DDoS : des assauts plus tempérés, mais plus complexes et plus ciblés

Dans son rapport WISR, Netscout Arbor montre que les attaques par déni de service baissent en densité. Les cybercriminels ou des Etats préfèrent lancer des offensives plus ciblées et hélas plus efficaces.

Avec le développement de l’écosystème IoT et les variations autour des botnets de type Mirai, Hajime, Brickerbot, on s’attendait à ce que le 13ème rapport WISR (Wolrdwilde Infrastructure Security Report) de Netscout Arbor relate des attaques DDoS affichant des niveaux de trafic dépassant les 1 Tbit/s. Et bien non, la densité est en baisse en 2017 par rapport à 2016. A cette date, la plus grande attaque DDoS enregistrait un pic à 800 Gbit/s alors que la plus importante en 2017 dépasse poussivement 640 Gbit/s.

JO, géopolitique et attaques multi-vecteurs

Pour expliquer cette chute de densité, Eric Michonnet, directeur Europe Sud, Europe Centrale et Afrique du Nord chez Netscout Arbor évoque plusieurs raisons. « En premier lieu, les attaquants n’ont plus à faire de démonstrations de leurs forces. C’est pour cela que l’on constate une hausse des attaques moyennes qui coûtent moins chers à organiser pour un meilleur bénéfice ».

Il ajoute, « il y aussi la tenue d’évènements sportifs impactant les résultats du rapport. En l’occurrence en 2016, les Jeux Olympiques ont été générateurs d’attaques ». De même, il considère, « les attaques DDoS ont une signification politique en ciblant les pays sous tension » et d’évoquer le cocktail explosif des prochains JO d’hiver en Corée du Sud.

Si les assauts moyens sont en pleine croissance, elles sont aussi de plus en plus complexes. « Les assaillants varient de méthodes pendant l’attaque », explique Eric Michonnet. Le rapport souligne qu’en 2017, 10% des frappes par amplification et réflexion comprenaient plus d’un vecteur d’attaque : DNS, NTP, Chargen ou SSDP. Une variété qui montre une professionnalisation des cybercriminels pour parvenir à leurs fins.

Plaidoyer pour plus d’automatisation

Les DDoS à la demande commencent à faire leur chemin, « mais ce n’est que le début » assure le dirigeant. Les cibles n’ont pas changé, les banques et établissements financiers restent les plus touchés par les assauts par déni de service. Ensuite, on trouve les hébergeurs de sites et les organisations gouvernementales.

Au-delà des attaques, les entreprises ont pris des mesures pour protéger leurs datacenters, elles se sont équipées de solutions pour atténuer les offensives. Mais pour Eric Michonnet, « l’heure est à l’automatisation des outils. Il y a encore 20% des entreprises qui ne savent pas ce qui s’est passé après les attaques et les outils ne savent pas tout analyser ». Un besoin d’orchestration inéluctable selon le spécialiste, « avec des attaques moyennes plus fréquentes, la volumétrie va exploser, mais les ressources pour les traiter restent les mêmes ». Le développement du SDN et du NFV participe à l’amélioration de l’intelligence du réseau, « les entreprises peuvent ainsi placer les bons équipements aux bons endroits du réseau ». Et de prédire en guise de conclusion, « en 2018, il va y avoir une convergence sur l’intelligence déployée pour analyser le trafic des malwares, les APT (Advanced Persistent Threat) et les attaques DDoS ».

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s