Les attaques parDéni de service distribué (DDoS-Distributed Denial of Service) ciblent la disponibilité des systèmes et des données et, bien qu'il ne s'agisse pas d'une menace nouvelle (elle a fêté son 20e anniversaire en 2019), elle occupe une place importante dans le paysage des menaces de cybersécurité.
Le rapport annuel « Threat Landscape » de l’European Union Agency for Cybersecurity (ENISA) consacre un gros chapitre à ce type de menace. « Nous avons à nouveau observé un grand nombre d'incidents impliquant des DDoS, avec un pic en juillet 2022. Celles-ci ont culminé avec la plus grande attaque jamais enregistrée, lancée contre un client européen sur la plateforme Prolexic, qui a atteint son apogée à 853,7 Gb/s sur 14 heures ».
Des attaques plus importantes et plus complexes
L’agence rappelleque les attaques DDoS peuvent être construites sur la base d'une attaque basée sur le web.Elles sont souvent distribuées par le biais d'applications web et utilisent le cloud comme principal vecteur de menace.Par exemple, les attaques basées sur le web peuvent être adoptées pour construire un botnet sur le cloud qui est ensuite utilisé pour mener une attaque visant à rendre un système indisponible.
Mais au-delà de ce rappel, l’agence insiste sur le fait que les acteurs malveillants améliorent leurs compétences techniques et s'adaptent mieux aux nouvelles technologies. Les attaques deviennent plus importantes et plus complexes.
Selon F5Labs, la taille des attaques DDoS a augmenté de façon remarquable en 2021, pour atteindre un nombre d'attaques de l'ordre de Tb/s (avec une augmentation de l'ordre de 10 %). La plus importante identifiée par F5Labs en novembre 2021 était d'environ 1,4 Tb/s et a visé un hébergeur.
Il apparaît queles attaques entre 1 et 3 Gb/s sont préférées à celles plus petites. De même, les attaques entre 10 et 30 Gb/s sont plus populaires que celles entre 6 et 10 Gb/s.
RDoS : des attaques difficiles à repérer
Autre constat, les attaques à vecteurs multiples sont courantes et leur fréquence au cours de l'année dernière était supérieure à celle des attaques à vecteur unique.« Dans ce contexte, le déni de service avec rançon (RDoS-Ransomware to ransom denial of service) combine les dangers d'une attaque DDoS traditionnelle, tout en réduisant considérablement les besoins en ressources pour mener à bien cette action », lit-on dans ce rapport.
Des groupes de cybercriminels (Fancy Bear, Cozy Bear, Lazarus Group et le collectif Armada), qui mènent ces campagnes, analysent les entreprises ciblées pour trouver celles dont les systèmes sont faibles et vulnérables. Ils menacent ensuite ces entreprises en envoyant une lettre d'extorsion demandant une rançon pour ne pas attaquer le système.
La simplicité des attaques RDoS est à la base de leur adoption. Grâce aux outils de cybercriminalité en tant que service (CaaS-Cybersecurity as a Service), le lancement d'une telle attaque devient de plus en plus simple alors qu'il est toujours difficile de repérer son origine.
« Les attaques RDoS sont encore plus dangereuses que les DDoS traditionnelles, car elles peuvent être menées à bien même si l'attaquant ne dispose pas de ressources suffisantes », prévient l’agence.