IoT, attaque DDoS massive au niveau des couches d’application

by chebbi abir

L’IoT, constitué principalement de routeurs, a frappé un fournisseur de services avec près de 300 000 requêtes par seconde par un déluge de données de 13 jours.

IoT, Sécurité, RGPD, vulnérabilité, failles, objet connecté , internet

 

Une collection de plus de 400 000 périphériques connectés – principalement des routeurs domestiques – pendant 13 jours a lancé une puissante attaque au niveau de la couche applicative contre un fournisseur de services de divertissement en ligne.L’attaque a utilisé des paquets conçus pour apparaître comme des requêtes valides adressées à l’application ciblée dans le but de mâcher de la bande passante et des ressources du serveur et a atteint un taux de pointe de 292 000 requêtes par seconde, selon un rapport publié le 24 juillet par le cabinet de sécurité Imperva, qui bloquait l’attaque.

L’attaque par déni de service distribué (DDoS), également appelée attaque de couche d’application ou couche 7, provient de périphériques compromis par les attaquants et visait vraisemblablement à supprimer le service de l’entreprise, explique Vitaly Simonovich, chercheur en sécurité chez Imperva.

 “Ce n’est pas la première fois que ce client est attaqué”, dit-il. “Dans le passé, nous avons été témoins de l’attaque de ce client via des attaques DDoS au niveau de la couche réseau. Des attaquants ont également tenté de voler leur service ou de l’utiliser sans le payer.”

Les attaques par déni de service distribuées sont désormais considérées comme le coût des transactions en ligne et les entreprises doivent planifier ces attaques. Dans une enquête publiée le 24 juillet, la société de services de centres de données, US Signal, a révélé que 83% des entreprises avaient subi une attaque par déni de service distribué au cours des deux dernières années et que le temps d’arrêt moyen causé par cette attaque était de 12 heures. L’enquête a également révélé que 81% des organisations avaient leur application Web ciblée dans une cyberattaque. 

“Le nombre de personnes interrogées ayant connu des attaques DDoS et des attaques d’applications est choquant, ce qui montre qu’il est toujours possible d’améliorer le suivi des cybermenaces modernes”, a déclaré dans un communiqué Trevor Bidle, vice-président de la sécurité de l’information et responsable de la conformité chez US Signal.

Pourtant, les inondations de paquets sur le réseau continuent de créer de nouveaux records en termes de volume et de trafic soutenu. 

L’ attaque contre le client d’Imperva n’est pas la plus grande mais représente l’une des attaques les plus importantes au niveau de la couche application. Les attaques volumétriques, qui tentent de surcharger la bande passante et l’infrastructure d’une cible avec un déluge de données, ont dépassé 500 millions de paquets par seconde, selon Imperva. À titre de comparaison, l’attaque DDoS contre GitHub en 2018 a dépassé 1,35 terabits par seconde, soit environ 130 millions de paquets par seconde, a annoncé la société .

En 2016, le programme malveillant d’origine Mirai, ainsi que plusieurs variantes, ont été utilisés pour mener des attaques DDoS massives contre diverses cibles. Plus d’une attaque a atteint un pic de plus de 600 gigabits par seconde et l’attaque contre le fournisseur d’infrastructure Dyn en octobre 2016 a dépassé 1 terabit par seconde .

Les attaques volumétriques et applicatives sont différentes et visent différentes parties de l’infrastructure en ligne d’une entreprise. Les applications Web peuvent généralement gérer des dizaines, voire des centaines de gigabits de trafic légitime, mais les serveurs Web typiques traitent peut-être 25 000 requêtes par seconde, explique Simonovich, de Imperva.

“Aujourd’hui, les clients qui utilisent des services de cloud computing peuvent rapidement évoluer”, a-t-il déclaré. “Cela signifie que lorsque le nombre de demandes augmente, la plate-forme cloud peut générer davantage de serveurs pour gérer la charge. Cela signifie également que le client paiera davantage au fournisseur de cloud.”

Routeurs situés au Brésil

mperva a suivi une grande partie du trafic lors de la dernière attaque sur des routeurs domestiques compromis au Brésil. Bien que la société ne pense pas que les attaques proviennent du botnet Mirai car le code du logiciel malveillant a été publié il y a quelque temps, les développeurs clandestins ont modifié Mirai pour intégrer diverses attaques.

n raison du grand nombre de dispositifs Internet des objets (des dizaines de milliards d’appareils connectés au réseau par la plupart des comptes) et du manque de sécurité de la plupart des fabricants et des consommateurs, le nombre d’appareils vulnérables continuera probablement d’augmenter, Imperva m’a dit.

“Les réseaux de zombies d’appareils IoT ne feront que grandir”, a déclaré la société. “Nous vivons dans un monde connecté, de sorte que le nombre d’appareils IoT continue de croître rapidement et que les fournisseurs ne considèrent toujours pas la sécurité comme une priorité absolue.”
Pour en savoir plus:
Top

Interdit de copier  ce contenu