Small nick 01

Frédéric POULALION

Cyberattaques : quelques indications sur les tendances

 

Dans un monde entièrement connecté, nous utilisons n’importe quel appareil et logiciel, pour tout type d’utilisation, à tout moment et en tout lieu. Le nombre de gadgets électroniques qui se connectent au réseau des réseaux est en train d’exploser. Et les menaces de sécurité Internet évoluent sans cesse, un pas d’avance sur les défenses les plus sophistiquées.

Les cybercriminels intègrent de plus en plus de failles de l’Internet des objets (IoT) dans les programmes malveillants et les botnets DDoS. Ainsi, le malware Mirai (détecté pour la première fois en août 2016) est capable de s’infiltrer dans les objets connectés pour créer des botnets. Sa première version a visé principalement des caméras connectées, puis, dès la publication de son code source, il est devenu possible d’intégrer tout aspect de Mirai à d’autres botnets. Il a été prouvé que les familles de botnets tels que BillGates, elknot et XOR ont muté pour profiter de cette évolution constante.

En effet, les bots Mirai peuvent lancer des attaques DNS « Water Torture ». Le principe de ces attaques repose sur la génération de multiples requêtes DNS dont le contenu est en partie aléatoire. Le serveur DNS recevant une telle requête va entraîner des propagations de cette dernière, afin de rechercher l’adresse IP correspondante, qui n’existe pas, auprès du serveur autoritaire pour le domaine.


Résultat : si le nombre de requêtes (donc de propagations) devient trop important, le serveur autoritaire pour le domaine concerné va saturer et ne pourra plus répondre, le domaine ciblé devient alors indisponible.  Il y a une autre possibilité : le serveur DNS sollicité directement par les bots va accumuler les requêtes de propagations non satisfaites et risque à son tour la saturation, rendant impossible toute navigation Internet sur la zone qu’il dessert.
L’augmentation de ces attaques ces dernières années (+82% en volume sur un an) montre une facilité de plus en plus grande à pouvoir déclencher ce type d’action, grâce à des « offres de services » disponibles sur Internet, permettant de louer des botnet.
Et le dernier rapport d’Akamai Technologies, intitulé "État des lieux de la sécurité sur Internet", confirme à nouveau que les terminaux IoT non sécurisés continuent d'être une source importante du trafic d'attaques DDoS (Distributed Denial of Service).
D’après le rapport, les attaques par réflexion représentent le plus grand nombre de vecteurs d’attaques DDoS et sont responsables de 57% de toutes les attaques contrées au 1er trimestre 2017. Les réflecteurs SSDP (Simple Service Discovery Protocol) sont la principale source d’attaques.

Quant aux attaques d’applications Web, depuis l’année dernière elles ont augmenté de 57 %. SQLi, LFI et XSS sont les trois premiers vecteurs d’attaques applicatives Web observées au début 2017 aux États-Unis, le principal pays d’origine de ces attaques. Avec un pourcentage de 13 % (contre 17% au trimestre précédent), les Pays-Bas, deuxième source d’attaques applicatives Web, représentent une source d’attaques de trafic importante pour un pays de seulement 17 millions d’habitants.

Les principaux vecteurs d’attaques observés au 1er trimestre 2017 sont les suivants :
Les vecteurs de type Fragment UDP, DNS et NTP restent les trois principaux vecteurs d’attaques DDoS. Les flux de connexion et de protocole réservés figurent également dans la liste des vecteurs d’attaques au 1er trimestre 2017.


Les trois vecteurs d’attaques les plus fréquents au 1er trimestre 2017 étaient ACK, CHARGEN et DNS.
Le vecteur d’attaque par réflexion CLDAP (Protocole léger d’accès aux annuaires sans connexion) a été une nouvelle fois observé. Les attaques DDoS qu’il a généré ont très souvent dépassé 1 Gbit/s et étaient comparables aux attaques produites par réflexion DNS.

Leave a comment

Make sure you enter all the required information, indicated by an asterisk (*). HTML code is not allowed.