Akamaï sort régulièrement un rapport baptisé « l’Etat des lieux d’Internet / Sécurité » qui donne un aperçu au niveau mondial des attaques, cibles et sources dans la sphère Internet. Retour sur les données en provenance des secteurs de la haute technologie, des médias vidéo et du divertissement, collectivement appelés Médias et technologies.

L’étude d’Akamaï se concentre plus particulièrement sur les données issues du secteur des médias Technologies. Il y recense dans le détail attaques, cibles et sources. Et sur les 18 mois d’observation entre janvier 2018 et juin 2019, on constate un certain nombre d’attaques sur les applications Web lesquelles représentent près de 35 % de toutes les attaques par « credential stuffing » (vols massifs d’identités numériques) et 17 % des attaques contre les applications Web. Les attaquants s’intéressent essentiellement aux données personnelles comme celles des entreprises, visant là les médias ou les produits numériques. Les serveurs vulnérables sont essentiellement utilisés comme plateformes de diffusion pour toutes sortes de malwares.

01

Les Applications WEB en premier point d’entrée

Si l’on considère le graphique des attaques Web sur ce secteur, la cible principale est le segment de marché des Hautes Technologies, terme  qui regroupe à la fois les fabricants d’équipements matériel et les éditeurs de logiciels comme les fournisseurs de technologie et de services comme les opérateurs de Cloud, de téléphonie mobile, de télécommunications et enfin de télévision par câble. Pour le reste, les attaques ciblant le segment du divertissement sont relativement constantes, tout comme celles à l’encontre des médias vidéo (distribution et livraison, industrie cinématographique) même si ce nombre a tendance à augmenter avec le temps.

02

Cet engouement pour la récupération d’informations personnelles donne également aux attaquants la possibilité de voler par la suite du flux média (rencontres sportives, films, etc.)

Le pic de novembre 2018 qui concerne le segment des Hautes Technologies est lié à une attaque ciblée. Les assaillants visaient tout particulièrement les données sensibles en utilisant la méthode de tentative d’inclusions de fichiers locaux dite LFI (Local File Injection) à hauteur de 82,3%.

Les Attaques par Injection préférées

Sinon sur la période considérée, ce sont les SQLi (injections SQL, attaque visant les bases de données) qui remportent tous les suffrages avec plus de 70 % des attaques, suivies par l'inclusion de fichiers locaux (LFI) à 19,3 %, le cross-site scripting (XSS) à 3,9 %, l'injection PHP à 3,3 % et l'inclusion de fichiers à distance (RFI) à moins de 1 %.

Les attaques SQLi sont demeurées le principal vecteur d'attaque des assaillants notamment si le but recherché est  d’acquérir des identifiants, des dossiers financiers ou tout autre élément de ce type au sein de la base de données Entreprise. Il est à noter que les attaques par injection dans leur ensemble (attaques SQLi, LFI, RFI et XSS pour insérer des morceaux de code dans le programme ciblé) ont représenté́ plus de 98 % des attaques contre le segment des médias et des technologies.

Si les techniques d’injection semblent être les préférées des criminels c’est également parce qu’elles ne requièrent aucune compétence technique de leur part et sont également automatisables.

03

Localisation des cibles d’attaques applicatives

Les Etats-Unis en premier lieu puis la France sont considérées comme les principales cibles dans le secteur des Médias et Hautes Technologies. Pour les Etats-Unis cela représente près de 20% de toutes les attaques subies par cette puissance sur la période considérée.

Suivent la France (34,78 %), le Japon (22,96 %), l'Allemagne (11,09 %) et l'Inde (10,55 %).
 Akamaï insiste sur le cas de la Corée car 64 % de toutes les attaques recensées contre les entreprises coréennes ciblent des entreprises de médias.

4

« Credential Stuffing »

Le terme Credential Stuffing désigne les attaques reposant sur une utilisation massive d’authentifiants volés.

Les segments les plus lucratifs pour les criminels sont ceux des Hautes Technologies et des médias vidéo. Elles forment des cibles de choix car les données issues des entreprises évoluant dans ces secteurs peuvent être facilement revendues à profit.

En ce qui concerne les principales attaques sur cette période, la première des sources a été́ localisée en Russie, un pays réputé pour le nombre élevé de services  proxy qui y sont proposés. Suivent le Brésil, la Malaisie et la Chine, tout autant réputés pour leur nombre de services proxy et également pour leurs activités de piratage ou la revente/échange de comptes.

Il est à noter que tous les pics d’activité correspondent à la sortie de nouvelles versions sur différentes plateformes qui viennent s’ajouter une activité normale déjà très élevée sur le reste de la période.

5

Tentatives de Connexions Malveillantes : Les sources

En tête de ce palmarès se trouvent les Etats-Unis, la Russie, le Canada, l’Allemagne et l’Inde. Mais attention, ce n’est pas parce que l’adresse IP d’un attaquant est située quelque part que cela prouve sa présence sur ce site car les paramètres proxy sont bien là pour cacher non seulement l’origine d’une attaque mais aussi l’identité du véritable criminel.

Akamaï fournit un exemple de service de proxy offrant des accès pour un prix allant de 30 à 200$ par semaine, le tarif dépendant essentiellement de l’emplacement dudit serveur proxy et également des limites du compte accessible.

6

source : https://www.akamai.com/fr/fr/