La septième étude annuelle d'Arbor Networks sur la sécurité des infrastructures mondiales révèle que l'« hacktivisme » est devenu la principale motivation identifiable qui se cache derrière les attaques DDoS. La période étudiée va d'octobre 2010 à novembre 2011 et les personnes interrogées représentent 114 opérateurs à travers le monde, dont 39% sur le continent américain, 41% dans la zone EMEA et 20% en Asie-Pacifique. Enfin, 77% d'entre elles sont des ingénieurs, analystes ou architectes en réseau ou sécurité, les autres étant des dirigeants d'entreprises.
Les enquêtes précédentes indiquaient des desseins d'ordre financier, qu'il s'agisse de nuire à un concurrent ou d'extorquer purement et simplement des fonds. Dans le contexte actuel, toute entreprise peut devenir la cible d'une attaque et, compte tenu des nombreux outils DDoS disponibles, n'importe qui peut lancer une attaque. Cela représente un bouleversement du paysage des menaces et du modèle d'évaluation des risques par les opérateurs réseau et leurs clients tributaires d'Internet pour leur activité.
L'enquête annuelle WISR d'Arbor Networks met en lumière les défis auxquels sont confrontés les opérateurs réseau, en première ligne de la guerre mondiale à livrer contre les botnets et les attaques DDoS. L'objectif de l'étude est de fournir les données et analyses qui aideront les opérateurs à prendre de meilleures décisions pour affiner leur stratégie en matière de sécurité, afin d'assurer la disponibilité de leurs infrastructures Internet et IP critiques.
Le quart des sondés ont observé des attaques DDoS dépassant la bande passante totale de leur centre de données : pendant la durée de l'enquête, les responsables interrogés ont fait état d'une intensification significative des attaques DDoS grosses consommatrices de bande passante (de l'ordre de 10 Gbit/s), signe que les opérateurs réseau doivent se préparer à subir et neutraliser couramment des attaques de grande ampleur.
13% ont signalé des attaques dépassant les 10 Gbit/s : la plus importante attaque DDoS signalée pendant la période étudiée a atteint 63,5 Gbit/s, contre 100 Gbit/s en 2010, mais les opérateurs auraient tort d'y voir un recul de l'intensité des attaques. Bien au contraire, ils doivent prendre conscience qu'une attaque de plusieurs dizaines de gigabits par seconde est plus que suffisante pour mettre à terre une entreprise et que ces chiffres soulignent l'extrême gravité de la menace que ces attaques de grande envergure font peser sur les infrastructures réseau et les services de support (DNS, par exemple) sans parler des sites des utilisateurs.
50% signalent des attaques applicatives sur leur réseau : les responsables interrogés indiquent que les attaques DDoS applicatives sophistiquées sont devenues monnaie courante, tandis que les attaques DDoS multivecteurs complexes combinant une forte consommation de bande passante et des composants applicatifs se multiplient à grande vitesse.
Les pare-feu de type « stateful » et les systèmes de prévention d'intrusion ne sont toujours pas à la hauteur en matière de protection contre les attaques DDoS : plus de 40% des responsables interrogés font état de la défaillance de l'un de ces systèmes à la suite d'une telle attaque. Pour la première fois, les participants de l'enquête ont observé cette année des attaques DDoS IPv6 sur leur réseau, ce qui marque une montée en puissance dans cette « course aux armements » et confirme que les opérateurs doivent disposer de capacités suffisantes de visualisation et de neutralisation afin de protéger les sites IPv6. Il est à noter que, s'il s'agit des premiers cas d'attaques DDoS signalés sur IPv6, les incidents de sécurité touchant le nouveau protocole demeurent relativement rares. Cela indique clairement que, tandis que les déploiements IPv6 continuent de progresser, IPv6 ne présente pas encore un poids économique ou culturel suffisant pour mobiliser l'attention des cybercriminels.
Environ les trois-quarts des responsables interrogés déclarent surveiller étroitement l'origine du trafic, en faisant remarquer que certaines zones géographiques sont plus susceptibles d'être la source d'attaques DDoS. Ils sont également préoccupés par l'origine géographique des équipements qu'ils déploient sur leur réseau. La moitié des participants de l'enquête disent ne pas avoir observé d'attaques visant les infrastructures mobiles, alors que plus de 30% d'entre eux signalent en moyenne 50 à 100 attaques DDoS par mois. En outre, 44% ignorent si des systèmes hôtes sont infectés sur leur réseau. Ces résultats contradictoires reflètent l'absence généralisée, chez les opérateurs mobiles, des outils nécessaires à une détection efficace des menaces pour leur sécurité.
Commenter cet article