Au premier trimestre 2024, les attaques DDoS ont connu une augmentation de 50% selon le baromètre de Cloudflare. Des attaques de plus en plus massives parfois commanditées par des États, mais le plus souvent menées par des cybercriminels dans le cadre d’un chantage.
Les attaques par « Déni de Service » ou attaques DDoS sont souvent massives et donc difficiles à contrer même si vos services s’appuient sur les gigantesques réseaux des hyperscalers. Or ces attaques qui peuvent durer quelques heures et parfois quelques jours peuvent totalement paralyser un service en ligne voire une entreprise avec un impact conséquent sur l’activité et le business de l’organisation.
Cloudflare est l’un des grands partenaires internationaux qui protègent les services en ligne contre ces attaques. Au premier trimestre 2024, les boucliers défensifs de l’éditeur ont ainsi contré automatiquement et donc protégé les services de ses clients contre 4,5 millions d’attaques DDoS, soit une augmentation de 50% par rapport au premier trimestre 2023.
Et ce sont les attaques via le protocole HTTP/HTTPS qui ont le plus progressé (+93% en un an) même si ces dernières restent deux fois moins fréquentes que les attaques sur les couches 3 et 4 du modèle OSI (principale des attaques DNS).
Dans le détail, les infrastructures de Cloudflare ont dû contrer en un trimestre 10.500 milliards de requêtes HTTP malveillantes et 59 Po de trafic malveillant.
La plus large attaque contrée durant ce trimestre s’est une nouvelle fois élevée très au-dessus de la barre du térabit par seconde avec un pic à 2 Tbit/s. Une attaque lancée une nouvelle fois depuis le très résilient réseau botnet Mirai qui sévit depuis près de 15 ans maintenant ! Selon Cloudflare, 4% des attaques HTTP et 2% des attaques L3/L4 repérées ce trimestre provenaient de Mirai et son réseau d’objets connectés infectés.
Parmi les autres tendances fortes de ce premier trimestre, on notera une énorme progression (+826%) des attaques DDoS « Jenkins Flood » qui exploitent la vulnérabilité CVE-2020-2100 de Jenkins Automation Server pourtant corrigée depuis 4 ans. Cloudflare ne précise pas la raison de ce soudain intérêt pour cette faille.
Autre tendance, le protocole HTTP/2 intéresse toujours autant les attaquants. L’été dernier tous les fournisseurs de Cloud et notamment Google, Microsoft et AWS avaient enregistré des attaques records utilisant justement cette couche et une faille connue sous le nom de « HTTP/2 Rapid Reset ».
Mais durant ce premier trimestre 2024 c’est une autre faiblesse du protocole HTTP/2 qui a été exploitée en masse : « HTTP/2 Continuation Flood ». Potentiellement plus grave que la précédente (notamment parce qu’elle ne laisse pas de requêtes visibles dans les journaux d’accès), cette vulnérabilité cible les implémentations du protocole HTTP/2 qui ne gèrent pas correctement les HEADERS et les trames CONTINUATION multiples. L’attaquant envoie une séquence de trames CONTINUATION sans l’indicateur END_HEADERS, ce qui entraîne perturbe le fonctionnement des serveurs engendrant des saturations mémoire ou CPU.
Cloudflare rappelle au passage que son CDN et son WAF ne sont évidemment pas vulnérables à ces attaques.
Enfin, le rapport révèle qu’à l’échelon mondial, les premières cibles d’attaques DDoS sont les sites de jeux d’argent et de paris en ligne (plus de 7% des cibles visées) même si en Europe ce sont plutôt le secteur de l’IT et des opérateurs Internet qui sont visés en priorité.
Pour en savoir plus : DDoS threat report for 2024 Q1