RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE D'ATTAQUES PAR DÉNI DE SERVICE DISTRIBUÉ (DDOS) 4E ÉDITION 4E TRIMESTRE
RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE 4E TRIMESTRE SOMMAIRE SYNTHÈSE 3 TENDANCES DES ATTAQUES DDOS OBSERVÉES PAR VERISIGN 4E TRIMESTRE 4 Limitations par taille d'attaque 4 LIMITATIONS PAR SECTEUR 5 THÉMATIQUE : LES SERVICES DDoS-FOR-HIRE SONT SYNONYMES DE MENACES ACCRUES POUR LES ENTREPRISES 7 CONCLUSION 8 2 2
RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE 4E TRIMESTRE SYNTHÈSE Taille moyenne des attaques : 7,39 Ce rapport contient les observations et perspectives issues des limitations d'attaques par déni de service distribué (DDoS) mises en place pour le compte des clients de Verisign DDoS Protection Services et avec leur coopération, ainsi que des recherches de sécurité de Verisign idefense Security Intelligence Services. Il représente un point de vue unique sur les tendances des attaques en ligne au cours du trimestre précédent, y compris les statistiques des attaques et les tendances de comportement. Entre le 1er octobre et le 31 décembre, Verisign a observé les grandes tendances suivantes : Gbits/s Activité DDoS en volume soutenue, avec des attaques atteignant 60 Gbits/s/16 millions de paquets par seconde (Mpps) pour les inondations UDP (User Datagram Protocol) et 55 Gbits/s/60 Mpps pour les attaques basées sur le TCP (Transmission Control Protocol). 14 % T/T 245 % A/A La taille d'attaque moyenne a augmenté pour atteindre 7,39 gigabits par seconde (Gbits/s), soit une poussée de 14 % pour cent par rapport au 3e trimestre et de 245 % par rapport au 4e trimestre 2013. Le secteur le plus fréquemment ciblé au 4e trimestre était celui des services informatiques/cloud/ SaaS, représentant à lui seul un tiers de l'activité de limitation, avec une pointe dépassant juste 60 Gbits/s. Secteur le plus fréquemment ciblé : SERVICES INFORMATIQUES/ CLOUD/SAAS Les organismes du secteur public ont connu une augmentation considérable du nombre des attaques, et ont représenté 15 % de l'ensemble des limitations menées par Verisign au 4e trimestre. Les attaques contre le secteur des services financiers ont doublé en pourcentage par rapport au dernier trimestre, représentant 15 % de l'ensemble des limitations. 42 % des attaques ont donné lieu à des pointes supérieures à 1 Gbits/s, 17 % d'entre elles exploitant plus de 10 Gbits/s du trafic des DDoS. Le protocole NTP (Network Time Protocol) continue à constituer la majorité du trafic des attaques UDP réflectives, avec une augmentation continuelle du vecteur d'attaque SSDP (Simple Service Discovery Protocol) observé pour la première fois au 3e trimestre. Thématique du 4e trimestre : Les services DDoS-for-Hire sont synonymes de menaces accrues pour les entreprises La disponibilité croissante des services DDoS-for-hire - également appelés «booters» - présente un énorme risque pour les professionnels de la sécurité, car ils permettent virtuellement à quiconque d'engager des cyber criminels qualifiés pour lancer une attaque DDoS pour un coût aussi bas que 2 $ USD de l'heure. Le thème de ce trimestre expose comment ce marché malveillant fonctionne et présente quelques détails qui donnent à réfléchir concernant la modicité du coût de lancement d'une attaque DDoS à l'heure actuelle. 3 3
RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE 4E TRIMESTRE TENDANCES DES ATTAQUES DDoS OBSERVÉES PAR VERISIGN 4E TRIMESTRE Limitations par taille d'attaque La taille des attaques limitées par Verisign au 4e trimestre s'est située à une moyenne de pointe de 7,39 Gbits/s (voir la Figure 1). Ceci représente une augmentation de 14 % de la taille moyenne des attaques par rapport au 3e trimestre (6,46 Gbits/s) et de 245 % par rapport au 4e trimestre 2013 (2,14 Gbits/s). 2,14 4e trimestre 2013 Figure 1 : Taille moyenne des attaques en pointe par trimestre L'activité des attaques de DDoS dans la catégorie 10 Gbits/s est restée élevée à plus de 17 % de l'ensemble des attaques, bien que ce chiffre ait légèrement baissé par rapport aux 23 % du 3e trimestre (voir la Figure 2). En tout, 42 % des attaques ont exploité plus de 1 Gbits/s du trafic d'attaque, ce qui demeure à ce jour un niveau de bande passante important à sur-approvisionner en cas d'attaque DDoS pour toute entreprise dépendant du réseau. >10 Gbps >5<10 Gbps >1<5 Gbps >1 Gbps 3,92 1er trimestre 4,60 2e trimestre 1er trimestre Figure 2 : Pointes de limitation en par catégorie 6,46 3e trimestre 2e trimestre 7,39 4e trimestre 3e trimestre 14 12 10 8 6 4 2 0 Gbps 4e trimestre 100 80 60 40 20 0 pour cent 4 4
RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE 4E TRIMESTRE La plus importante attaque DDoS UDP volumétrique limitée par Verisign au 4e trimestre ciblait un client du secteur des services informatiques/cloud/saas. Il s'agissait principalement d'une attaque NTP réflective ciblant le port 443 avec une pointe à 60 Gbits/s et 16 Mpps. L'attaque a persisté au niveau de 60 Gbits/s pendant plus de 24 heures et présente un nouvel exemple de la façon dont la capacité d'un réseau zombie et la durabilité de l'attaque peuvent largement dépasser l'ampleur que les entreprises peuvent gérer par leurs propres moyens. La plus vaste attaque TCP a été une inondation SYN contre un client du secteur des médias et du spectacle. L'attaque ciblait un port de jeu personnalisé, avec une pointe à 55 Gbits/s et 60 Mpps. LIMITATIONS PAR SECTEUR Les attaques par déni de service distribué (DDoS) constituent une menace internationale et ne sont pas limitées à un secteur spécifique, comme l'illustre la Figure 3. En outre, Verisign confirme que les attaques par secteur signalées dans ce document ne reflètent que la base de clientèle protégée par Verisign ; en revanche, ces données peuvent être utiles pour hiérarchiser les dépenses de sécurité sur la base de l'exposition aux attaques DDoS observée pour votre secteur d'activité. Au 4e trimestre, les clients du secteur des services informatiques/cloud/saas ont subi le plus grand volume d'attaques (voir la Figure 3), représentant un tiers de l'ensemble des attaques, avec une pointe dépassant juste 60 Gbits/s. Verisign pense que la tendance des attaques contre le secteur des services informatiques/cloud/saas se poursuivra, car ces entreprises migrent les équipements IP vers des services et des infrastructures dans le cloud, développant réellement leurs surface d'attaque sur les dispositifs sur site ainsi que les clouds publics et privés. Services informatiques/cloud/saas 33% Médias et spectacles/ contenu 23% 0 Commerce électronique/ Publicité en ligne Finances 15% Secteur public 15% Télécommunications 8% 6% 100 Figure 3 : Limitations au 4e trimestre par secteur 5 5
RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE 4E TRIMESTRE Les attaques ciblant le secteur public ont constitué 15 % des attaques du 4e trimestre Les clients du secteur public on subi la plus large augmentation des attaques, représentant 15 % de l'ensemble des limitations au 4e trimestre. Verisign pense que l'augmentation considérable du nombre d'attaques DDoS infligées au secteur public peut être attribué à l'utilisation accrue que les attaquants font des attaques DDoS comme tactiques d'activisme politique, ou hacktivisme, à l'encontre de différentes organisations gouvernementales internationales et en réaction à différents événements fortement médiatisés, notamment les manifestations à Hong Kong et Ferguson, MO. Comme nous en faisions état dans notre dossier idefense 2015 Cyber Threats and Trends (Cyber menaces et tendances 2015), la convergence des mouvements de protestation en ligne et physiques a contribué à l'utilisation accrue des DDoS comme tactique à l'encontre des organisations, notamment du secteur public, pendant toute l'année. Verisign pense également que la disponibilité immédiate et le développement des boîtes à outils DDoS et des offres de prestations de services DDoS dans l'univers cyber clandestin peuvent avoir contribué à l'augmentation des attaques visant le secteur public et prévoit la poursuite de cette tendance en 2015. La plus importante augmentation suivante, en termes de nombre d'attaques, a visé le secteur financier et a doublé pour représenter 15 % de l'ensemble des limitations. Comme l'indique le Rapport Verisign des tendances DDoS pour le 3e trimestre, la période des fêtes de battait son plein au 4e trimestre et Verisign a constaté comme à l'accoutumée une augmentation de l'activité DDoS contre les entreprises de ses clients pendant cette période. Verisign a limité plus d'attaques DDoS en décembre que pendant tout autre mois de l'année. VECTEURS ET LIMITATIONS DES ATTAQUES DDoS AU 4E TRIMESTRE Amplification NTP Au 4e trimestre, le vecteur d'attaques le plus courant observé par Verisign est resté l'amplification UDP exploitant le NTP (Network Time Protocol). Comme nous l'avons exposé dans les rapports précédents, de nombreuses entreprises n'utilisent pas de systèmes externes pour leur NTP ou ne leur font pas confiance. Dans ce cas, la solution peut consister tout simplement à restreindre ou à limiter le débit entrant/ sortant des ports NTP aux seuls hôtes authentifiés/connus. Amplification SSDP Verisign a en outre continué à observer l'exploitation du SSDP (Simple Service Discovery Protocol) dans les attaques DDoS par amplification au 4e trimestre. Verisign recommande au lecteur de réaliser un audit des ressources internes, pour vérifier que l'entreprise n'est pas exploitée à son insu dans des attaques DDoS SSDP. Dans la plupart des entreprises, il est inutile que les implémentations SSDP soient ouvertes à Internet. Dans ce cas, le protocole doit être bloqué à l'entrée du réseau pour se protéger de ce vecteur spécifique au niveau de la capacité réseau d'une entreprise. 6 6
RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE 4E TRIMESTRE Thématique : LES SERVICES DDoS-FOR-HIRE SONT SYNONYMES DE MENACES ACCRUES POUR LES ENTREPRISES L'un des thèmes courants des attaques par déni de service distribué (DDoS) en a été que les acteurs, les stratégies et les outils impliqués ont continuellement évolué et gagné en efficacité et en intensité. En fait, comme vous l'avez appris récemment dans l'actualité, certains cyber criminels sont devenus de tels adeptes du lancement d'attaques DDoS couronnées de succès qu'ils sont désormais professionnels. Cette disponibilité croissante des services DDoS-for-hire - également appelés «booters» - présente un énorme risque pour les professionnels de la sécurité, car ils permettent virtuellement à quiconque d'engager des cyber criminels qualifiés pour lancer une attaque DDoS. Nom du service Tarif du service (USD) Xakepy.cc à partir de 5 $ de l'heure à partir de 30 $ pour 24 heures à partir de 200 $ par semaine à partir de 800 $ par mois World DDoS Service à partir de 50 $ par jour à partir de 300 $ par semaine à partir de 1 200 $ par mois King's DDoS Service à partir de 5 $ de l'heure à partir de 25 $ pour 12 heures à partir de 50 $ pour 24 heures à partir de 500 $ par semaine à partir de 1 500 $ par mois MAD DDoS Service à partir de 35 $ par nuit à partir de 180 $ par semaine à partir de 500 $ par mois 2 $ de l'heure entre 1 et 4 heures Gwapo's 4 $ de l'heure entre 5 et 24 heures Professional DDoS 5 $ de l'heure entre 24 et 72 Service heures Prix fixe de 1 000 $ par mois Depuis leur création en 2010, les capacités de DDoS-for-hire ont progressé en termes de succès comme de popularité et, étonnamment, peuvent désormais être déployées pour un coût d'une modicité 6 $ de l'heure stupéfiante ; nombreux sont ceux qui PsyCho DDoS 60 $ par nuit peuvent être engagés pour seulement Service 380 $ par semaine 5 $ USD de l'heure et parfois même 900 $ par mois pour aussi peu que 2 $ USD de l'heure DDoS Service 911 50 $ par nuit (voir la Figure 41), selon les études 70 $ par jour réalisées par Verisign idefense Security Blaiz DDoS Service à partir de 450 $ par semaine Intelligence Services. En outre, des attaques massives et de longue durée à partir de 50 $ par jour Critical DDoS peuvent être déployées pour aussi peu que à partir de 300 $ par semaine Service 800 $ USD pour un mois complet. Le plus à partir de 900 $ par mois déconcertant est peut-être le fait qu'au à partir de 50 $ par jour cours de ces quelques dernières années, No. 1* DDoS_ à partir de 300 $ par semaine les services DDoS-for-hire ont acquis des SERVICE à partir de 1 000 $ par mois compétences remarquables pour opérer discrètement et éviter toute détection par Figure 4 : Tarif d'une sélection de services DDoS-for-Hire les autorités. 1 Verisign idefense Security Intelligence Services, 7 7
RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE 4E TRIMESTRE Compte-tenu de leur nature illégale, les services DDoS-for-hire sont généralement entourés du plus grand secret. Comme il est aisément imaginable, les services de DDoS faisant ouvertement l'objet de publicité sont rares et susceptibles d'être démantelés. Pour contourner cette difficulté, les opérateurs de réseau zombie font couramment la publicité de leurs services DDoS sur des forums clandestins, où ils détaillent souvent leurs prestations, prix et garantie de performance. Bien entendu, engager des booters n'est pas sans risque. En substance, le preneur recherche un partenaire pour commettre un délit ; déterminer lequel est digne de confiance et compétent n'est certes pas une mince affaire. Dans cette perspective, la réputation d'un service exerce un énorme impact sur sa réussite dans ce type de forums. Ceci dit, certains acteurs plus audacieux adoptent parfois des approches publicitaires plus créatives : Les opérateurs du service DDoS Gwapo utilisaient YouTube pour poster des vidéos, qui présentaient des acteurs ne soupçonnant rien lisant un script expliquant le service DDoS et demandant aux acheteurs potentiels de contacter les opérateurs par e-mail. Nous devons l'un des efforts publicitaires parmi les plus médiatisés pour un service DDoS en au groupe de DDoS Lizard Squad. Depuis le mois d'août, le groupe revendique la responsabilité des attaques contre plusieurs services de jeu en ligne, notamment Playstation Networkd (PSN) de Sony Corp. et Xbox Live de Microsoft Inc. PSN et Xbox Live ont tous deux été mis hors ligne pendant des périodes prolongées par des attaques DDoS le 25 décembre. Suite à la réussite des attaques de Noël, Lizard Squad a commencé à faire la publicité des opérations de son propre service DDoS LizardStresser, pouvant être employé pour une somme située entre 5,99 $ et 119,99 $ USD par mois. Lors d'une interview, un membre présumé du groupe a déclaré au site technique DailyDot que ces attaques notables étaient toutes destinées à susciter de la demande pour les services DDoS du groupe.2 Le transfert d'argent constitue des obstacles et des risques supplémentaires pour les services DDoS-forhire et leurs clients, car la plupart des paiements par chèque et carte laissent une trace qui peut permettre de remonter jusqu'à l'une ou l'autre partie. La majorité de ces transactions passent au lieu de cela par différentes devises en ligne, y compris Bitcoin, qui permettent aux parties concernées de commercer en conservant l'anonymat et de réduire le risque d'enquête. CONCLUSION Compte-tenu de la disponibilité immédiate des offres de prestations de service DDoS et du coût de plus en plus abordable de tels services, les entreprises de toutes envergures et de tous secteurs sont exposées à un risque plus important d'être victimes d'une attaque par déni de service distribué (DDoS) susceptible de paralyser la disponibilité du réseau et la productivité et de leur coûter cher en termes de revenu en ligne comme de précieuse réputation et confiance des clients. La connaissance et la compréhension des capacités de ces services, ainsi que des efforts combinés des acteurs qui les vendent et les emploient, constitueront très probablement un élément clé pour combattre la menace DDoS actuelle et à venir. 2 Turton, William. «Lizard Squad s Xbox Live, PSN attacks were a marketing scheme for new DDoS service» (Les attaques de Lizard Squad sur Xbox Live et PSN constituaient une campagne publicitaire pour le nouveau service DDoS). DailyDot. 30 décembre. http://www.dailydot.com/crime/lizard-squad-lizard-stresser-ddos-service-psn-xbox-live-sony-microsoft/ VerisignInc.com 2015 VeriSign, Inc. Tous droits réservés. VERISIGN, le logo VERISIGN, et les autres marques commerciales, marques de services et designs sont des marques commerciales déposées ou non déposées appartenant à VeriSign, Inc. et à ses filiales aux États-Unis et à l étranger. Toutes les autres marques commerciales appartiennent à leurs propriétaires respectifs. Verisign Public 201502