Arbor Networks publie sa sixième étude annuelle sur la sécurité des infrastructures mondiales, révélant que les attaques DDoS dépassent les 100 Gbit/s pour la première fois ; une croissance de 1000% depuis 2005

Les attaques DDoS applicatives visent les infrastructures des centres de données

· Un grand nombre d’opérateurs mobiles déclarent n’avoir qu’une visibilité et une maîtrise limitées sur les données traversant leurs réseaux

· DNS et IPv6 continuent de représenter des défis majeurs pour les opérateurs réseaux

2010 restera comme l’année où les attaques par déni de service distribué (DDoS) sont devenues courantes, visant très souvent des services Internet sensibles. En 2010 Arbor a observé une montée en flèche de l’ampleur et de la fréquence des attaques DDoS sur Internet. Le cap des 100 Gbit/s a été franchi pour la première fois et les attaques applicatives atteignent u plus haut historique. Les opérateurs ont enregistré un impact marqué en termes de frais d’exploitation, de manque à gagner et de perte de clientèle. C’est ce que révèle l’étude publiée aujourd’hui par Arbor Networks, société leader dans la fourniture de solutions de sécurité et de gestion de réseaux d’opérateurs convergents et de centres de données de nouvelle génération.

Les partenariats de longue date entretenus par Arbor avec les opérateurs grâce à sa réputation de fiabilité en tant que consultant et fournisseur de solutions de sécurité ont rendu cette étude possible. Cette enquête annuelle met en lumière les défis auxquels sont confrontés les opérateurs réseau, en première ligne de la guerre mondiale à livrer contre les botnets et les attaques DDoS. L’objectif de l’étude est de fournir les données et analyses qui aideront les opérateurs à prendre de meilleures décisions pour affiner leur stratégie en matière de sécurité, afin d’assurer la disponibilité de leurs infrastructures Internet et IP critiques.

« Cette étude d’Arbor Networks est incontournable pour quiconque souhaite comprendre le paysage de la sécurité des réseaux, son évolution et ses implications potentielles », observe Ethan Zuckerman du Harvard University Berkman Center for Internet & Society.

Les attaques DDoS sont devenues les plus courantes

Les attaques DDoS à partir de botnets sont appelées à se poursuivre en 2011 et au-delà. C’est maintenant une forme de cyberterrorisme répandue et peu coûteuse. Les principales attaques DDoS constatées en 2010 étaient liées aux différends territoriaux entre la Chine et le Japon, aux troubles politiques en Birmanie et au Sri Lanka ou encore à l’affaire WikiLeaks. La nécessité de protéger la disponibilité des sites Internet fait enfin partie des priorités des consultants en informatique. La défense contre les attaques DDoS est maintenant un sujet traité aux niveaux des directions d’entreprises partout dans le monde.

Le périmètre des attaques continue de s’étendre
Ce périmètre englobe tous les éléments des infrastructures réseau, serveurs, protocoles et services qui sont vulnérables aux attaques DDoS. A mesure que de nouveaux équipements, protocoles et services sont introduits dans les réseaux, le périmètre vulnérable aux attaques DDoS s’élargit, ce qui représente un défi majeur pour les opérateurs. Les attaques DDoS volumétriques et applicatives à partir de botnets constituent la principale menace. Cette année, l’étude révèle également que les auteurs des attaques ciblent les infrastructures elles-mêmes, en particulier les DNS, la VoIP ou IPv6.

« Les opérateurs font face à une rébellion de l’Internet mondiale s’appuyant sur l’omniprésence des botnets, qui se traduit par une explosion de l’envergure, la fréquence et la complexité des attaques DDoS », commente Roland Dobbins, architecte en solutions chez Arbor Networks. « A cela s’ajoute le nombre croissant de vecteurs d’attaque, que ce soient les applications ou les services, sans parler de la prolifération des terminaux mobiles. »

Les attaques DDoS applicatives gagnent en complexité et en impact sur l’exploitation des réseaux

Chiffre alarmant, 77% des responsables interrogés ont détecté des attaques applicatives en 2010. Ces attaques visaient aussi bien leurs clients que leurs propres services de support (DNS, portails Web, etc.). Les opérateurs de centres de données Internet et de réseaux mobiles/WiFi rapportent que les attaques applicatives DDoS causent des pannes significatives et accroissent leurs dépenses d’exploitation, leur perte de clientèle et engendrent un manque à gagner significatif.

Des attaques de plus en plus élaborées mettent en évidence les failles des systèmes de prévention d’intrusion (IPS) et des pare-feu (firewalls)

Dans le souci de protéger l’infrastructure de leurs centres de données contre les attaques DDoS, de nombreux opérateurs ont déployé des pare-feu de type « stateful » et des systèmes de prévention d’intrusion (IPS). En fait, ces équipements rendent les réseaux encore plus vulnérables aux attaques car les tables d’état, y compris sur les machines les plus puissantes du marché, peuvent se retrouver débordées par une attaque DDoS d’ampleur moyenne. Près de 49% des responsables de centres de données consultés signalent la défaillance d’un pare-feu ou d’un système de prévention d’intrusion à la suite d’une attaque DDoS.

La vulnérabilité des réseaux mobiles offre de nouvelles opportunités d’attaques

Les FAI affichant la plus forte croissance – les opérateurs mobiles et WiFi – sont peut-être aussi les moins bien préparés, en termes de visibilité et de maîtrise du réseau, à se défendre, ainsi que leurs clients, contre les attaques. En effet, près de 60% des responsables interrogés chez les opérateurs mobiles et WiFi indiquent n’avoir aujourd’hui que peu de visibilité, voire aucune, sur le trafic réseau « paquets » radio. En outre, seuls 23% estiment que cette visibilité est égale ou supérieure à celle dont ils bénéficient sur leurs réseaux fixes. A quelques notables exceptions près, de nombreux opérateurs mobiles/WiFi paraissent en être encore, en matière de sécurité, là où se trouvaient les opérateurs de réseaux fixes il y a huit ou dix ans.

Les opérateurs peinent à préserver leur sécurité lors de la transition vers IPv6

Les opérateurs font part de leur préoccupation concernant le manque de visibilité sur le trafic réseau IPv6 et leur incapacité à contrôler ce dernier de la même manière que le trafic IPv4. Lors de la migration, le déploiement de passerelles IPv6/IPv4 et de traducteurs d’adresses réseau (NAT) offre des possibilités supplémentaires d’attaques DDoS qui constituent une menace non négligeable pour la disponibilité des services réseaux.

Les DNS comme cible principale

Les systèmes de noms de domaine (DNS) apparaissent comme l’une des cibles les plus simples pour lancer une attaque DDoS contre un serveur, un service ou un applicatif et le rendre inaccessible aux internautes en bloquant la résolution des adresses IP correspondantes. En outre, le grand nombre de DNS mal configurés, combiné à l’absence de dispositifs antispoofing sur de nombreux réseaux, ouvre la voie à des attaques massives sur ces DNS.