Les récentes recherches conduites par NETSCOUT ont démontré que le nombre d’attaques DDoS (fréquence), ainsi que les volumes (BPS) et les débits (PPS) de ces attaques ont tous augmenté de manière significative depuis le début de la pandémie mondiale de COVID-19 à la mi-mars. En France, NETSCOUT a constaté une évolution sensible des attaques par rapport aux années précédentes.
Pour Philippe Alcoy, spécialiste sécurité chez NETSCOUT, les principales conclusions indiquent que les attaques ciblant la France ont augmenté de 128 % par rapport à l’année précédente, les volumes ont quant à eux bondi de 150 % et les débits ont enregistré une hausse de 265 %. « Depuis le début de la pandémie mondiale de COVID-19 à la mi-mars, le nombre d’attaques constatées ne cesse d’augmenter d’un mois à l’autre. Les vecteurs DDoS les plus fréquents pour mener des attaques volumétriques contre la France au cours de cette période étaient les techniques de réflexion/amplification liés aux protocoles DNS et NTP. »
« ATLAS (Active Threat Level Analysis System), le système d’analyse active des menaces, fournit au groupe de recherche sur la sécurité ASERT de NETSCOUT Arbor une perspective unique sur ce qui se passe sur Internet, tant en termes de trafic DDoS que de modèles d’attaques, grâce à des statistiques anonymes partagées par plus de 300 grands fournisseurs de services Internet dans le monde entier. » poursuit-il.
Volumes d’attaques DDoS
Entre le 1er janvier et le 31 mai 2020, la plateforme a enregistré plus de 83 600 attaques contre des entités en France (Figure 1). Cela représente une augmentation de 128 % par rapport à la même période en 2019, où nous avions relevé 36 700 attaques. Le nombre d’attaques DDoS détectées au cours de ces cinq premiers mois a déjà dépassé le nombre d’attaques enregistrées l’année dernière au cours de la période plus longue allant de janvier à août.
Figure 1: attaques DDoS en France 2019-2020
« Jusqu’à la fin mai 2020, nous avons noté une croissance constante du taux global d’attaques DDoS, et chaque mois depuis février, le nombre d’attaques a plus que doublé par rapport à 2019. Rien qu’en avril, le nombre d’attaques a augmenté de 215 %. Le cas de la France n’est pas unique, car nous avons observé des tendances similaires en Europe et dans le reste du monde, les organisations enregistrant des niveaux accrus de trafic malveillant lors de la pandémie de COVID-19. »
Les types d’attaque DDoS et les vecteurs les plus fréquents
Si l’on examine les vecteurs d’attaque DDoS de manière plus précise, on constate que plus de 60 % des attaques enregistrées au cours des cinq premiers mois de 2020 étaient de nature volumétrique (Figure 2). Ces attaques se fondent généralement sur des taux élevés de paquets par seconde (pps) ou de bits par seconde (bps) afin de submerger les différentes cibles : les serveurs, les services, les applications et la bande passante du réseau.
Figure 2 : attaques volumétriques DDoS en France 2019-2020
En ce qui concerne les attaques DDoS lancées en France pendant la période considérée, la réflexion/amplification du protocole DNS était la méthode la plus courante, comme on a pu l’observer dans divers autres pays ; cela n’est pas surprenant, au vu du nombre relativement important de résolveurs DNS publics exploitables présents sur Internet aujourd’hui (Figure 3).
Figure 3 : vecteurs d’attaques DDoS fréquents en France 2019-2020
Outre les attaques par réflexion/amplification DNS, nous avons également identifié une vingtaine de vecteurs d’attaque DDoS basés sur le protocole UDP. Les attaques par réflexion/amplification du protocole NTP ont été les plus nombreuses pendant la période de confinement. Comme dans d’autres pays, nous avons constaté en France l’émergence de CLDAP (Connection-less Lightweight Directory Access Protocol) comme nouveau vecteur potentiel.
En termes d’impact, comme prévu, ce sont les vecteurs DNS et NTP qui génèrent le plus de bande passante, mais nous remarquons que si CLDAP demeure à ce jour moins opérationnel, il se révèle être un puissant instrument d’attaque (Figure 4).
Figure 4 : impact des vecteurs d’attaque DDoS en France 2019-2020
Mais globalement, la répartition relative des vecteurs d’attaque DDoS fréquemment observés au cours de cette période en France était cohérente avec les tendances mondiales.
Bande passante d’attaque moyenne
En 2019, la bande passante moyenne des attaques en France était légèrement inférieure à 1 Gbps, et jusqu’à présent en 2020, elle a augmenté de 22 % pour atteindre 1,15 Gbps (Figure 5). Bien que la différence puisse sembler anodine, et qu’une attaque à 1 Gbps ne paraisse pas particulièrement importante dans un monde où les attaques atteignant des centaines de Gbps sont monnaie courante (voire un chiffre record bien supérieur à 1 Tbps), la réalité est que la plupart des attaques DDoS sont démesurées par rapport à ce qui est nécessaire pour submerger leurs cibles. Et dans la pratique, ces « petites » attaques sont en fait importantes sur le plan opérationnel.
Figure 5 : bande passante moyenne des attaques DDoS en France 2019-2020
Si l’on considère les chiffres consolidés du nombre total d’attaques DDoS enregistrées, les cinq premiers mois de 2020 ont connu une augmentation spectaculaire de 150 %, passant de 38,5 à 96,4 Tbps. Ou, pour donner une idée plus précise, cela représente la bande passante totale des attaques DDoS menées entre le 1er janvier et le 31 octobre de l’année précédente (Figure 6).
Les principaux vecteurs de DDoS à l’origine de ces effets sur la bande passante sont, sans surprise, les vecteurs de réflexion/amplification DNS et NTP, comme indiqué au paragraphe précédent, ainsi que le plus récent CLDAP.
Figure 6 : bande passante totale des attaques DDoS en France 2019-2020
Bande passante d’attaque maximale observée
Jusqu’à présent, la plus grande attaque DDoS enregistrée en France cette année est une attaque de 265 Gbps ayant ciblé un centre de traitement et d’hébergement de données dans le secteur des télécommunications (Figure 7).
Figure 7 : plus grandes attaques DDoS en France 2019-2020
Pour mettre cela en perspective, la plus grande attaque DDoS observée à ce jour dans le monde était de 1,7 Tbps ; la plus grande attaque enregistrée en France sur l’ensemble de l’année 2019 était de 222 Gbps. Le chiffre de 265 Gbps représente donc une augmentation de 19 % par rapport à l’année précédente, alors que nous venons tout juste de passer le solstice d’été.
En ce qui concerne les cibles des attaques DDoS, le secteur des télécommunications subit le gros de la tempête depuis 2019, comme nous l’avons souligné dans notre rapport « Threat Intelligence Report » pour le second semestre 2019 (Figure 8).
Figure 8 : cibles des attaques DDoS en France 2019-2020
Débit des attaques
Un autre élément important que nous surveillons est le débit, ou paquets par seconde (pps), associé aux attaques DDoS. Tout comme pour la fréquence et la bande passante abordées ci-dessus, le débit des attaques dirigées contre la France a également connu une énorme hausse de 265 % du total cumulé des pps entre le 1er janvier et le 31 mai 2020, par rapport à la même période en 2019 (Figure 9).
Figure 9 : débit total des attaques DDoS en France 2019-2020
Cette augmentation substantielle est particulièrement notable puisque le total cumulé des pps pour l’ensemble de l’année 2019 était de 21,9 Gpps. En 2020, nous avons déjà atteint un total de 26,75 Gpps en 5 mois. En raison de cette augmentation des activités d’attaque, le débit moyen d’attaque a également augmenté de 81 % entre 2019 et 2020, passant de 171 kpps à 309 kpps (Figure 10).
Figure 10 : débit moyen des attaques DDoS en France 2019-2020
« Nous ne sommes pas encore à la moitié de l’année 2020, et il est fort probable que le volume et l’impact des attaques DDoS continueront de croître. En comparant tous ces graphiques côte à côte, il est évident que la tendance générale des volumes d’attaques est à la hausse, et nous pensons que cette situation se poursuivra pendant le reste de l’année. Nous avons relevé la même tendance dans d’autres pays européens, et plus particulièrement au Royaume-Uni et en Allemagne. » conclut Philippe Alcoy.
Étant donné que les attaques enregistrées jusqu’à présent en 2020 ont augmenté de manière exponentielle depuis le début de la pandémie du COVID-19 – et compte tenu de tous les changements que celle-ci a entraînés dans l’utilisation et les comportements en ligne –, cela rappelle sans conteste que les organisations sont exposées à un risque sous-jacent, perpétuel et toujours croissant de voir les attaques DDoS affecter de manière notable leur présence et leurs propriétés en ligne.