Les années passent, pas la menace : les attaques DDoS observées par OVH en 2017

Temps de lecture estimé : 24 minute(s)

Les attaques DDoS ont, en 2016, plusieurs fois défrayé la chronique. On se souvient de l’attaque record visant l’un de nos clients en septembre 2016, puis celle qui eut pour cible le blog du journaliste d’investigation Brian Krebs. En 2017, les attaques DDoS ont moins bénéficié des lumières médiatiques. Cela ne signifie pas pour autant qu’elles ont cessé. Au contraire, notre bilan chiffré de l’année 2017 démontre combien les attaques par déni de service distribuées demeurent une préoccupation majeure pour l’ensemble des acteurs de l’Internet, que ce soit les cloud providers tels qu’OVH ou les fournisseurs d’accès à Internet (FAI). Les techniques d’attaque se perfectionnent, et la menace que fait planer l’IoT ne s’est pas dissipée. Loin de là.

Avec Clément Sciascia, lead tech du projet VAC (combinaison de technologies mises au point par OVH pour mitiger les attaques DDoS)

Augmentation du volume des attaques et répartition dans le temps

Commençons par quelques généralités. En 2017, le VAC d’OVH aura détecté en moyenne 1 800 attaques DDoS par jour, soit environ 50 000 par mois. Le jour le plus calme aura été le 16 mars 2017, avec « seulement » 981 attaques. À l’inverse, le 4 octobre 2017 avec ses 7415 attaques aura été le jour le plus agité de l’année. Le 4 octobre est la date anniversaire de l’indépendance de la Belgique (en 1830), mais il n’y a a priori aucune corrélation.

En se basant sur la figure 1, on observe que la tendance générale – en termes de nombre d’attaques détectées – est plutôt à la hausse (R2 = 0,05613). Plusieurs explications sont recevables pour expliquer ce phénomène. Il ne faut pas sous-estimer le fait que nos systèmes de détection s’améliorent avec le temps et détectent mieux les attaques (c’est la bonne nouvelle). Mais il est évident que le nombre d’attaques est lui aussi en hausse (c’est la moins bonne).

Si l’on regarde de plus près le graphique 1, on observe également que certains mois dans l’année concentrent davantage d’attaques. Intéressant, mais il est encore trop tôt dans l’analyse pour en déduire quoi que ce soit.

Figure 1 : Nombre d’attaques détectées et mitigées par le VAC d’OVH en 2017, mois par mois.
Figure 2 : Occurrence des attaques par jour de la semaine et par heure (UTC)

Quand on s’attarde sur la répartition des attaques en fonction du jour de la semaine et de l’heure (figure 2), on s’aperçoit que la majorité des attaques se concentrent en soirée (temps universel), principalement entre 19 h et 21 h UTC.

Cette répartition très inégale des attaques est un gros challenge pour l’équipe VAC, puisqu’il faut être en capacité d’absorber un déferlement d’attaques sur une fenêtre de temps très réduite. D’autant que le début de soirée constitue la plage horaire la plus critique pour la plupart des plateformes de jeux et de e-commerce, qui rassemblent le plus gros de leur audience à ce moment de la journée. C’est donc là que la bande passante est la plus sollicitée, puisqu’elle achemine à la fois le trafic légitime et celui illégitime, généré par les attaques, devant être traité par le VAC (mitigation). La moindre congestion aurait un impact non négligeable sur la qualité de service de l’ensemble des clients.

En 2017, ce sont environ 60 000 adresses IP distinctes chez OVH qui ont été ciblées par au moins une attaque DDoS.

Figure 3 : Adresses IP distinctes ciblées par au moins un DDoS au cours de l’année 2017.

La figure 3 représente le nombre d’adresses IP distinctes qui ont été victime d’au moins une attaque, pour chaque mois de l’année. Ce diagramme contraste avec celui présenté en figure 1 (nombre d’attaques détectées par mois). En dehors du mois de juin, le nombre d’adresses IP distinctes ciblées est relativement constant au fil des mois, autour de 9 000 adresses IP. Notons que la tendance semble tout de même sensiblement à la hausse (R2 = 0,01282).

La différence de forme entre les figures 1 et 3 impliquerait que certaines adresses IP sont plus ciblées que d’autres. La figure 4 tend à confirmer cette hypothèse.

Figure 4 : Fréquence des attaques par mois et par adresse IP

Cette figure regroupe les adresses IP par volume d’attaques reçues par mois. On constate que la majorité des adresses IP ciblées reçoivent de 1 à 5 attaques par mois (médiane de 2). Sur une année, les adresses IP ciblées ont reçu en moyenne 13 attaques. Notons que 30 d’entre elles ont reçu plus de 1 000 attaques au cours de l’année (4 317 attaques pour l’adresse IP la plus ciblée).

E-gaming et e-commerce : les types de services les plus ciblés par les attaques DDoS

 En nous intéressant aux adresses IP ciblées, et aux informations dont nous disposons sur les utilisateurs responsables des services qui y sont attachés, nous avons essayé de recenser les types d’activité majoritairement ciblés par les attaques.

Premier constat, toutes les nationalités sont exposées à ces attaques. Sans surprise, les services de jeux en ligne sont les plus visés, avec en tête les serveurs de jeu Minecraft. Cela fait déjà plusieurs années que nous observons les rivalités entre administrateurs de serveurs de jeu, lesquels se livrent à de véritables cyberguerres.

Si les motifs sont parfois futiles, il semble surtout que ce soit une affaire d’argent. Les plus gros serveurs de jeu génèrent un certain revenu, ce qui motive les administrateurs à s’attaquer les uns les autres dans le but de dégrader la qualité de service chez leur concurrent, et de convaincre les joueurs de venir chez eux. Un univers impitoyable…

Notez aussi que la protection contre les attaques DDoS spécifiques au secteur du Gaming proposée par OVH a attiré un grand nombre d’utilisateurs en provenance de cet univers, occasionnant dans nos statistiques une probable surreprésentation. Si les attaquants ciblant des serveurs de jeu hébergés chez OVH en sont pour leurs frais, étant donné la robustesse de nos protections, leurs tentatives ne sont pas vaines… pour nos ingénieurs R&D. Lesquels décortiquent les attaques pour améliorer continuellement les algorithmes de détection, ce qui profite en définitive à l’ensemble des clients d’OVH.

En deuxième position, nous retrouvons des plateformes de e-commerce. De façon surprenante, les plateformes ciblées ont des tailles très hétérogènes. Cela va du très gros commerçant à la boutique en ligne à trafic modéré. Ici, il s’agit rarement de rivalité, mais plutôt d’extorsion. Le schéma est assez simple : après une première attaque, l’attaquant envoie un e-mail à sa cible en lui demandant de verser des fonds sur un porte-monnaie électronique pour faire cesser les attaques, généralement en Bitcoin (BTC) ou Monero (XMR). La plupart du temps, les menaces ne sont pas mises à exécution. Aussi, nous vous recommandons de ne jamais céder à la menace et de ne jamais payer, ce qui revient à entretenir cette activité criminelle sans pour autant s’assurer la garantie de ne plus être attaqué. L’unique solution est de recourir à un hébergeur capable de traiter ces attaques, ce qui découragera vos assaillants, qui concentreront leurs efforts sur une proie plus facile.

La figure 5 présente l’un des pires e-mails que nous ayons pu consulter réclamant une rançon.

Les autres types d’activités ciblées sont très hétérogènes ; leur classification n’a pas vraiment de sens. Startups innovantes, administrations publiques, ou encore sites d’information (média, blogs,…), tout le monde semble pouvoir être la cible d’une attaque DDoS un jour ou l’autre, pour des raisons difficiles à généraliser : rivalité entre concurrents, différends entre un service et l’un des usagers, volonté de censure dans le cas d’un média (à ce sujet, lire cet article du journaliste américain Brian Krebs :  The Democratization of Censorship), etc.

 

Évolutions de l’intensité et de la typologie des attaques

 Nous n’avons pas constaté, sur notre réseau en 2017, d’attaques excédant le record du térabit par seconde. Nous avons cependant poursuivi les investissements dans la capacité du VAC et celle de notre backbone, de sorte à pouvoir gérer ce type d’attaques que nous savons inévitables, car les moyens de les mettre en œuvre existent toujours, en particulier les botnets (réseau d’équipements compromis) que nous évoquerons un peu plus loin.

Figure 6 : Vecteurs d’attaque utilisés dans les attaques ciblant des adresses IP OVH en 2017

En commençant par analyser les vecteurs d’attaque présentés sur la figure 6 et en nous attardant sur la couche 4 du modèle OSI, nous ne sommes pas surpris de retrouver en tête l’UDP, le SYNFLOOD ainsi que les attaques par amplification. L’exploitation des faiblesses du protocole UDP représente ainsi plus de la moitié des attaques reçues sur notre réseau (UDP + amplification + DNS + ntp). Le choix des vecteurs UDP et SYNFLOOD n’a rien d’anodin, puisqu’ils offrent la possibilité de dissimuler son identité en forgeant des paquets ayant des adresses IP sources usurpées. Notons que cette technique permet également la mise en œuvre d’attaques par amplification. Cette technique est très utilisée par les « booters », des plateformes de vente de DDoS utilisant en général un réseau de machines dissimulant leurs véritables IP. Or, la majeure partie des attaques DDoS que nous avons recensées ont été émises depuis ces plateformes, les « botnets » représentant quant à eux une part bien plus réduite.

Même si les vecteurs d’attaque en couche 4 sont restés inchangés, nous avons noté un petit changement dans la typologie de ces attaques. La figure 7 présente la moyenne mensuelle des attaques en termes de paquets par seconde et de bande passante. Tandis que la bande passante reste assez stable au fil des mois (autour de 700 Mbps par attaque), nous observons d’importantes variations quant à la quantité de paquets envoyés, notamment avec un pic en octobre à près de 1 Mpps.

Figure 7 : Moyenne des attaques au fil des mois, exprimée en paquets par seconde (pps) (haut) et en bande passante (Mbps) (bas)

En regardant les statistiques concernant les attaques les plus importantes de 2017 (figure 8), nous pouvons très nettement corréler chacun des pics avec l’apparition d’un nouveau botnet constitué d’objets connectés (IoT) ou de routeurs compromis. Même si nous avons précédemment souligné que la majorité des attaques sont lancées par l’intermédiaire de « booters », il n’en reste pas moins que les attaques les plus puissantes sont réalisées à l’aide de « botnets », et notamment ceux de la famille Mirai (c’est-à-dire empruntant des bouts de code à Mirai, dont le code avait été rendu public fin 2016 par son créateur repentant)

Nous identifions également une évolution de la stratégie adoptée par les attaquants. On remarque très nettement que la taille des plus grosses attaques en termes de bande passante reste sous la barre des 200 Gbps, c’est-à-dire bien en deçà des précédentes années. Les attaquants ont probablement compris que nous avions bien trop de bande passante excédentaire et qu’il était vain de tenter de saturer nos liens. Il faut savoir que sur les 13 Tbps de capacité du réseau mondial OVH, nous n’en utilisons réellement, en moyenne, que 3,5 Tbps. En revanche, ils s’attaquent dorénavant à la capacité des équipements réseau et de nos systèmes de mitigation à traiter une grosse quantité de paquets, en générant des attaques avec une faible bande passante, mais beaucoup plus de paquets. Plus concrètement, au lieu d’envoyer des paquets de 1480 octets pouvant générer un trafic important, les attaquants vont plutôt envoyer de très petits paquets d’une taille inférieure à 100 octets.

On voit très nettement sur la figure 8 qu’au fil des mois, le nombre de pps n’a fait que progresser. Cette adaptation montre bien que nous sommes en présence d’attaquants qui s’adaptent, et recherchent continuellement à améliorer leurs techniques pour contourner nos protections. D’où la nécessite de toujours garder une longueur d’avance sur eux.

Figure 8 : Compilation des attaques les plus importantes par mois en termes de pps (haut) et en termes de bande passante (bas)

Les attaques s’appuyant sur la couche 4 du modèle OSI sont généralement les plus impressionnantes en termes de bande passante et/ou de paquets par seconde. Néanmoins, il ne faut pas occulter les attaques ayant pour vecteurs la couche 7 (application), telles que le flood HTTP.

Un premier constat à dresser est que les attaques en couche 7 sont en très nette augmentation avec l’apparition de nouveaux vecteurs tels que le SSHFLOOD, ou le SMTPFLOOD. Le flood HTTP est sans conteste le vecteur L7 le plus exploité puisqu’il totalise deux tiers des attaques L7 observées. Ces attaques ne vont pas avoir le même impact sur la cible. Ici, il ne s’agit pas de saturer l’infrastructure réseau, mais plus de saturer l’applicatif, un service Apache par exemple, en l’inondant de requêtes. Ces attaques sont généralement un peu plus difficiles à détecter, car un grand nombre de variables rentre en compte : la puissance du serveur ciblé (un VPS ne saura pas traiter autant de requêtes qu’un serveur dédié disposant d’un biprocesseur), mais aussi la configuration du service et son optimisation face à la charge. La détection ne peut donc pas se baser sur des seuils identiques pour tous nos clients.

Vous l’avez compris, c’est à ce niveau que se situe le challenge sur lequel travaillent nos équipes. Car les attaques L7 pourraient bien connaître un boom dans les prochains mois. À l’inverse des attaques L4, nous avons noté que les attaques L7 avaient principalement été émises depuis des botnets, que ce soit des botnets IoT ou des botnets plus traditionnels. Nous avons observé en particulier une recrudescence de l’utilisation des « WordPress Pingbacks », une fonctionnalité activée par défaut qui permet de faire des attaques par réflexion.

Zoom sur les botnets Reaper & Satori

 Sur les graphiques présentés par la figure 8, nous remarquons que la fin d’année 2017 a été relativement intense en matière d’attaques. Les mois de septembre et octobre ont été le théâtre d’attaques comprises entre 80 et 100 Gbps et entre 60 et 90 Mpps. Nous avons pu attribuer quelques-unes de ces attaques au botnet Reaper, lequel avait réussi à infecter de très nombreux systèmes en un laps de temps très court. Comme évoqué précédemment, nous voyons ici que les attaquants ont cherché à maximiser le nombre de paquets par seconde plutôt que de saturer la bande passante. Je tiens cependant à vous rassurer, le VAC n’a eu aucun mal à contrecarrer leurs vils projets.

Le botnet Satori qui gagne en célébrité dans le monde de la cybersécurité a commencé sa folle carrière au mois de novembre. Le 24 novembre 2017, nous avons mesuré de quoi il était capable, avec une attaque de « seulement » 160 Gbps, mais qui a généré près de 250 Mpps. De toute l’histoire du VAC, c’est la première fois que nous avons enregistré une telle volumétrie. Une excellente opportunité pour analyser dans le détail comment les différentes briques impliquées dans la mitigation se sont comportées. Le VAC a su mitiger l’attaque, mais surtout les données collectées nous ont permis d’identifier des améliorations possibles, dans l’optimisation de nos algorithmes de mitigation.

L’IoT : la menace fantôme

Après avoir parlé de Reaper et Satori, comment ne pas traiter des botnets IoT en conclusion de cet article ?  En septembre 2016, le monde a découvert MIRAI à la suite d’une attaque visant l’un de nos clients, laquelle a alors atteint le record du Terabit par seconde (de quoi remplir un disque dur de 2 To en 16 secondes !) Ce botnet exploitait des négligences de la part des fabricants d’objets connectés (IoT) dans le design de leur produit, pour compromettre notamment des caméras et y exécuter un logiciel malveillant, les transformant ainsi en machines-zombies aux ordres de leur maître.

La menace que l’IoT fait planer sur Internet ne se limite pas à MIRAI. Beaucoup de logiciels malveillants avant lui utilisaient le même principe. Parmi eux, nous pouvons citer Aidra (2008), Tsunami (2010), Mr.Black (2014) ou encore LizKebab/Gafgayt/QBOT (2014). Depuis l’attaque reçue sur notre réseau, nous surveillons avec d’autant plus d’attention ces botnets, afin de comprendre leur organisation, les mécanismes de propagation, l’évolution du nombre d’équipements compromis susceptibles d’être mobilisés pour perpétrer une attaque, etc.

Cette observation méthodique nous permet aujourd’hui d’avoir une idée beaucoup plus précise de l’état de la menace, afin de prendre les mesures nécessaires quand elle se concrétise. Ainsi, en novembre dernier, nos outils de détection avaient identifié les différentes tentatives du botnet Satori d’asservir toujours plus d’objets connectés.

Pour garder un œil sur les botnets en création et en activité, nous recourons à ce que l’on appelle des « honeypots », littéralement des pots de miel. Cela fait référence au dessin animé Winnie l’ourson, dans lequel l’ours se trouve bien souvent dans des situations délicates après avoir été alléché par la vue ou l’odeur d’un pot de miel. Ces pots de miels sont des leurres, placés sur Internet et rendus volontairement vulnérables aux tentatives de compromission, que nous analysons régulièrement pour en décortiquer le fonctionnement.

La figure 9 présente justement l’activité relevée dans nos « honeypots » sur l’année 2017.  En apposant sur ces courbes les périodes d’activité des grands botnets qui ont pu être cités en 2017, comme Hajime, Reaper ou Satori, on observe que l’activité des honeypots a sensiblement augmenté.

Figure 9 : Relevé d’activité de nos « honeypots » concernant les botnets IoT

Cette figure nous permet également d’identifier qu’en Q1 2017, l’activité était relativement élevée, notamment à cause de Hajime qui scannait en boucle l’intégralité de l’Internet. Puis l’activité a nettement ralenti à partir du mois d’avril, avant de reprendre dans une moindre mesure en septembre. Ces tendances reflètent la perte d’engouement des « kiddies » pour MIRAI. Les « kiddies » sont des adolescents avec de faibles compétences techniques, mais de grandes ambitions en matière de cybercriminalité. Malheureusement pour eux, constituer un botnet à l’aide de Mirai ou de l’une de ses variantes n’est pas à la portée du premier venu. Et pour atteindre la masse critique nécessaire d’objets compromis au sein du botnet, il est nécessaire de pratiquer la R&D pour renouveler les vecteurs d’infections des appareils, les vecteurs d’hier exploitant des failles qui ont pu être corrigées entre temps. De ce fait, les « kiddies » sont revenus à des projets plus réalistes : QBOT. Nous aurons l’occasion de revenir sur ce point, mais aujourd’hui, QBOT représente environ 80 % des botnets IoT actifs. Les attaquants un peu plus compétents ont quant à eux continué à utiliser MIRAI et à l’améliorer, en implémentant entre autres l’exploitation de nouvelles vulnérabilités dans les équipements.

Figure 10 : Géolocalisation des IP tentant de compromettre nos honeypots au fil du temps

Sur la figure 10, nous pouvons parfaitement visualiser l’implémentation des nouvelles vulnérabilités/négligences dans les algorithmes d’infection. Chaque fois qu’un nouvel exploit est implémenté, de très nombreux équipements sont rapidement compromis, ce qui occasionne une activité anormalement élevée sur nos honeypots (les pics). Lorsque nous géolocalisons ces équipements infectés, nous voyons clairement un pays différent se démarquer lors de chacun des pics.

En voici l’explication : les failles les plus exploitées sont celles des routeurs (et notamment les routeurs domestiques, plus connus sous le nom de « box Internet »). Viser ces équipements en priorité garantit une certaine rentabilité, car les FAI en assurent une distribution massive à leurs abonnés, inondant un pays voire une zone géographique d’un modèle unique de routeur. S’il est doté d’une faille, son exploitation permettra via un seul algorithme d’infection de compromettre plusieurs milliers d’appareils dans un délai très court. Et puisqu’un appareil compromis se met à scanner l’Internet à la recherche d’équipements vulnérables, cela génère soudainement une activité anormalement élevée depuis un pays en particulier, remontée par nos « honeypots » et visible sur la figure 10.

Pour rappel, un botnet est un ensemble d’appareils infectés – dits zombies – connectés à un serveur de contrôle, lequel les pilotera à distance en leur communiquant les actions qu’ils devront effectuer (par exemple, attaquer une IP). Nos honeypots nous permettent également de remonter jusqu’à ces serveurs de contrôle, afin d’en estimer le nombre. La figure 10 présente le nombre de serveurs de contrôle (Command & Control en anglais, d’où l’abréviation C&C) que nos systèmes ont détecté au fil de l’année 2017. Nous remarquons que nous en détectons de plus en plus certes, mais il ne faut pas nécessairement en tirer de conclusions hâtives. Nous améliorons nos systèmes de détection chaque mois et ainsi détectons aujourd’hui des botnets que nous n’aurions pas vus s’afficher sur nos radars hier. Nous n’avons pas aujourd’hui le recul nécessaire pour déterminer si oui ou non cette tendance est véritablement à la hausse.

Figure 11 : Serveurs de contrôle identifiés par nos systèmes de détection par mois en 2017

Ce qui est notable en revanche, c’est le phénomène d’abandon de Mirai au profit de QBOT que nous évoquions précédemment. Tandis qu’en Q1 2017, les botnets Mirai représentaient près de 30 % de nos détections, en Q4 2017, ils ne représentaient plus que 10% (le reste des botnets identifiés étant une écrasante majorité de QBOT). Cependant, comme le soulignait Elie Bursztein (responsable de l’Abuse chez Google) sur son blog, l’architecture des botnets Mirai a évolué au fil des mois. Plutôt que d’avoir un unique gros botnet, les propriétaires de botnets préfèrent désormais disposer de plusieurs petits botnets, ceci pour profiter d’une plus grande résilience en cas de démantèlement partiel, mais aussi pour faciliter la vente des « services » offerts par ces botnets (généralement, le tarif d’utilisation d’un botnet est déterminé par le nombre de bots mobilisés). Il n’est ainsi pas rare de constater que plusieurs serveurs de contrôle aux adresses IP différentes, envoient exactement la même commande à leurs bots au même moment.

Lorsque nous nous attardons sur les vecteurs d’attaque adoptés par les utilisateurs de ces botnets, quel que soit le réseau ciblé, nous remarquons une grande similitude avec les précédentes observations concernant les attaques reçues sur le réseau d’OVH. La figure 12 présente ainsi l’UDP en tête avec 46 %, suivi par le SYNFLOOD (20 %) et, un vecteur applicatif, le HTTPFLOOD (19 %).

Figure 12 : Vecteurs d’attaque les plus utilisés par les botnets IoT en 2017

Il est surtout intéressant d’observer les ports ciblés par les pirates. La figure 13 présente les 7 ports les plus attaqués, quel que soit le réseau cible. Nous observons que le port 80 (http) est le plus ciblé, que ce soit par des attaques utilisant le protocole TCP, comme par des attaques utilisant le port UDP, alors que cela n’a pas de sens (HTTP étant basé sur TCP).

Les ports suivants sont beaucoup plus intéressants, car ils aident à dresser le portrait des utilisateurs de ces botnets. Comme vu précédemment, le monde du jeu vidéo est un univers impitoyable où la concurrence pousse les administrateurs à se mener de véritables cyberguerres. Mais, il semblerait qu’une bonne partie des utilisateurs de ces botnets soient également de simples mauvais joueurs, qui tentent de perturber techniquement leurs adversaires en attaquant directement les ports Xbox Live au cours de leurs parties.

Figure 13 : Principaux ports ciblés par les botnets IoT en 2017

À partir de ces chiffres, nous avons tenté de regarder si les autres réseaux étaient concernés par les mêmes typologies d’attaque qu’OVH de la part des botnets IoT. Pour ce faire, nous avons choisi 3 autres acteurs de l’Internet : un important FAI américain, un grand fournisseur de CDN et enfin, un hébergeur dont l’activité est similaire à celle d’OVH. Les résultats sont passionnants :

  • Le grand FAI Américain est surtout ciblé par des attaques DDoS visant les services Xbox Live, PlayStation et tout ce qui peut s’apparenter de près ou de loin à des services de jeu ;
  • Le fournisseur de CDN est majoritairement concerné par des attaques L7 de type HTTPFLOOD (ce qui est relativement logique en tout état de cause étant donné son activité) ;
  • L’hébergeur reçoit des attaques assez similaires à celles reçues par OVH.

À ceux qui en doutaient, les attaques DDoS ne ciblent donc pas uniquement les gros hébergeurs. Tous les acteurs de l’internet, petits ou grands, s’exposent à cette menace sous une forme ou une autre, laquelle dépendra directement de son activité. La seule différence, à vrai dire, ce sont les moyens dont ces différents acteurs disposent pour protéger leurs utilisateurs. Et leur capacité à anticiper les attaques DDoS de demain en observant de près l’évolution des pratiques.

Ce qu’il faut retenir

A l’issue de ce travail d’analyse, nous pouvons dégager trois faits marquants :

  • évolution des typologies d’attaque : leur intensité en termes de bande passante a beaucoup moins évolué que leur intensité en termes de nombre de paquets par seconde ;
  • augmentation très nette des attaques ciblant la couche applicative (L7) ;
  • structuration des botnets IoT prouvant, si cela était encore nécessaire, que les cybercriminels comptent bien s’appuyer sur les vulnérabilités des objets connectés pour pérenniser leur « business ».

Ces évolutions sont le reflet de l’adaptation continue des techniques des attaquants face aux contre-mesures déployées par les acteurs tels qu’OVH.

Impossible de dresser le portrait-robot de la victime d’attaque DDoS ; les profils des cibles sont variés. Deux activités sont néanmoins particulièrement exposées : l’univers du jeu vidéo en ligne (les serveurs Minecraft et Teamspeak en tête), ainsi que les plateformes e-commerce, quelle que soit leur taille.

Dans une grande majorité des cas, les motivations des attaquants sont financières : soit directement, via l’extorsion de fonds sous la menace, soit de façon indirecte en nuisant à l’un de ses concurrents pour essayer de récupérer ses clients. Des pratiques qui ne concernent pas que le jeu en ligne d’ailleurs : il est arrivé à des éditeurs de solutions anti-DDoS de lancer des attaques… pour ensuite faire la promotion de ses protections auprès des victimes qui avaient été ciblées !

En 2018, on suivra avec attention la confirmation des tendances évoquées dans cette analyse. Mais pas de panique : nos technologies anti-DDoS veillent sur vous.

Security Analyst