une solution à faible latence avec une capacité de gérer les attaques de façon rapide et précise.

1. Les attaques par déni de service c’est quoi ?

Les attaques par déni de service visent le dysfonctionnement de services pour des raisons politiques ou, plus globalement, par activisme. Il s’agit généralement du type d’attaque le plus utilisé notamment grâce à l’accessibilité grandissante des outils d’attaque, leur automatisation et leur simplicité, permettant à des individus sans expertise technique de mettre en oeuvre des attaques importantes.

Pour élaborer une stratégie de défense efficace, il est crucial de comprendre les motivations et les méthodes des attaques DDoS.

Les DDoS sont classées en 3 catégories - celles basées sur le volume, visant à submerger une cible avec un trafic massif le plus souvent utilisant des botnets

 les attaques de protocole, exploitant les faiblesses dans la mise en œuvre des protocoles réseau pour perturber la connectivité.

 les attaques de couche d’application, ciblant des applications ou serveurs web spécifique pour les rendre inaccessibles aux utilisateurs légitimes.

Depuis leur apparition en 1990, les méthodes employées dans les attaques DDoS sont devenues plus avancées. Les attaques DDoS sont lancées à partir d’un grand nombre d’appareils connectés dispersés sur internet, rendant leur neutralisation difficile. Ces attaques impliquent souvent des botnets, qui sont des réseaux d’appareils compromis contrôlés à distance par un centre de commande et de contrôle (C&C).

2. Les attaques DNS

Le Domain Name System (DNS) est un élément essentiel au fonctionnement de l’internet. Il traduit les noms de domaine compréhensibles par l’homme en adresses IP que les ordinateurs utilisent pour communiquer.

Les attaques DNS en tant que vecteur utilisent le DNS comme un moyen d’attaque. Elles impliquent souvent des tactiques sophistiquées visant à exploiter les faiblesses du DNS pour mener des attaques plus larges. ​ Les attaques par amplification DNS, par exemple, sont des attaques DDoS qui manipulent le fonctionnement de l’annuaire d’Internet, transformant une requête DNS standard en un déluge de trafic indésirable. En exploitant les résolveurs DNS ouverts, les cybercriminels amplifient le volume de l’attaque, submergeant les systèmes cibles et provoquant souvent des interruptions de service. C’est ce décalage entre la taille des requêtes et celle des réponses qui donne à l’attaque son nom d’« amplification ». L’attaquant envoie de petites requêtes à partir d’une adresse IP usurpée - l’adresse de la victime - ce qui amène le serveur à envoyer une réponse volumineuse à la cible qui ne se doute de rien.

3. Le Modèle OSI :

Le modèle OSI (Open Systems Interconnection) décrit sept couches que les systèmes informatiques utilisent pour communiquer sur un réseau. Il s’agit du premier modèle standard pour les communications en réseau, adopté par toutes les grandes entreprises d’informatique et de télécommunications au début des années 80


Voir les articles précédents

    

Voir les articles suivants