Skip to main content

Quatre façons dont les attaques DDoS ont évolué et ce qu’elles signifient pour vos défenses

Les employés de Bell se rassemblent dans un centre de données pour analyser les tendances et les données en matière de sécurité contre les attaques DDoS.

Par James Miller, responsable, Produits de cybersécurité 

James MillerLes attaques par déni de service distribué (DDoS) visent à perturber le réseau ou les services en ligne d’une entreprise, en envoyant de grandes quantités de trafic illégitime pour consommer toute largeur de bande disponible ou graduellement d’autres ressources informatiques essentielles. Bien que les éléments fondamentaux des attaques DDoS soient demeurés constants, les méthodes exactes utilisées par les cybercriminels ont considérablement évolué au cours des dernières années, déjouant les méthodes de protection traditionnelles et laissant de nombreuses entreprises vulnérables aux attaques. 

Alors, comment les méthodes d’attaque DDoS ont-elles changé exactement, et qu’est-ce que cela signifie pour les défenses contre les attaques DDoS de votre entreprise? 


1. Les attaques deviennent plus grandes (mais aussi plus petites) 

Les attaques DDoS sont plus grandes que jamais, en fréquence et en taille, selon le Rapport mondial d’analyse des menaces 2022-2023 de Radware. Le nombre d’attaques DDoS a augmenté de 150 % entre 2021 et 2022, le volume total d’attaques ayant augmenté de 4,44 pétaoctets au cours de la même période, ce qui représente un gain de 32 %. La plus grande attaque massive jamais enregistrée était de 1,46 térabit par seconde, ce qui est énorme. 

D’après ces chiffres, il est clair que les attaques DDoS massives demeurent une tactique privilégiée des cybercriminels. Il est également vrai que les attaques de très grande envergure sont plus faciles à détecter et à atténuer, ce qui explique pourquoi les attaques plus petites et plus subtiles sont également en hausse. 

De nos jours, les attaques massives sont souvent utilisées comme distraction d’une autre tactique qui se déroule simultanément. La grande attaque DDoS déclenche l’alarme et retire l’accent sur les efforts d’atténuation. Entre-temps, une autre attaque se produit ailleurs, comme une attaque lente et à faible intensité qui épuise graduellement les ressources des équilibreurs de charge, des coupe-feu et d’autres infrastructures TI. L’attaque pourrait également cacher un rançongiciel, un type de logiciel malveillant qui verrouille les fichiers essentiels et cherche à obtenir un paiement pour rétablir l’accès. 


2. Les attaques contre la couche application sont en hausse 

Les attaques contre la couche application ont également gagné en popularité auprès des cybercriminels. Selon le même rapport de Radware, leur fréquence a augmenté de 88 % entre 2020 et 2021, puis de 128 % de plus entre 2021 et 2022. 

Plutôt que d’obstruer le « pipeline » de l’Internet en surchargeant les connexions et en consommant de la largeur de bande (comme c’est le cas pour les attaques de la couche réseau), les attaques contre la couche application cherchent à surcharger les serveurs en envoyant un grand nombre de demandes sur une courte période, dont la gestion et le traitement sont gourmands en ressources. Incapable de suivre le rythme, le serveur cible ralentit ou se met complètement hors ligne. Les cibles courantes sont les protocoles d’applications exploitables comme HTTP, SMTP, FTP et SQL. 


3. Les attaques DDoS sont plus complexes 

Il est maintenant courant de voir des attaques DDoS qui utilisent plusieurs vecteurs d’attaque, changent de vecteur et même changent de cible au milieu d’une attaque. Par exemple, la tactique que j’ai mentionnée, où une grande attaque massive sert d’écran de fumée pour une attaque de la couche application, et où ce dernier protocole de commutation d’applications cible une partie de l’attaque pour contrer les efforts d’atténuation. 

Un autre exemple est celui des « attaques DDoS Web par tsunami ». Il s’agit d’une évolution des attaques par inondation HTTPS qui génèrent des demandes extrêmement élevées par seconde et qui ont une détection d’évasion beaucoup plus sophistiquée. Ces attaques commencent à la couche réseau et se transforment en attaques multivectorielles au niveau des applications, envoyant un nombre massif de demandes chiffrées qui semblent légitimes lorsqu’elles sont déchiffrées. Ces attaques utilisent diverses méthodes pour déjouer les protections réseau et les coupe-feu d’applications Web, allant de la randomisation des en-têtes HTTP et des témoins à l’usurpation d’adresses IP.  

Toute cette complexité fait en sorte qu’il est plus difficile pour les entreprises d’empêcher que leur réseau ou leurs services soient hors ligne lorsqu’une attaque se produit. 

 
4. Plus de trafic d’attaque DDoS est chiffré 

Ces attaques DDoS Web par tsunami ne sont pas les seules à chiffrer le trafic malveillant. Comme la plupart du trafic Internet est chiffré aujourd’hui, il est logique que les pirates informatiques chiffrent leur trafic DDoS, de sorte qu’il ne se distingue pas du trafic légitime. 

Le chiffrement rend plus difficile et fastidieuse la détermination de la légitimité ou de la malveillance du trafic, et de nombreux systèmes DDoS ne sont même pas en mesure de déchiffrer le trafic.  


Ce que ces tendances signifient pour vos défenses contre les attaques DDoS 

Ces tendances sont susceptibles de se poursuivre, alors les entreprises doivent s’assurer que leurs défenses contre les attaques DDoS peuvent y résister. Pour beaucoup d’entre elles, il faudra des protections améliorées contre les attaques DDoS, avec des capacités évoluées qui peuvent faire face à des attaques de plus en plus complexes et sophistiquées. 

Les entreprises auront besoin d’une détection et d’une atténuation robustes en fonction du volume, ainsi que de la capacité de détecter les attaques plus petites et plus ciblées. Les capacités efficaces comprennent la détection sur le Web et l’analyse comportementale, qui utilise l’intelligence artificielle et l’apprentissage automatique pour identifier de nouveaux types d’attaques en fonction de comportements suspects qui diffèrent des activités typiques du réseau. 

De plus en plus d’entreprises devront travailler avec un tiers – un fournisseur de réseau comme Bell ou un fournisseur de services en nuage – pour s’assurer que la détection et l’atténuation se déroulent le plus près possible de la source d’une attaque. Cela peut nécessiter d’accepter l’idée de demander à un partenaire tiers de déchiffrer et de rechiffrer le trafic lors du processus de détection des demandes malveillantes. Il s’agit d’un changement important, mais nécessaire, car les méthodes d’attaque DDoS continuent d’évoluer.  


Gardez une longueur d’avance sur les pirates informatiques avec Bell 

Les attaques DDoS ne sont pas près de disparaître et ne seront que plus complexes au fil du temps. Pour protéger votre entreprise contre les temps d’arrêt coûteux, vous avez besoin d’un partenaire comme Bell qui peut vous offrir la meilleure sécurité contre les attaques DDoS de sa catégorie qui vous protège contre toute la gamme d’attaques contre la couche réseau et la couche application. Notre gamme de services comprend des solutions réseau, en nuage et en périphérie qui fournissent une détection et une atténuation 24 heures sur 24, 7 jours sur 7, gérées par nos experts en sécurité qui sont toujours à jour sur les plus récentes informations sur les menaces. 

Pour en savoir plus, consultez notre page sur la sécurité contre les attaques DDoS ou communiquez avec un représentant de Bell pour discuter de la façon dont nous pouvons vous aider à garder une longueur d’avance sur les cybercriminels.