Botnets : une activité DDoS stable, mais des attaques sur les applications Web en forte croissance

Une récente enquête sur le détournement d’un site Web fonctionnant sous Wordpress faisait ressortir des milliers de tentatives d’authentification en l’espace de seulement deux mois, dont certaines couronnées de succès. Pour surprenant que cela puisse paraître au premier regard, cela ne devrait pas l’être si l’on en croît Akamai et son rapport sur l’état de la sécurité sur Internet au quatrième trimestre 2017.

De fait, le spécialiste de l’optimisation de la diffusion de contenus en ligne a compté plus de 17 milliards de tentatives d’authentification passant par sa plateforme entre novembre et décembre derniers. Sur le seul mois de novembre, Akamai estime que 43 % d’entre elles était illégitimes : il s’agissait de tentatives « d’accès à un compte en essayant d’en deviner le mot de passe [force brute ou par dictionnaire] ou en utilisant des détails sur ce compte glanés ailleurs sur Internet ».

Le monde du commerce de détail est le plus concerné par le phénomène, avec plus d’un milliard de tentatives d’accès malicieuses au mois de novembre. Il est suivi de très près par le secteur de l’hôtellerie et du voyage. Mais avec 800 millions de tentatives, le monde des hautes technologies n’est pas en reste. Vient ensuite le secteur des médias et du divertissement (à moins de 400 millions), puis ceux des services financiers (environ 200 millions), et des biens de consommation (un peu plus de 100 M).

Pour les auteurs du rapport d’Akamai, les tentatives de détournement d’identifiants, « que ce soit en force brute ou via l’utilisation de listes noms d’utilisateur et mots de passe obtenues de manière illégitime est un problème qui n’est près de disparaître ». Et il y a une bonne raison à cela : « les gens réutilisent constamment les mots de passe, et bien trop peu d’organisations surveillent suffisamment les authentifications ». Dès lors, le conseil est simple : « si votre organisation évolue dans l’un des secteurs les plus visés, il est peut-être temps de réexaminer le sérieux avec lequel vous prenez la menace ».

Mais ce n’est bien sûr pas la seule menace qui pèse sur les applications et services exposés en ligne. Au quatrième trimestre 2017, les tentatives d’injection SQL ont compté pour 50 % des attaques sur les applications Web, devant les inclusions de fichiers locaux (37 %) et le scripting inter-sites (XSS, à 8 %). Akamai explique ce classement par le fait que l’injection SQL « est une attaque bien connue et bien comprise qui conserve sa place parce que les organisations n’ont pas pris le temps de protéger leurs sites ». Cela reste donc un vecteur efficace pour les attaquants.

Et les attaques en déni de service distribué (DDoS) n’ont pas plus disparu, loin s’en faut. Akamai estime qu’elles ont progressé, en nombre, de 14 % au dernier trimestre 2017, sur un an. Et elles concernent toujours très majoritairement l’industrie du jeu. En moyenne, une organisation a essayé 29 attaques DDoS au dernier trimestre 2017, un maximum à 512 pour une seule.

La bonne nouvelle, c’est que si Mirai a réussi à faire des émules – avec notamment Reaper et Satori – ceux-ci sont loin d’afficher la même force de frappe. Akamai a observé un pic du nombre de bots rattachables à Satori fin novembre, à près de 900 000 adresses IP uniques. On est là bien loin des près de trois millions d’adresses IP uniques mobilisées lors de l’attaque à laquelle a dû faire face Deutsche Telekom.