Les attaques DDoS s’intensifient selon Microsoft, en fréquence comme en puissance
MS-DDoS
Le 01 février 2022 à 10h22
9 min
Internet
Internet
« Un niveau sans précédent », c’est ainsi que l’entreprise présente l’évolution des attaques distribuées par déni de service (DDoS) durant la seconde moitié de 2021. L’industrie du jeu vidéo est toujours la plus visée, notamment des titres comme Titanfall, Escape from Tarkov, Dead by Daylight et Final Fantasy 14.
Microsoft pointe dans son rapport – aussi technique que vantant ses mérites, nous y reviendrons – plusieurs évolutions notables, dont une hausse très sensible du nombre d’attaques. Avec une moyenne de 1 955 attaques DDoS par jour, la seconde moitié de l’année a vu une augmentation de 40 % de ce vecteur d’attaque.
Alethea Toh, responsable produit, évoque une conséquence logique : il est non seulement possible d’utiliser des services prêts à l’emploi pour ce type d’attaque, mais leur coût est en plus modeste, de l’ordre de 300 dollars par mois.
Derrière les moyennes, les pics
Une moyenne quotidienne de 1 955 attaques peut surprendre. Elle témoigne d’une réalité que le grand public ne perçoit presque jamais. En outre, s’agissant d’une moyenne, on trouve des évènements notables dans les détails.
Le 10 août est par exemple la journée ayant connu le plus grand nombre d’attaques contre des services hébergés sur Azure : 4 296. Le second semestre a vu passer un total de 359 713 attaques uniques. Et si les années précédentes montraient toujours un renforcement des attaques durant les vacances de fin d’année, 2021 a marqué une rupture : elles étaient plus nombreuses au troisième trimestre qu’au quatrième. Ce, alors que les trois plus importantes se situaient dans les deux derniers mois.
En octobre, Microsoft avait enregistré une attaque DDoS à 2,4 Tb/s, établissant un nouveau record pour l’entreprise. Ce score a été battu trois fois depuis. Le record a été atteint en novembre, avec une attaque à 3,47 Tb/s au rythme de 340 millions de paquets par seconde. La société pense qu’il s’agit de la plus grosse attaque jamais enregistrée.
Elle émanait d’environ 10 000 sources réparties dans de nombreux pays, dont les États-Unis, la Chine, la Corée du Sud, la Russie, la Thaïlande, l’Inde ou encore l’Iran. Le vecteur était de type réflexion UDP sur quatre protocoles (SSDP, CLDAP, DNS et NTP).
Les tirs étaient concentrés sur moins de 15 min et visaient les clients Azure en Chine. Tout comme les deux attaques suivantes en décembre. La première était de type UDP sur les ports 80 et 443 avec quatre pics répartis sur plus de 15 min : 3,25, 2,54, 0,59 et 1,25 Tb/s. L’autre attaque est grimpée à 2,55 Tb/s, en un seul pic sur le port 443 pendant un peu plus de 5 min.
Une évolution dans la durée des attaques, moins dans les méthodes et cibles
Les attaques sont toujours en majorité basées sur des vecteurs multiples et la brutalité pendant une courte période, mais les temps changent.
Les attaques de moins de 30 min représentaient 57 % durant le deuxième semestre 2021, contre 74 % au premier. Celles durant plus d’une heure sont au contraire passées de 13 à 27 %.
Les méthodes employées ont consacré les tendances du semestre précédent. Le flood UDP est ainsi, et de loin (55 %), la technique la plus utilisée. Son principe est simplissime : envoyer une large quantité de requêtes UDP sur des ports aléatoires. Les systèmes de l’hôte contacté vont alors vérifier quelle application écoute sur chaque port, se rendre compte qu’il n’y en a pas et, en conséquence, émettre un paquet ICMP Destination Unreachable pour signaler l’erreur. Plus il y a de paquets, plus ces systèmes doivent émettre de paquets ICMP, jusqu’à la « noyade ». C’est une attaque de type volumétrique.
UDP est utilisé aujourd’hui par 55 % des attaques bloquées par Microsoft, soit 16 points de plus qu’au premier semestre. Celles basées sur TCP sont en très net recul : 19 %, contre 54 au premier semestre. Malgré cette chute drastique, le flood TCP ACK reste au deuxième rang des techniques les plus utilisées, à hauteur de 14 %.
L’industrie du jeu vidéo reste la plus grosse cible des attaques, mais personne n’est plus à l’abri. Les institutions financières, médias, fournisseurs d’accès, magasins ou encore les chaines d'approvisionnement ont tous été davantage visés que durant le premier semestre.
Mais ce sont bien les jeux et leurs services qui restent les plus fréquemment attaqués. Selon Microsoft, la majorité des attaques proviennent de mutations du botnet Mirai. Ce dernier avait, à l’automne 2016, provoqué de gros dégâts, notamment chez Dyn. Utilisant le peu de sécurité de nombreux objets connectés vendus dans le commerce – notamment les caméras – Mirai avait jeté un éclairage cruel sur les pratiques des constructeurs. Les routeurs de 900 000 clients Deutsche Telekom avaient par exemple été touchés.
Et si les jeux sont autant touchés, c’est parce qu’il est facile de les perturber. Ceux visés sont bien sûr ceux en réseau et donc très sensibles à la latence. Un jeu comme World of Warcraft (les titres Blizzard sont souvent visés) a subi plusieurs attaques en 2021, entrainant une explosion de la latence et donc l’impossibilité de contrôler son personnage, voire de se connecter au plus fort du « flood ».
Les entreprises proposant des services payants en ligne sont les plus à même d’être attaquées, puisqu’une perturbation du service a un impact financier plus direct.
Des régions du monde bien plus visées que d’autres
Bien que le rapport émane de Microsoft, certaines proportions sont telles qu’il y a peu de chances que les résultats soient très différents ailleurs. Ainsi, les États-Unis restent le pays le plus attaqué au monde : 54 % dans le cas d’Azure.
Ce n’est bien sûr pas un hasard, puisqu’une grande partie des grandes entreprises technologiques s’y trouvent. Les GAFAM sont tous américains, de même que beaucoup des plus gros studios de production des jeux vidéo.
Cependant, le classement habituel a été bouleversé par l’arrivée spectaculaire de l’Inde. Au premier semestre, elle ne représentait que 2 % des attaques DDoS. Désormais, elle se place en deuxième position avec 23 %.
Microsoft évoque quelques clés de compréhension. D’abord la pénétration galopante du smartphone dans la population, augmentant d’autant les risques de cyberattaques. Ensuite, les jeux – toujours eux – sont le plus souvent joués sur les téléphones. Beaucoup se jouant en ligne, les serveurs indiens sont devenus des cibles de choix.
De la même manière que l’Inde est grimpée en flèche, Microsoft a constaté une chute brutale des attaques visant l’Europe. De 19 % au premier semestre, elle n’a représenté que 6 % de celles au second semestre.
Pour Microsoft, l’absorption des attaques est un argument de poids pour le cloud
À la lecture du rapport, et au-delà de l’aspect technique, on ne s’étonne pas de lire les fleurs que se lance Microsoft. Dans ce contexte, au vainqueur les lauriers, puisque les attaques ont été diluées avec succès.
Pour l’entreprise, c’est une preuve forte que les solutions cloud sont bien mieux à même de répondre aux menaces d’aujourd’hui que les installations sur site. Résister à une telle volumétrie n’est en effet pas donné à tout le monde, et seuls de gros acteurs comme les GAFAM et des sociétés spécialisées telles que Cloudflare peuvent résister (pas toujours) efficacement à la distribution des attaques.
La multiplication des objets connectés et le passage à la 5G ne vont pas améliorer la situation. La surface d’attaque globale est en augmentation constante et l’immense majorité des services ont besoin d’une connexion stable pour fonctionner.
Cependant, même si Microsoft a techniquement raison, la situation mérite réflexion. La bascule des installations sur site vers le cloud concentre entre les mains d’un nombre réduit d’acteurs la protection des services qui y sont stockés. Le chat et la souris n’ont pas fini de se battre, car plus les sociétés du cloud investissent dans la défense, plus les volumes d’attaques augmentent.
Résister à un flux de 3,47 Tb/s a beau être impressionnant et faire autant figure de démonstration technique que de publicité, rien ne permet d’affirmer qu’une prochaine attaque ne va pas faire céder le barrage. Et ce, qu’il s’agisse de Microsoft, Google, Amazon, Apple, Facebook, Cloudflare ou de n’importe quelle grosse structure a priori parée contre de telles bombes. Surtout avec l’augmentation du nombre de clients, la division Azure connaissant une croissance trimestrielle à deux chiffres depuis de nombreuses années.
Cloudflare confirme la tendance
Cloudflare, justement, note aussi une augmentation significative du nombre d’attaques DDoS, mais répartit ses constats en trois catégories (rançons, couche application et couche réseau). La plus grosse attaque bloquée, dans l’histoire de l’entreprise, a eu lieu en novembre avec environ 2 Tb/s. Elle confirme la tendance à la hausse des flux de 1 Tb/s ou plus. De son côté cependant, c’est le secteur de la production qui a été le plus touché, avec une impressionnante hausse de 641 % des attaques entre les troisième et quatrième trimestres. Les services commerciaux et de jeux sont arrivés respectivement deuxième et troisième.
Enfin, et pour donner une idée de l'évolution, rappelons qu’OVH avait indiqué en 2013 être capable de bloquer les attaques DDoS de n’importe quelle ampleur. Deux ans plus tard, le Français célébrait une infrastructure pouvant gérer un total de 4 Tb/s. Moins de 7 ans plus tard, une seule attaque atteint presque ce palier.
Les attaques DDoS s’intensifient selon Microsoft, en fréquence comme en puissance
-
Derrière les moyennes, les pics
-
Une évolution dans la durée des attaques, moins dans les méthodes et cibles
-
Des régions du monde bien plus visées que d’autres
-
Pour Microsoft, l’absorption des attaques est un argument de poids pour le cloud
-
Cloudflare confirme la tendance
Commentaires (12)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 01/02/2022 à 10h51
Et avec la progression de l’IoT, où les objets sont souvent peu voire pas du tout sécurisés (et mis à jour), ça ne va pas s’arranger…
Le 01/02/2022 à 11h22
Ce sera un vecteur, mais pour l’instant, les attaques ne viennent pas des pays ou l’IoT est très répandu. Enfin dans tous les cas, ca ne risque pas d’aller en s’arrangeant. L’accès à internet va toujours plus se répandre, les débits vont toujours augmenter, le nombre d’objets connectés aussi.
3.47 Tb/s ca commence à faire pas mal …
Le 01/02/2022 à 12h01
C’est pas du DDOS, c’est juste l’instance Windows Update obligatoire sur W10 et W11 😜
Le 01/02/2022 à 12h16
La situation n’est effectivement pas prête de s’améliorer avec non seulement les objets connectés, mais aussi tous les vieux PCs restés respectivement sous Windows XP et Windows 7, sans compter les smartphones sous Android sans mises à jour régulières.
Enfin, les fleurs que s’envoie Microsoft me font penser à l’utilisateur qui nommerait son Wifi “essaie de me pirater”. Le jour où le barrage cédera, ça fera mal…
Le 01/02/2022 à 16h06
Quel est donc le but de faire du DDOS sur un serveur de jeu pour seulement 30 min ?
Autant faire tomber un site de vente à distance fait perdre à la seconde des montants impressionnants autant un serveur de jeu bloqué pendant 30 minutes ne va pas faire beaucoup de mal.
Le 01/02/2022 à 16h33
Tu peux DDOS les autres joueurs sur le même serveur, tu as plus qu’à les tuer un à un. C’est ainsi dans Apex Legends par exemple. Oui c’est pathétique.
Le 01/02/2022 à 17h56
Il y a quelques jours ils ont fait des degats en Andorre dans le seul but de faire eliminer des joueurs du minecraft squid game qui avait comme prix 100000 dollars. Le reseau a pris cher avec de pics a 600Gbps (l’usage moyen des liens externes de l’operateur est de 35gbps), on parle d’un très petit operateur qui a tout juste 130000 lignes fixes. Resultat : 10 joueurs éliminés car c’était du jeu en temps réel.
Le 01/02/2022 à 18h16
L’esport est, au même titre que tous les autres, un business. Et donc à ce titre, autant de risques de pratiques déloyales que dans les autres compétitions.
Le 02/02/2022 à 10h57
Mais si tu DDOS le serveur de la compétition, tout le monde lag, non ?
Et puis du coup, on peut conclure (avec exactitude ?) que ce sont des joueurs qui utilisent ces services DDOS ? Pas les mafias du monde entier ou les cybercriminels habituels ?
Le 02/02/2022 à 13h16
Dans mon cas, Ddos de l’ip des joueurs ici, puis des sous réseaux “andorre”, ou du moins du sous réseaux ip des joueurs résidents ici. Reste a savoir comment ils ont récupéré leur ip publique (hack twitch/minecraft ?)
Le 02/02/2022 à 17h33
Alors ça dépend ce que tu DDOS. Tu peux DDSOS le serveur ou le joueur directement. Disons que tu peux chopper l’IP des autres joueurs plus ou facilement. La technique la plus utilisé sur Apex Legends (en ranked) c’est de DDOS les autres joueurs, ils ne peuvent plus jouer et il n’y a plus qu’à les tuer… Mais tu peux aussi DDOS le serveur pour le faire tomber si tu viens d’être tué et tu souhaites pas perdre de point.
Le 01/02/2022 à 22h06
Ce serait top d’avoir un exemple d’attaque massive qui a fonctionné pour comprendre les risques.
Faire tomber les services hébergés quoi…
Bon ok je vais rechercher ça… ^^
Édit: super article.
C’est ce genre de sujet qui fera pencher les DSI encore plus vers le cloud et gafam