Au début de l’année les cyberattaques Ddos menées par Killnet et AnonymousSudan ont occupé le devant de la scène mais d’autres acteurs du piratage ont été plus actifs. Notamment, avec une action malveillante de 71 millions de requêtes par seconde (rps), soit plus de 55 % que le précédent record mondial visant Google (46 millions de rps).
Une intéressante étude de Clouflare résume en trois points la situation sur le front des menaces.
Premier constat, au premier trimestre, 16 % des clients interrogés ont signalé une attaque DDoS par rançongiciel, un résultat stable par rapport au trimestre précédent en 2022 mais qui représente une augmentation de 60 % en glissement annuel. Les assauts par DDoS (déni de service distribué) s’en prennent aux résolveurs DNS ouverts pour surcharger un serveur ou un réseau cible. Une paralysie qui leur permet d’appuyer, souvent, une demande de rançon.
Le deuxième indicateur concerne les organisations à but non lucratif et les médias de diffusion qui figurent parmi les secteurs les plus ciblés. La Finlande a été la principale cible des attaques DDoS de la couche réseau. Quant à Israël, c’est le pays qui a subi le plus d’attaques DDoS http dans le monde.
Enfin, les attaques DDoS à grande échelle - supérieures à 100 Gbps - ont augmenté de
6 % par rapport au trimestre précédent. Parmi les attaques ciblant le DNS, Clouflare a observé une envolée des menaces DDoS contre SPSS, le serveur de licence d'IBM et celles utilisant le protocole GRE (Generic Routing Encapsulation), un protocole spécifique d'encapsulation des paquets de données.
Des risques bien réels pour les organisations
Les attaques par Ddos sont parmi les plus simples et les moins coûteuses à mener, ce qui explique leur « succès » auprès des pirates et hacktivistes. En saturant les infrastructures, elles paralysent les services des victimes, jusqu’à mettre, parfois, en péril leur activité. Quelquefois, c’est un moyen de détourner l’attention des équipes de sécurité tandis qu’une malveillance est menée simultanément. En France, l’hôpital de Brest, la mairie de Lille ou plus récemment l’Assemblée nationale, ont subi des attaques. Des secteurs spécifiques étaient touchés fin 2022 comme le tourisme, l’évènementiel et le gaming mais ils laissent désormais leur place aux organisations à but non lucratif et aux médias. Cela peut notamment s’expliquer par le contexte économique et géopolitique incertain.Pour rappel, les solutions se rapportent aux règles DDoS via les paramètres par défaut dont le niveau de sensibilité et les actions d'atténuation des risques. Le déploiement pertinent des règles de pare-feu permet de réduire les faux positifs et négatifs. A cela s’ajoute la limitation de débit des réseaux. Il faut aussi s'assurer de n'autoriser l'accès Internet qu'aux adresses IP légitimes et demander de nouvelles adresses IP au fournisseur d’accès si elles ont été ciblées directement auparavant.
Les listes d'adresses IP gérées peuvent être intégrées dans les règles de pare-feu. Une autre mesure de prévention consiste à activer la mise en cache pour réduire la charge sur les serveurs d'origine.
Enfin, il ne faut pas oublier d’activer les alertes DDoS pour améliorer le temps de réponse des serveurs.
