En 10 ans, les attaques DDoS se sont fortement amplifiées

Arbor Networks a publié sa 10e étude annuelle sur les attaques par déni de service. Le constat est sans appel : puissance et fréquence en hausse, et manque cruel de compétences sur ces sujets.

Chaque année, Arbor Networks a pris l’habitude de publier une étude sur la sécurité des infrastructures IT mondiales (WISR pour Worldwide Infrastructure Security Report). La 10e édition a été dévoilée et permet de balayer une décennie d’attaques par déni de services. Parmi les constats saillants de l’étude, Eric Michonnet (notre photo), directeur Europe du Sud d’Arbor Networks souligne : « En 10 ans, les signalements d’attaques sont passés de 8 Gbit/s à 400 Gbit/s. »

Une multiplication par 50 en une décennie qui s’explique par plusieurs raisons. Selon le dirigeant, « la disponibilité d’une plus grande passante a été un facteur fort de développement de la puissance des attaques. Il faut ajouter également des éléments techniques comme l’amplification par réflexion qui utilise des failles réseaux au niveau DNS via différents protocoles pour accroître parfois par 80 le volume des campagnes ». Ce phénomène d’amplification est surtout apparu dans le spectre d’Arbor à la fin de l’année dernière, avec pas moins de 5 attaques par réflection NTP au-dessus de 200 Gbit/s (cf schéma ci-dessous).

NTPReflection_Final

90% des attaques multivecteurs et applicatives

Sur les orientations des attaques DDoS, la donne a changé. « Nous ne sommes plus dans la logique de force brute pour mettre à terre les réseaux, il y en a encore, mais 90% des entreprises interrogées nous ont fait part d’attaques multivecteurs (sur les équipements de sécurité, firewall, IPS ou sur les serveurs) et applicatives  y compris sur le Cloud », admet Eric Michonnet. Pour lui, les datacenters sont toujours une cible privilégiée par les cyberattaquants. « Vous avez des applications déportées dans les datacenters, avec la possibilité d’utiliser des malwares, des bots, et en plus vous disposez d’une très grande bande passante en sortie. Parmi les cibles, on retrouve plutôt des acteurs comme OVH ou Gandi plutôt que des opérateurs de colocation. » Selon l’étude, plus d’un tiers des opérateurs de centres de calcul ont enregistré des attaques DDoS ayant épuisé leur bande passante. L’idée est donc d’arriver à détecter ces points de sortie et de bloquer le trafic avant qu’il n’arrive sur les backbones des opérateurs de transit.

Une pénurie de compétences problématique

Parmi les cibles Eric Michonnet constate plusieurs évolutions dans les 10 dernières années. « Les entreprises n’hésitent plus à avouer qu’elles ont été touchées, ce qui est un point positif pour la prise de conscience. » Y compris sur la fréquence des attaques. En 2013, seuls 25% des répondants admettaient plus de 21 attaques. En 2014, ils étaient 38%. Par contre, il constate aussi que « les entreprises reconnaissent un impact économique face à ces attaques », sans toutefois donner de chiffres médians pour quantifier cette perte.

Autre inquiétude selon le rapport, le recrutement de compétences en matière de cybersécurité est très difficile. « Il y a à la fois un problème de formation. En France il existe très peu de cursus sur ces questions de hacking. De plus, les jeunes talents ont l’habitude d’être chassés et donc de changer souvent de postes. Or, les SOC ou les équipes de sécurité des entreprises ont besoin de stabilité », conclut Eric Michonnet.

A lire aussi :

Le site Defense.gouv se met à DDoS des Anonymous
Sony Pictures : l’Empire contre-attaque… avec du DDoS