Akamai Technologies a publié a son rapport « État des lieux de la sécurité sur Internet » au 1er trimestre 2017. Basé sur les données collectées par l’Akamai Intelligent Platform, il analyse la situation actuelle en matière de sécurité et de menaces sur le cloud et donne des indications sur les tendances en matière d’attaques.
« Notre analyse du 1er trimestre montre principalement que les risques sur Internet, qui ciblent notamment les secteurs industriels, demeurent et ne cessent d’évoluer, » a déclaré Martin McKeay, Senior Security Advocate et Senior Editor, État des lieux de la sécurité sur Internet. « Les cas d’utilisation des botnets, comme Mirai, ont continué à se développer et à évoluer. En effet, les pirates intègrent de plus en plus de failles de l’Internet des objets dans les programmes malveillants et les botnets DDoS. Toutefois, considérer Mirai comme la seule menace serait une erreur. Avec la publication de son code source, il est possible d’intégrer tout aspect de Mirai à d’autres botnets. Même sans ajouter les capacités de Mirai, il est prouvé que les familles de botnets tels que BillGates, elknot et XOR ont muté pour tirer profit de cette évolution constante. »
Tim Vereecke, ingénieur de solutions senior chez Akamai, ajoute: « N’oubliez pas la période des soldes qui commence le premier juillet! Pour de nombreuses entreprises qui font de l’e-commerce cette période est très importante au niveau de revenu et de loyauté à la marque. Il est alors important de mettre en place les mesures nécessaires ».
Points clés du rapport d’Akamai
Attaques DdoS
-Les attaques DNS de type « Water Torture » de Mirai, qui sont un flux de requêtes DNS inclus dans le programme malveillant Mirai, ont ciblé les clients Akamai dans le secteur des services financiers. La plupart des serveurs DNS impactés ont régulièrement reçu des requêtes lors des attaques, à l’exception d’une attaque observée le 15 janvier 2017 durant laquelle l’un des trois serveurs DNS a reçu un trafic d’attaques de 14 Mpps. Les attaques peuvent engendrer des pannes par déni de service en consommant les ressources du domaine cible, utilisées pour rechercher de nombreux noms de domaines générés de façon aléatoire.
-Les attaques par réflexion continuent de représenter le plus grand nombre de vecteurs d’attaques DDoS et sont responsables de 57% de toutes les attaques contrées au 1er trimestre 2017. Les réflecteurs SSDP (Simple Service Discovery Protocol) sont la principale source d’attaques.
Attaques d’applications Web
-Les États-Unis restent le principal pays d’origine des attaques applicatives Web, avec une augmentation significative de 57 % par rapport au 1er trimestre 2016.
-Les trois premiers vecteurs d’attaques applicatives Web observées au 1er trimestre 2017 étaient SQLi, LFI et XSS.
-Avec un pourcentage de 13 % (contre 17% au trimestre précédent), notre voisin les Pays-Bas, deuxième source d’attaques applicatives Web, représentent une source d’attaques de trafic importante pour un pays de seulement 17 millions d’habitants.
Principaux vecteurs d’attaques
-Les vecteurs de type Fragment UDP, DNS et NTP restent les trois principaux vecteurs d’attaques DDoS. Les flux de connexion et de protocole réservés figurent également dans la liste des vecteurs d’attaques au 1er trimestre 2017.
-Les trois vecteurs d’attaques les plus fréquents au 1er trimestre 2017 étaient ACK, CHARGEN et DNS.
-Le vecteur d’attaque par réflexion CLDAP (Protocole léger d’accès aux annuaires sans connexion) a été une nouvelle fois observé. Les attaques DDoS qu’il a généré ont très souvent dépassé 1 Gbit/s et étaient comparables aux attaques produites par réflexion DNS.
Source : Akamai