Les attaques DDoS s’intensifient selon Microsoft, en fréquence comme en puissance

« Un niveau sans précédent », c’est ainsi que l’entreprise présente l’évolution des attaques distribuées par déni de service (DDoS) durant la seconde moitié de 2021. L’industrie du jeu vidéo est toujours la plus visée, notamment des titres comme Titanfall, Escape from Tarkov, Dead by Daylight et Final Fantasy 14.

Microsoft pointe dans son rapport – aussi technique que vantant ses mérites, nous y reviendrons – plusieurs évolutions notables, dont une hausse très sensible du nombre d’attaques. Avec une moyenne de 1 955 attaques DDoS par jour, la seconde moitié de l’année a vu une augmentation de 40 % de ce vecteur d’attaque.

Alethea Toh, responsable produit, évoque une conséquence logique : il est non seulement possible d’utiliser des services prêts à l’emploi pour ce type d’attaque, mais leur coût est en plus modeste, de l’ordre de 300 dollars par mois.

Derrière les moyennes, les pics

Une moyenne quotidienne de 1 955 attaques peut surprendre. Elle témoigne d’une réalité que le grand public ne perçoit presque jamais. En outre, s’agissant d’une moyenne, on trouve des évènements notables dans les détails.

Le 10 août est par exemple la journée ayant connu le plus grand nombre d’attaques contre des services hébergés sur Azure : 4 296. Le second semestre a vu passer un total de 359 713 attaques uniques. Et si les années précédentes montraient toujours un renforcement des attaques durant les vacances de fin d’année, 2021 a marqué une rupture : elles étaient plus nombreuses au troisième trimestre qu’au quatrième. Ce, alors que les trois plus importantes se situaient dans les deux derniers mois.

En octobre, Microsoft avait enregistré une attaque DDoS à 2,4 Tb/s, établissant un nouveau record pour l’entreprise. Ce score a été battu trois fois depuis. Le record a été atteint en novembre, avec une attaque à 3,47 Tb/s au rythme de 340 millions de paquets par seconde. La société pense qu’il s’agit de la plus grosse attaque jamais enregistrée.

Elle émanait d’environ 10 000 sources réparties dans de nombreux pays, dont les États-Unis, la Chine, la Corée du Sud, la Russie, la Thaïlande, l’Inde ou encore l’Iran. Le vecteur était de type réflexion UDP sur quatre protocoles (SSDP, CLDAP, DNS et NTP).

Les tirs étaient concentrés sur moins de 15 min et visaient les clients Azure en Chine. Tout comme les deux attaques suivantes en décembre. La première était de type UDP sur les ports 80 et 443 avec quatre pics répartis sur plus de 15 min : 3,25, 2,54, 0,59 et 1,25 Tb/s. L’autre attaque est grimpée à 2,55 Tb/s, en un seul pic sur le port 443 pendant un peu plus de 5 min.

Une évolution dans la durée des attaques, moins dans les méthodes et cibles

Les attaques sont toujours en majorité basées sur des vecteurs multiples et la brutalité pendant une courte période, mais les temps changent.

Les attaques de moins de 30 min représentaient 57 % durant le deuxième semestre 2021, contre 74 % au premier. Celles durant plus d’une heure sont au contraire passées de 13 à 27 %.

Les méthodes employées ont consacré les tendances du semestre précédent. Le flood UDP est ainsi, et de loin (55 %), la technique la plus utilisée. Son principe est simplissime : envoyer une large quantité de requêtes UDP sur des ports aléatoires. Les systèmes de l’hôte contacté vont alors vérifier quelle application écoute sur chaque port, se rendre compte qu’il n’y en a pas et, en conséquence, émettre un paquet ICMP Destination Unreachable pour signaler l’erreur. Plus il y a de paquets, plus ces systèmes doivent émettre de paquets ICMP, jusqu’à la « noyade ». C’est une attaque de type volumétrique.

UDP est utilisé aujourd’hui par 55 % des attaques bloquées par Microsoft, soit 16 points de plus qu’au premier semestre. Celles basées sur TCP sont en très net recul : 19 %, contre 54 au premier semestre. Malgré cette chute drastique, le flood TCP ACK reste au deuxième rang des techniques les plus utilisées, à hauteur de 14 %.

L’industrie du jeu vidéo reste la plus grosse cible des attaques, mais personne n’est plus à l’abri. Les institutions financières, médias, fournisseurs d’accès, magasins ou encore les chaines d'approvisionnement ont tous été davantage visés que durant le premier semestre.

Mais ce sont bien les jeux et leurs services qui restent les plus fréquemment attaqués. Selon Microsoft, la majorité des attaques proviennent de mutations du botnet Mirai. Ce dernier avait, à l’automne 2016, provoqué de gros dégâts, notamment chez Dyn. Utilisant le peu de sécurité de nombreux objets connectés vendus dans le commerce – notamment les caméras – Mirai avait jeté un éclairage cruel sur les pratiques des constructeurs. Les routeurs de 900 000 clients Deutsche Telekom avaient par exemple été touchés.

Et si les jeux sont autant touchés, c’est parce qu’il est facile de les perturber. Ceux visés sont bien sûr ceux en réseau et donc très sensibles à la latence. Un jeu comme World of Warcraft (les titres Blizzard sont souvent visés) a subi plusieurs attaques en 2021, entrainant une explosion de la latence et donc l’impossibilité de contrôler son personnage, voire de se connecter au plus fort du « flood ».

Les entreprises proposant des services payants en ligne sont les plus à même d’être attaquées, puisqu’une perturbation du service a un impact financier plus direct.

Des régions du monde bien plus visées que d’autres

Bien que le rapport émane de Microsoft, certaines proportions sont telles qu’il y a peu de chances que les résultats soient très différents ailleurs. Ainsi, les États-Unis restent le pays le plus attaqué au monde : 54 % dans le cas d’Azure.

Ce n’est bien sûr pas un hasard, puisqu’une grande partie des grandes entreprises technologiques s’y trouvent. Les GAFAM sont tous américains, de même que beaucoup des plus gros studios de production des jeux vidéo.

Cependant, le classement habituel a été bouleversé par l’arrivée spectaculaire de l’Inde. Au premier semestre, elle ne représentait que 2 % des attaques DDoS. Désormais, elle se place en deuxième position avec 23 %.

Microsoft évoque quelques clés de compréhension. D’abord la pénétration galopante du smartphone dans la population, augmentant d’autant les risques de cyberattaques. Ensuite, les jeux – toujours eux – sont le plus souvent joués sur les téléphones. Beaucoup se jouant en ligne, les serveurs indiens sont devenus des cibles de choix.

De la même manière que l’Inde est grimpée en flèche, Microsoft a constaté une chute brutale des attaques visant l’Europe. De 19 % au premier semestre, elle n’a représenté que 6 % de celles au second semestre.

Pour Microsoft, l’absorption des attaques est un argument de poids pour le cloud

À la lecture du rapport, et au-delà de l’aspect technique, on ne s’étonne pas de lire les fleurs que se lance Microsoft. Dans ce contexte, au vainqueur les lauriers, puisque les attaques ont été diluées avec succès.

Pour l’entreprise, c’est une preuve forte que les solutions cloud sont bien mieux à même de répondre aux menaces d’aujourd’hui que les installations sur site. Résister à une telle volumétrie n’est en effet pas donné à tout le monde, et seuls de gros acteurs comme les GAFAM et des sociétés spécialisées telles que Cloudflare peuvent résister (pas toujours) efficacement à la distribution des attaques.

La multiplication des objets connectés et le passage à la 5G ne vont pas améliorer la situation. La surface d’attaque globale est en augmentation constante et l’immense majorité des services ont besoin d’une connexion stable pour fonctionner.

Cependant, même si Microsoft a techniquement raison, la situation mérite réflexion. La bascule des installations sur site vers le cloud concentre entre les mains d’un nombre réduit d’acteurs la protection des services qui y sont stockés. Le chat et la souris n’ont pas fini de se battre, car plus les sociétés du cloud investissent dans la défense, plus les volumes d’attaques augmentent.

Résister à un flux de 3,47 Tb/s a beau être impressionnant et faire autant figure de démonstration technique que de publicité, rien ne permet d’affirmer qu’une prochaine attaque ne va pas faire céder le barrage. Et ce, qu’il s’agisse de Microsoft, Google, Amazon, Apple, Facebook, Cloudflare ou de n’importe quelle grosse structure a priori parée contre de telles bombes. Surtout avec l’augmentation du nombre de clients, la division Azure connaissant une croissance trimestrielle à deux chiffres depuis de nombreuses années.

Cloudflare confirme la tendance

Cloudflare, justement, note aussi une augmentation significative du nombre d’attaques DDoS, mais répartit ses constats en trois catégories (rançons, couche application et couche réseau). La plus grosse attaque bloquée, dans l’histoire de l’entreprise, a eu lieu en novembre avec environ 2 Tb/s. Elle confirme la tendance à la hausse des flux de 1 Tb/s ou plus. De son côté cependant, c’est le secteur de la production qui a été le plus touché, avec une impressionnante hausse de 641 % des attaques entre les troisième et quatrième trimestres. Les services commerciaux et de jeux sont arrivés respectivement deuxième et troisième.

Enfin, et pour donner une idée de l'évolution, rappelons qu’OVH avait indiqué en 2013 être capable de bloquer les attaques DDoS de n’importe quelle ampleur. Deux ans plus tard, le Français célébrait une infrastructure pouvant gérer un total de 4 Tb/s. Moins de 7 ans plus tard, une seule attaque atteint presque ce palier.