Une accalmie toute relative pour les attaques DDoS début 2014

Un semblant de calme après la tempête. Ainsi pourrait-on décrire, à la lecture du dernier baromètre d’Arbor Networks, l’évolution des attaques informatiques par déni de service distribué (DDoS) entre le 1^er et le 2^e trimestre 2014.

Pour autant, la menace est persistante. Mais au-delà des utilisateurs finaux (qui restent les plus touchés), les infrastructures réseau sont régulièrement prises pour cible, au même titre que les services (DNS et e-mail en tête), selon nos confrères d’ITespresso.

Les attaques DDoS, qui consistent à multiplier les requêtes vers des serveurs pour les faire tomber et rendre indisponibles les contenus qu’ils hébergent, sont de plus en plus sophistiquées et souvent déguisées en trafic « légitime ». Les grandes entreprises en demeurent la principale proie, devant les sites e-commerce, les médias et le secteur public.

Dans 34% des cas, l’anonymisation du trafic empêche de remonter à la source des attaques. En analysant les données partagées par plus de 290 fournisseurs d’accès dans le cadre de l’observatoire des menaces ATLAS, Arbor Networks a tout de même déterminé que 15,1% des assauts recensés au 2^e trimestre 2014 provenaient de Corée du Sud ; 14,8%, des Etats-Unis ; 6,7%, de Chine. Ces trois mêmes pays sont les plus touchés : dans 18% des cas pour les Etats-Unis, 15,9% pour la Chine et 13,4% pour la Corée du Sud. A noter que la France, cible d’intérêt au 1^er trimestre avec 6,4% des DDoS recensés, a bénéficié d’un peu de répit sur la période d’avril-juin (3,8%).

Des volumes d’attaques en régression

Autre accalmie d’un trimestre à l’autre : la volumétrie des attaques. Alors qu’un pic à plus de 300 Gbit/s avait été enregistré en début d’année, les compteurs n’ont pas dépassé 154,69 Gbit/s au printemps. Menée contre une entité espagnole, l’offensive en question exploitait une faille dans le Network Time Protocol (NTP), qui permet de synchroniser les horloges des systèmes informatiques. Cette vulnérabilité peut, par un phénomène d’amplification, provoquer une attaque d’un volume jusqu’à 8 fois supérieur à la bande passante dont l’attaquant dispose réellement.

Ces attaques par « réflexion NTP » demeurent importantes, mais leur taille et leur étendue reculent d’un trimestre à l’autre. Tout comme la taille moyenne du DDoS, passée à 759,83 Mbit/s entre avril-juin, contre près de 1,5 Gbit/s en janvier-mars. Les attaques sont par ailleurs de plus en plus courtes : neuf sur dix durent moins d’une heure ; seuls 1,38% s’étalent sur plus d’une demi-journée.

Arbor Networks a toutefois relevé, au cours du seul moins de juin 2014, davantage d’attaques supérieures à 20 Gbit/s que sur toute l’année 2013. Quant au nombre d’assauts exploitant plus de 100 Gbit/s, il dépasse la centaine sur l’ensemble du semestre. Une première qui confirme le DDoS comme la première des préoccupations pour le reste de l’année chez les professionnels de l’informatique.

crédit photo © Duc Dao – shutterstock

A lire aussi :