Selon le rapport trimestriel d’Akamai Technologies, le nombre total d’attaques applicatives Web ont augmenté de 35% en l’espace d’un an et les attaques DNS de type « Water Torture[1] » du botnet Mirai ont ciblé le secteur des services financiers
Basée sur les données collectées par l’Akamai Intelligent Platform, cette étude analyse la situation actuelle en matière de sécurité et de menaces sur le cloud et donne des indications sur les tendances en matière d’attaques. Après les attaques Wannacry et Adylkuzz, le rapport donne une image de l’état de la sécurité sur Internet et ses évolutions.
L’utilisation d’Internet au titre de l’entreprise et du consommateur est de plus en plus entremêlée. Très souvent, les internautes ont un login d’entreprise et un personnel et se connecte avec le même fournisseur SaaS et utilisent les mêmes applications sur votre téléphone (Gmail, Dropbox, LastPass, etc.). À moins de travailler dans un environnement strictement réglementé et surveillé, il n’est pas rare qu’un internaute des applications indifféremment pour des raisons professionnelles ou particulières.
Certaines entreprises ont adopté l’utilisation de dispositifs personnels (c’est le fameux BYOD), et d’autres non. Mais il devient de plus en plus difficile d’appliquer une politique de « Non BYOD » lorsque les terminaux et les ressources utilisées sont accédées en dehors du périmètre de l’entreprise. Les dispositifs personnels non gérés augmentent le spectre de risques allant des vulnérabilités non corrigées aux la recherche d’informations de base comme la recherche des smartphones des salariés. Cela sans même prendre en compte les wearables et les objets connectés.
Notre interaction avec Internet a évolué vers une situation que l’on peut caractérisée par « n’importe quand, n’importe où, en utilisant n’importe quel appareil et logiciel, pour tout type d’utilisation ». Cela signifie que les entreprises doivent aborder les problèmes de sécurité de manière à ne pas compter exclusivement sur les méthodes traditionnelles périmétriques (notre réseau, notre logiciel, notre matériel). Et ils doivent être en mesure de distinguer les données commerciales et les données personnelles alors que celles-ci peuvent avoir été créées à la même heure et au même endroit en utilisant les mêmes applications et stockées dans les mêmes formats sur le même matériel et services.
« Notre analyse du 1er trimestre montre principalement que les risques sur Internet, qui ciblent notamment les secteurs industriels, demeurent et ne cessent d’évoluer, » commente Martin McKeay, Senior Security Advocate et Senior Editor, Les cas d’utilisation des botnets, comme Mirai, ont continué à se développer et à évoluer. En effet, les pirates intègrent de plus en plus de failles de l’Internet des objets dans les programmes malveillants et les botnets DDoS. Toutefois, considérer Mirai comme la seule menace serait une erreur. Avec la publication de son code source, il est possible d’intégrer tout aspect de Mirai à d’autres botnets. Même sans ajouter les capacités de Mirai, il est prouvé que les familles de botnets tels que BillGates, elknot et XOR ont muté pour tirer profit de cette évolution constante. »
Parmi les principales conclusions de l’étude :
Attaques DDoS
Les attaques DNS de type « Water Torture » de Mirai, qui sont un flux de requêtes DNS inclus dans le programme malveillant Mirai, ont ciblé les clients Akamai dans le secteur des services financiers. La plupart des serveurs DNS impactés ont régulièrement reçu des requêtes lors des attaques, à l’exception d’une attaque observée le 15 janvier 2017 durant laquelle l’un des trois serveurs DNS a reçu un trafic d’attaques de 14 Mpps. Les attaques peuvent engendrer des pannes par déni de service en consommant les ressources du domaine cible, utilisées pour rechercher de nombreux noms de domaines générés de façon aléatoire.
Les attaques par réflexion continuent de représenter le plus grand nombre de vecteurs d’attaques DDoS et sont responsables de 57% de toutes les attaques contrées au 1er trimestre 2017. Les réflecteurs SSDP (Simple Service Discovery Protocol) sont la principale source d’attaques.
Attaques d’applications Web
Les États-Unis restent le principal pays d’origine des attaques applicatives Web, avec une augmentation significative de 57 % par rapport au 1er trimestre 2016. Les trois premiers vecteurs d’attaques applicatives Web observées au 1er trimestre 2017 étaient SQLi, LFI et XSS. Avec un pourcentage de 13 % (contre 17% au trimestre précédent), les Pays-Bas, deuxième source d’attaques applicatives Web, représentent une source d’attaques de trafic importante pour un pays de seulement 17 millions d’habitants.
Principaux vecteurs d’attaques
Les vecteurs de type Fragment UDP, DNS et NTP restent les trois principaux vecteurs d’attaques DDoS. Les flux de connexion et de protocole réservés figurent également dans la liste des vecteurs d’attaques au 1er trimestre 2017. Les trois vecteurs d’attaques les plus fréquents au 1er trimestre 2017 étaient ACK, CHARGEN et DNS.
Le vecteur d’attaque par réflexion CLDAP (Protocole léger d’accès aux annuaires sans connexion) a été une nouvelle fois observé. Les attaques DDoS qu’il a généré ont très souvent dépassé 1 Gbit/s et étaient comparables aux attaques produites par réflexion DNS.
[1] Water Torture is a type of Distributed denial-of-service attack to DNS Servers. Authoritative DNS servers is the target of this attack. However, as a side effect, Cache DNS Server (Internet service providers DNS server) ‘s load is increased