L’hacktivisme pousse à la multiplication des attaques DDoS

Les attaques par déni de service se multiplient, notamment du fait d’opérations d’hacktivisme idéalistes. C’est la conclusion à laquelle Arbor Networks est parvenu à l’issue d’une étude menée entre octobre 2010 et novembre 2011 auprès de 114 grands fournisseurs de services et entreprises du monde entier. Les événements récents, depuis la fermeture brutale de Megaupload.com, viennent donc mettre en lumière comme jamais un phénomène qui n’a pas grande chose de nouveau mais a fortement progressé sous l’effet de la démocratisation des outils sur lesquels il s’appuie.

De fait, 91 %  des répondants à l’enquête, dont les conclusions ont été publiées la semaine passée, indiquent avoir connu au moins une attaque en déni de service distribué (Distributed Denial of Service, DDoS) en 2011, contre 76 % en 2010. Ils sont 44 % à avoir connu plus de 10 attaques, contre 35 % un an plus tôt. 22 % des sondés ont dû affronter plus de 50 attaques par mois en 2011. Sans surprise, alors que l’année écoulée a été notamment marquée par les attaques d’envergure menées par le collectif Anonymous et LulzSec, les organisations sondées estiment que le DDoS est d’abord une forme de vandalisme et d’activisme.

En examinant le type des attaques DDoS étudiées, Arbor Networks a découvert que les attaquants parviennent désormais à générer des volumes de trafic encore plus importants pour viser les organisations, consommer leur bande passante réseau, jusqu’à dégrader les performances de ce dernier ou même le faire tomber. Ces attaques à large bande passante deviennent la norme : 40 % des répondants ont fait état d’attaques générant plus de 1 Gbps de trafic... pour 13 %, cette valeur est même montée jusqu’à 10 Gbps et certains ont mesuré un trafic de 100 Gbps.

Les résultats de l’étude montrent également une augmentation du nombre d’attaques touchant à la couche applicative, ainsi que de celles intégrant plusieurs vecteurs d’attaque. Darren Anstee, Architecte solutions EMEA chez Arbor Networks, souligne que cela révèle une montée en sophistication de la communauté des hackers. Pour lui, «il est inquiétant de constater un nombre croissant d’attaques sur la couche applicative, contre des services Web et d’IRC (Inter Relay Chat). Le principal problème est que ces attaques sont très efficaces à des niveaux de trafic plus bas et avec l’implication d’un nombre inférieur de machines. Elles peuvent également respecter les protocoles existants ce qui implique qu’elles passent au travers de systèmes de détection et de prévention des intrusions. Ce qui ne les rend que plus difficiles à maîtriser.» Selon Anstee, les pirates peuvent également combiner différentes méthodes d’attaques DDoS pour lancer des attaques «volumétriques» en force brute assorties, en parallèle, d’attaques applicatives ciblées : «dès lors, il est plus probable qu’ils parviennent à faire tomber le service ou le client. Et, si l’attaque applicative réussi, l’attaquant pourra la maintenir hors service plus longtemps car les victimes devront d’abord travailler à corriger l’attaque volumétrique.»

Pour Anstee, l’idéalisme et le vandalisme motivant de si nombreux attaquants, il n’est que plus probable qu’une organisation soit un jour ciblée. Par exemple, les entreprises fournissant ou commerçant avec des organisations ayant provoqué l’ire de certains groupes - pour des raisons politiques, religieuses ou tout simplement parce que l’entreprise est impliquée dans des activités polémiques comme la production de tabac ou la recherche animale - pourrait soudain devenir à leur tour des cibles.

Toutefois, les attaques DDoS peuvent être encore motivées de manière plus traditionnelle. Ainsi, selon 29 % des répondants, le jeu en ligne est une cible de joie. Et dans 25 % des cas, il s‘agissait simplement de criminels faisant la démonstration de leurs capacités - tant à des prospects qu’à des victimes en devenir. Dans certains régions du monde, les attaques DDoS sont régulièrement utilisées comme arme de guerre commerciale : «cela fait quasiment partie de la vie normale des affaires dans la région Asie-Pacifique,» explique Anstee, soulignant que «c’est moins commun en Europe de l’Ouest.» 

Arbord Networks a également enregistré un petit nombre d’attaques DDoS sur des services IPv6 mais estime qu’à ce stade, les criminels ne voient pas ces services comme des cibles significatives.

Adapté de l'anglais par la rédaction

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close