Les attaques DDoS ont doublé au 1er trimestre, le SSDP principal vecteur d'attaque - Actualités RT Sécurité

Les attaques DDoS ont doublé au 1er trimestre, le SSDP principal vecteur d'attaque

le 28/05/2015, par Didier Barathon avec IDG News Service, Sécurité, 753 mots

Au 1er trimestre 2015, 25 attaques DDoS (*) ont dépassé 100 Gbit/s au niveau mondial. La majorité d'entre elles emploient une technique d'amplification par réflexion reposant sur les protocoles NTP (Network Time Protocol), SSDP (Simple Service Discovery Protocol) et des serveurs DNS.

Les attaques DDoS ont doublé au 1er trimestre, le SSDP principal vecteur d'attaque

Akamai Technologies a publié son rapport 2015 sur la sécurité Internet. Il passe en revue les attaques les plus fréquentes, observe les intentions des attaquants, les menaces émergentes et les ressources qu'offre la sécurité dans le cloud. Une centaine de pages, d'où émerge un type de menace plus  flagrant que les autres, les DDoS. Il  a plus que doublé au 1er trimestre 2015 par rapport au même trimestre de l'année précédente.

Akamai relève que des attaques de huit mégas ont été lancées contre ses clients, la plus grande mesurant près de 170 Gbps. "L'augmentation significative du trafic des attaques suggère que les attaquants ont mis au point de nouvelles façons de maximiser leur impact", souligne la société. "Comme de nouveaux outils encore plus puissants deviennent disponibles, des  adversaires non qualifiés sont à leur tour capables d'agressions beaucoup plus dommageables. En outre, avec l'adoption d'IPv6, les attaques peuvent opérer sur une surface plus grande et devenir potentiellement plus efficaces.

L'industrie du jeu a été la plus frappée

La nature des menaces a changé avec des attaques DDoS utilisant en moyenne moins de bande passante, mais de manière plus durable, sur 24 heures ou plus. L'industrie du jeu a été la plus frappée par les attaques. Cinq de ces méga attaques répertoriées dans la catégorie Internet & Telecom ont effectivement ciblé des sites de jeux hébergés sur le réseau du client. Toutes, sauf une, étaient de type SYN Flood (émission d'un nombre important de demandes de synchronisation TCP incomplètes). Le secteur du jeu a été le plus ciblé depuis le 2ème trimestre 2014, l'industrie du logiciel et de la technologie suit de près, on trouve ensuite l'Internet et les télécommunications. Akamai a noté que  "les attaques sur les infrastructures ont augmenté de 125% sur un an, ce qui représente 91% du total des attaques DDoS".

Autre point essentiel dans l'étude, les vecteurs d'attaque DDoS ont changé, c'est le Simple Discovery Protocol (SSDP) qui arrive en tête, dans le secteur des infrastructures, devançant les SYN, qui avaient la vedette au T4 2014. D'autant plus fâcheux qu'il ne manque pas de terminaux avec le protocole SSDP activé au domicile ou au travail, sans oublier les routeurs, les serveurs médias, les  webcams, les téléviseurs intelligents et les imprimantes. Non seulement cette attaque est facile à exécuter pour les acteurs malveillants, mais le nombre de réflecteurs vulnérables ne semble pas diminuer. L'amplification par réflexion permettant aux cyber-attaquants d'augmenter le volume du trafic généré mais d'en masquer les sources.

Le rôle des sites booter / stresser

Au chapitre des attaques DDoS repérées au 1er trimestre, Akamai note l'arrivée d'un nouveau groupe d'attaquants, des sites booter / stresser (ceux qui offrent des services DDoS à la demande). Les booters évoluent plutôt dans le monde du jeu en ligne, que les attaques DDoS visent particulièrement, en voulant évincer un joueur du site. Les acteurs malveillants ont rendu ces attaques facilement disponibles à la vente.

L'année dernière, le trafic d'attaque booter / stresser  était aux environs de 10-20 Gbps. Mais maintenant, ces sites d'attaque sont plus dangereux et capable de lancer des attaques de plus de 100 Gbps. Avec de nouvelles méthodes d'attaque comme SSDP, les dommages potentiels devraient continuer à augmenter au fil du temps.

7 attaques sur les applications

Concernant les applications, Akamai a concentré son analyse sur sept attaques communes : l'injection SQL (SQLi), la faille locale (local file inclusion, LFI), l'inclusion de fichiers à distance (remote file inclusion, RFI), l'injection PHP (PHPi), l'injection de commandes (command injection, CMDI), l'injection Java (java injection), un langage open source pour Java (abusing object Graph navigation language) et le téléchargement de fichiers malveillants (malicious file upload, MFU). Ensemble, ils représentaient 178.850.000 d'attaques sur des applications web.

Parmi les attaques applicatives, Akamai a observé que 163 620 000 d'entre elles ont été envoyées en clair sur http. Cela représente 91,48% des attaques sur des applications. Il y avait 15.230.000 attaques via HTTPS. LFI étant un vecteur d'attaque supérieur à 71,54%, suivi par SQLI à 24,20%. Quant aux pays d'origine de l'attaquant, avec 23,45%, la Chine arrive encore en tête pour les attaques DDoS, l'Allemagne était responsable de 17,39% d'entre elles et les États-Unis de 12,18%. "Ensemble, la Chine, l'Allemagne et les États-Unis représentaient plus de 50% des attaquer IPs sur ce trimestre" a écrit Akamai.

En illustration : le schéma des attaques DDoS

(*) Notre groupe organise, le 17 juin prochain, un dîner privé sur ce thème :
 http://emails.itnewsinfo.com/Conferences/201506-Cust-Level3/Mail.html

 


iOS 9 contourné par des hackers passant par le MDM

Selon une étude signée CheckPoint, des hackers contournent les restrictions pour le déploiement d'applications d'entreprise introduites dans iOS 9. Ils peuvent abuser du protocole de gestion des périphériques...

le 01/04/2016, par Lucian Constantin / IDG News Service (adapté par Didier Barathon), 443 mots

IBM lance sa plate-forme analytique de sécurité, QRadar, complétée...

Le marché de la cybersécurité dans le monde devrait passer de 77 milliards de dollars en 2015 à 170 milliards de dollars d'ici 2020. Les différents fournisseurs devront se partager 100 milliards de dollars au...

le 10/12/2015, par par Chris Player, IDG NS, et Steve Morgan, CSO, 531 mots

Trop de terminaux embarqués n'ont pas de dispositifs de sécurité

Un grand test de sécurité mené par Eurecom et une Université allemande a permis de découvrir facilement des milliers de vulnérabilités sur des terminaux embarqués. Visiblement, les fabricants n'ont pas ou pas...

le 23/11/2015, par Lucian Constantin, IDG NS, 668 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »