Attaques DDoS, on passe aux Tbit/s !

Jan 23, 2024 | Cyber Security | 0 commentaires

Au cours des troisième et quatrième trimestres 2023, le seuil du téra a été largement franchis, à 1,6 Tbit/s !

Des Mbit/s aux Tbit/s ! Le dernier Gcore Radar trimestriel met en garde contre une nouvelle ère d’attaques DDoS. L’augmentation de la puissance d’attaque à 1,6 Tbit/s est particulièrement alarmante.

En 2021, la capacité maximale des attaques DDoS était de 300 Gbit/s. En 2022, elle est passée à 650 Gbit/s. Au premier et au deuxième trimestre 2023, on a atteint les 800 Gbit/s. Au cours des troisième et quatrième trimestres 2023, le seuil du téra a été largement franchis, à 1,6 Tbit/s ! Ce qui veut dire, encore, que le secteur de la cybersécurité mesure les attaques DDoS dans une nouvelle unité, les térabits !

Gcore parle d’« évolutions alarmantes » en termes d’ampleur et de sophistication des cybermenaces. Les trois dernières années ont entraîné une augmentation annuelle de plus de 100 % du volume maximal d’attaques DDoS (maximum enregistré).

Les attaques plus longues réclament plus de ressources

Question durée de l’attaque, ça varie de 3 minutes… à 9 heures, avec une moyenne d’environ une heure. « Habituellement, les attaques courtes sont plus difficiles à détecter car elles ne permettent pas une analyse appropriée du trafic en raison de la rareté des données, note Gcore. Et comme elles sont plus difficiles à reconnaître, elles sont également plus difficiles à atténuer. Les attaques plus longues nécessitent plus de ressources pour être combattues, ce qui nécessite une réponse d’atténuation puissante ; sinon, le risque est une indisponibilité prolongée du serveur. »

Par types d’attaques, les « inondations » UDP continuent de dominer, constituant 62 % des attaques DDoS. Les attaques TCP Flood et ICMP restent également populaires, représentant respectivement 16 % et 12 % du total.

Stratégie de défense à multiples facettes

Tous les autres types d’attaques DDoS, notamment SYN, SYN+ACK Flood et RST Flood, ne représentaient que 10 % au total. « Même si certains attaquants peuvent recourir à ces approches plus sophistiquées, la majorité d’entre eux se concentrent toujours sur la fourniture d’un volume de paquets considérable pour mettre hors service les serveurs. »

La diversité des méthodes d’attaque nécessite une stratégie de défense à multiples facettes, capable de protéger contre toute une gamme de techniques DDoS, analyse Gcore.

La stratégie variera en fonction de l’emplacement

La répartition mondiale des sources d’attaque démontre la nature sans frontières des cybermenaces, où les attaquants opèrent au-delà des frontières nationales. Gcore a identifié diverses origines d’attaques au cours du second semestre 2023, les États-Unis étant en tête avec 24 %. L’Indonésie suit (17 %). Puis les Pays-Bas (12 %), la Thaïlande (10 %), la Colombie (8 %), la Russie (8 %) et l’Ukraine (5 %). Le Mexique (3 %), l’Allemagne (2 %) et le Brésil (2 %) figurent également dans le top dix, illustrant une menace mondiale largement répandue.

« La répartition géographique des sources d’attaques DDoS fournit des informations importantes pour créer des stratégies de défense ciblées et pour façonner l’élaboration des politiques internationales visant à lutter contre la cybercriminalité, note encore Gcore. Cependant, il est difficile de déterminer l’emplacement de l’attaquant en raison de l’utilisation de techniques telles que l’usurpation d’adresse IP et de l’implication de réseaux de zombies distribués. Il est donc difficile d’évaluer les motivations et les capacités, qui peuvent varier des actions parrainées par l’État aux pirates informatiques individuels. »

Tbit/s…  industrie du jeu et finance

L’industrie du jeu reste le secteur le plus touché, subissant 46 % des attaques. Le secteur financier, y compris les banques et les services de jeux, arrive en deuxième position (22 %). Suivent les fournisseurs de télécommunications (18 %), les fournisseurs cloud IaaS (7 %) et les éditeurs de logiciels informatiques (3 %)

« Depuis le précédent rapport Gcore Radar, les attaquants n’ont pas changé d’orientation : les secteurs du jeu et de la finance sont particulièrement intéressants pour les attaquants, probablement en raison de leurs gains financiers et de leur impact sur les utilisateurs. Cela souligne la nécessité de stratégies de cybersécurité ciblées dans les secteurs les plus touchés, comme des contre-mesures pour des serveurs de jeux spécifiques. »