Une attaque par déni de service distribué (DDoS) record de 5,6 Tbit/s, alimentée par un botnet Mirai comprenant plus de 13 000 appareils IoT compromis, a été lancée la semaine dernière.

Cette attaque ultra-courte et hyper-volumétrique n’a duré que 80 secondes, au cours desquelles elle a généré d’énormes quantités de trafic vers un fournisseur de services Internet d’Asie de l’Est. Cloudflare affirme que ses systèmes de défense autonomes et distribués ont réussi à atténuer l'attaque en temps réel, sans intervention humaine ni perturbation notable.

« La détection et l'atténuation étaient entièrement autonomes… (Elles) n'ont déclenché aucune alerte et n'ont provoqué aucune dégradation des performances. Les systèmes ont fonctionné comme prévu », explique Cloudflare.

Alors que l’attaque avait une puissance globale extraordinaire de 5,6 Tbit/s, chacun des 13 000 appareils IoT impliqués a contribué en moyenne à un peu plus de 1 Gbit/s par seconde au déluge.

Les appareils IoT continuent d’alimenter les attaques de botnets

Les vulnérabilités de l’IoT ont une fois de plus été au cœur de la tentative d’un botnet de lancer une cyberattaque massive. Les appareils compromis, probablement exploités pour utiliser des informations d’identification par défaut ou un micrologiciel non corrigé, ont collectivement créé ce torrent record de trafic malveillant.

Ce dernier épisode renforce les inquiétudes concernant le manque de sécurité inhérent à de nombreux appareils IoT, même des appareils apparemment inoffensifs étant récupérés dans de vastes réseaux de zombies malveillants.

L’attaque n’était pas un incident isolé dans un quartier calme. Selon Cloudflare, le quatrième trimestre 2024 a vu une forte augmentation des attaques DDoS hyper-volumétriques – celles dépassant 1 Tbps – en hausse de 1 885 % en glissement trimestriel (QoQ). Les attaques DDoS dépassant 100 millions de paquets par seconde (pps) ont également augmenté de manière significative, en hausse de 175 % en QoQ, avec 16 % d'entre elles dépassant le seuil astronomique d'un milliard de pps.

Cloudflare rapporte que même si la majorité (93 %) des attaques au niveau de la couche réseau restent relativement faibles, inférieures à 500 Mbps, la force des récentes attaques hyper-volumétriques – rendues possibles par les botnets IoT – a tiré la sonnette d'alarme dans tous les secteurs.

Ce défi est aggravé par la brièveté de nombreuses attaques modernes.

« 91 % des attaques DDoS sur la couche réseau se terminent en dix minutes. Seulement 2 % durent plus d'une heure », explique Cloudflare. « Étant donné que la durée de la plupart des attaques est si courte, il n’est pas possible, dans la plupart des cas, pour un humain de répondre à une alerte, d’analyser le trafic et d’appliquer des mesures d’atténuation. »

Origines mondiales des attaques DDoS

Faisant écho à ses conclusions du trimestre précédent, Cloudflare a révélé que l'Indonésie continue de figurer en tête des classements mondiaux en tant que plus grande source d'attaques DDoS. Hong Kong et Singapour se classent respectivement deuxième et troisième, reflétant un changement régional notable dans la provenance des attaques.

Pour les attaques HTTP DDoS, la source géographique peut être déterminée en examinant les adresses IP spécifiques des appareils compromis, car celles-ci ne peuvent pas être usurpées. Cependant, pour les attaques au niveau de la couche réseau, Cloudflare s'appuie sur les emplacements de ses vastes centres de données mondiaux (couvrant plus de 330 villes dans le monde) où le trafic d'attaque est intercepté et atténué. Cela garantit une attribution précise, même face à des techniques telles que l’usurpation d’adresse IP.

Lorsqu'ils ont été interrogés, les clients cibles de Cloudflare ont avoué dans leur grande majorité qu'ils ne savaient pas vraiment qui était derrière les attaques. Cependant, parmi ceux qui ont identifié leurs agresseurs, 40 % ont désigné des concurrents comme coupables, soulignant une tendance inquiétante au sabotage industriel.

Les acteurs étatiques ou parrainés par l’État étaient impliqués dans 17 % des cas, tandis que les individus mécontents – qu’ils soient clients ou anciens employés – se classaient dans la même situation. Notamment, 14 % des clients ont pointé du doigt les extorsionnistes, reflétant la menace croissante des attaques « RDoS » (Ransom Denial-of-Service) motivées par des rançons.

Pays et secteurs en ligne de mire

La Chine a une fois de plus conservé sa couronne peu enviable de pays le plus attaqué, sur la base des adresses de facturation des clients cibles de Cloudflare. Cependant, le quatrième trimestre 2024 a montré de nouveaux arrivants surprenants : les Philippines ont fait leurs débuts à la deuxième place et Taïwan a gagné sept places pour prendre la troisième place.

Sur le plan sectoriel, le segment « Télécommunications, fournisseurs de services et opérateurs » est apparu comme l'industrie la plus ciblée. Il a détrôné le secteur des services bancaires et financiers, qui a chuté de sept places depuis sa première place au troisième trimestre 2024 jusqu'à la huitième place ce trimestre.

Parallèlement, le secteur « Internet, marketing et publicité » complète le trio de tête des attaques, preuve que les attaques continuent de proliférer dans des secteurs verticaux de plus en plus diversifiés.

Les stratégies défensives doivent évoluer parallèlement aux menaces DDoS

Ce dernier barrage d’attaques hyper-volumétriques met en évidence des leçons cruciales pour l’avenir de l’IoT et de la sécurité en ligne. Même si la grande majorité des attaques restent de petite envergure et de courte durée, leur intensité, leur ampleur croissante et leurs origines distribuées sans précédent – ​​à partir d’appareils IoT non sécurisés – laissent entrevoir un horizon sombre si aucune mesure n’est prise.

Les fabricants d’appareils IoT doivent assumer leurs responsabilités, depuis l’application de normes de sécurité plus strictes jusqu’à la mise à jour régulière des vulnérabilités afin d’éviter que leurs appareils ne fassent partie d’un botnet comme Mirai et ses variantes. De même, les organisations doivent adopter des solutions d’atténuation DDoS en ligne et en couches, capables de contrecarrer automatiquement même les attaques les mieux coordonnées sans risquer d’arrêt opérationnel.

Pour les secteurs fortement dépendants de leur présence numérique, les risques financiers et de réputation liés au fait d’être pris au dépourvu sont presque incommensurables. À mesure que les attaques DDoS évoluent, du sabotage industriel dans des domaines concurrentiels aux outils de conflit géopolitique, les entreprises doivent réagir par une évolution égale et opposée des défenses.

(Image de Pete Linforth)