Selon de nouvelles données publiées cette semaine, les attaques par déni de service distribué (DDoS) conçues pour faire taire les utilisateurs finaux et les sites Web secondaires ont augmenté avec une fréquence et une taille alarmantes l’année dernière. Ces résultats concordent assez étroitement avec les schémas d’attaque observés contre ce site Web au cours de l’année écoulée.
Réseaux Arbor, un important fournisseur de services pour aider à bloquer les attaques DDoS, a interrogé près de 300 entreprises et a constaté que 38 % des personnes interrogées ont vu plus de 21 attaques DDoS par mois. C’est une augmentation par rapport au quart de tous les répondants ayant signalé 21 attaques DDoS ou plus l’année précédente.
BreachTrace se situe carrément dans ce camp de 38 % : au mois de décembre 2014 seulement, prolexique (la Akamaï-entreprise qui protège mon site contre les attaques DDoS) a enregistré 26 attaques distinctes sur mon site. C’est presque une attaque par jour, mais comme la plupart des attaques se sont étendues sur plusieurs jours, le site a été pratiquement constamment attaqué tout le mois.
Source : Réseaux Arbor
Arbor a également constaté que les attaquants continuent d’utiliser des techniques de réflexion/amplification pour créer des attaques gigantesques. La plus grande attaque signalée était de 400 Gbit/s, d’autres répondants signalant des attaques de 300 Gbit/s, 200 Gbit/s et 170 Gbit/s. Six autres répondants ont signalé des événements qui ont dépassé le seuil de 100 Gbit/s. En février 2014, j’ai écrit sur la plus grande attaque à avoir frappé ce site à ce jour – qui s’est produite à un peu moins de 200 Gbps.
Selon Arbour, les trois principales motivations derrière les attaques restent le nihilisme, le vandalisme, les jeux en ligne et le hacktivisme idéologique, qui, selon la société, figurent tous parmi les trois premiers au cours des dernières années.
« Le jeu a gagné en pourcentage, ce qui n’est pas surprenant compte tenu du nombre de campagnes d’attaques très médiatisées liées au jeu cette année », conclut le rapport.
Attaques DDoS sur BreachTrace.com, enregistrées par Akamai/Prolexic entre le 17/10/14 et le 26/01/15.
Les lecteurs de longue date de ce blog se souviendront probablement que j’ai écrit de nombreuses histoires au cours de l’année écoulée sur l’augmentation spectaculaire des services DDoS à louer (alias «booters» ou «stressers»). En fait, lundi, j’ai publié Spreading the Disease and Selling the Cure, qui dressait le profil de deux jeunes hommes qui exploitaient à la fois plusieurs services DDoS à louer et vendaient des services pour aider à se défendre contre de telles attaques.
La grande majorité des clients semblent être des joueurs utilisant ces services DDoS à louer pour régler des comptes ou des rancunes contre des concurrents ; bon nombre de ces services d’attaque ont été piratés au fil des ans, et les bases de données clients back-end divulguées montrent presque toujours qu’un pourcentage énorme des cibles d’attaque sont soit des internautes individuels, soit des serveurs de jeux en ligne (en particulier Minecraft les serveurs). Cependant, bon nombre de ces services sont capables de lancer des attaques considérablement plus importantes – de plus de 75 Gbps à 100 Gpbs – contre pratiquement n’importe quelle cible en ligne.
Comme le note Arbor, certaines des plus grandes attaques tirent parti du matériel basé sur Internet – des consoles de jeu aux routeurs et modems – qui est livré avec des fonctionnalités de mise en réseau qui peuvent facilement être utilisées à mauvais escient pour des attaques et qui sont activées par défaut. Peut-être à juste titre, les plus grandes attaques qui ont frappé mon site au cours des quatre derniers mois sont connues sous le nom d’attaques SSDP parce qu’elles profitent de la Protocole de découverte de service simple – un composant de la norme Universal Plug and Play (UPnP) qui permet aux appareils en réseau (tels que les consoles de jeux) de se connecter de manière transparente les uns aux autres.
Dans un avis publié en octobre 2014Akamai a mis en garde contre une augmentation du nombre d’appareils compatibles UPnP qui étaient utilisés pour amplifier ce qui serait autrement des attaques relativement petites en attaques en ligne surdimensionnées.
Akamai a déclaré avoir découvert que 4,1 millions d’appareils UPnP connectés à Internet étaient potentiellement susceptibles d’être utilisés dans ce type d’attaque DDoS par réflexion. environ 38 % des 11 millions d’appareils utilisés dans le monde. La société a déclaré qu’elle était disposée à partager la liste des appareils potentiellement exploitables avec les membres de la communauté de la sécurité dans le but de collaborer aux efforts de nettoyage et d’atténuation de cette menace.
C’est exactement la réponse dont nous avons besoin, car de nouveaux services DDoS à louer sont mis en ligne chaque jour, et il existe des dizaines de millions d’appareils mal configurés ou mal configurés qui peuvent être utilisés de la même manière pour lancer des attaques dévastatrices. Selon le Ouvrir le projet de résolutionun site qui suit les appareils qui peuvent être abusés pour aider à lancer des attaques en ligne, il existe actuellement plus de 28 millions d’appareils connectés à Internet dont les attaquants peuvent abuser pour les utiliser dans des attaques totalement anonymes.
Les experts en technologie et les Cassandras du monde entier aiment se tordre les mains et se prononcer sur la menace à venir du soi-disant «Internet des objets» – les problèmes de sécurité possibles introduits par la prolifération des appareils sensibles au réseau – des trackers de fitness aux connectés à Internet appareils électroménagers. Mais d’où je suis assis, la véritable menace vient de l’Internet des objets que nous avons déjà besoin de réparer aujourd’hui.
À mon sens, il s’agit d’un problème massif qui mérite une réponse internationale et coordonnée. Nous avons actuellement des efforts mondiaux de vaccination pour éradiquer les maladies infectieuses et transmissibles mais traitables. Malheureusement, nous avons probablement besoin d’un type de réponse similaire pour faire face au problème mondial des appareils qui peuvent être enrôlés à tout moment pour rejoindre un flash mob virtuel capable de lancer des attaques qui peuvent mettre presque n’importe quelle cible hors ligne pendant des heures ou des jours.
Quiconque a besoin de se rappeler à quel point le problème est grave n’a qu’à se tourner vers les attaques du jour de Noël 2014 qui ont détruit les réseaux de jeu Sony Playstation et Microsoft Xbox. Certes, ces entreprises traitaient déjà avec des dizaines de millions de nouveaux clients le même jour, mais comme je l’ai noté dans mon exclusivité du 9 janvier, le service DDoS-for-hire impliqué dans cette attaque (ou du moins les attaquants) a été construit en utilisant quelques milliers de routeurs Internet domestiques piratés.
[Author’s note: The headline for this post was inspired by Glenn Fleishman‘s excellent Jan. 13, 2015 piece in MIT Technology Review, An Internet of Treacherous Things.]