© Tima Miroshnichenko / Pexels
© Tima Miroshnichenko / Pexels

Les trois dernières années révèlent l'omniprésence des attaques par déni de service et des attaques par mot de passe, avec une Europe pas épargnée, comme le révèle une étude de F5 Labs.

À l'heure où certaines attaques de type ransomware sont largement relayées dans les médias, de part leur impact, leur résonance et souvent leur gravité, il ne faut pas oublier que les pirates informatiques sont nombreux dans le monde et qu'ils œuvrent à tout instant. Le F5 Labs, qui traite les menaces subies par les applications de l'entreprise américaine F5, a procédé à l'analyse des incidents de sécurité les plus signalés entre 2018 et 2020. Les attaques par déni de service (DDoS) et par mot de passe arrivent en tête du palmarès.

Des attaques DDoS en très, très forte croissance en Europe

Selon l'enquête de F5 Labs, la région EMEA (Europe, Moyen-Orient et Afrique) est la deuxième à avoir le plus souffert des attaques par déni de service distribué ou attaques DDoS et attaques par mot de passe, symbolisées par les assauts par force brute et le credential stuffing. La région APCJ (Asie-Pacifique, Chine et Japon) est la plus touchée.

Outre les attaques DoS (par déni de service), DDoS ou par mot de passe, les chercheurs de F5 ont aussi été marqués par la multiplication des attaques par interface de programmation d'applications (API). F5 Labs a en tout cas constaté que chaque année, près d'un tiers (32 % exactement) des incidents enregistrés étaient des attaques DoS. La statistique a même atteint 36 % en 2020. Les attaques consistent souvent en une « inondation volumétrique du réseau », avec pour 19 % des cas, un serveur DNS dans le viseur. La région EMEA a connu une impressionnante croissance de 945 % pour les attaques par déni de service.

Les établissements d'enseignement et les prestataires de services furent les plus touchés, devant le secteur financier et le secteur public.

🧐 Attaque DDoS, attaque par force brute, credential stuffing : les définitions

Une attaque DDoS (pour déni de service distribué) consiste à lancer de très nombreuses requêtes à la ressource visée (un site internet) pour causer son ralentissement ou « le faire tomber », et ainsi empêcher son bon fonctionnement. Une attaque DDoS est souvent rendue possible grâce à un réseau d'ordinateurs infectés. Certains assauts peuvent directement être commandés sur le dark web.

Une attaque par force brute vise à craquer un mot de passe, voire un nom d'utilisateur. Comment ? En procédant à d'innombrables essais, jusqu'à trouver les bons identifiants. Une technique vieille comme le monde, mais en fin de compte encore efficace.

La pratique du credential stuffing, elle, découle de l'attaque par force brute et consiste à essayer de multiples combinaisons jusqu'à trouver le bon mot de passe, mais, cette fois, en essayant de les relier à des identifiants précédemment dérobés.

Les attaques par mot de passe toujours très répandues… jusqu'aux API

Les attaques par mot de passe sont aussi de plus en plus nombreuses chaque année. Malgré une baisse constatée en 2019, elles restent très puissantes pour représenter 32 % des incidents enregistrés sur les trois dernières années. Les secteurs bancaire et financier, qui représentent 46 % du volume total d'incidents, sont les plus touchés. Le secteur public et les prestataires de services suivent.

« Les institutions financières ont renforcé la sécurité de leurs systèmes, mais les hackers s’en prennent au maillon le plus faible : leurs clients. Les entreprises de services financiers n’ont pas les moyens de savoir si un client réutilise son mot de passe ailleurs, en particulier dans un environnement moins sécurisé » détaille Raymond Pompon, directeur de F5 Labs.

F5 Labs met aussi en garde contre les attaques visant les API, très utilisées dans le Cloud pour les applications mobiles. Car, si de tous les incidents, seuls 4 % concernaient les API, 75 % étaient des attaques par mot de passe. Autant dire qu'une protection maximale est privilégiée ici, surtout pour les entreprises financières et les prestataires de services, les plus frappés encore une fois. « Comme les API représentent essentiellement des sessions web, les connexions par mot de passe accordent souvent un accès étendu aux applications stratégiques. Ce qui est troublant, c’est que les hackers utilisent des attaques par mot de passe, comme la force brute, sachant pertinemment que 69 % des violations d’API en 2019 étaient liées à un contrôle insuffisant des accès » commente Raymond Pompon.

Source : F5 Laps, communiqué de presse