En raison de signes de cyberattaques massives autour des journées promotionnelles du Black Friday le 26 novembre, du Cyber Monday le lundi suivant ainsi qu’au cours des ventes de Noël, l’Office fédéral de la sécurité des technologies de l’information (BSI) a déclaré le niveau de menace informatique « 2 / jaune ». L’autorité s’attend à des attaques par déni de service distribué (dDoS) d’une intensité inhabituelle sur les plateformes en ligne. Elle recommande notamment aux commerçants en ligne et aux organisations du secteur du commerce électronique de préparer des mesures de défense appropriées et de faire preuve de sang-froid face aux tentatives de chantage.
« Ces dernières semaines, nous avons observé des attaques dDoS allant jusqu’à 21,8 millions de requêtes par seconde (mrps) », a expliqué le président du BSI, Arne Schönbohm, à propos de cette mesure. « Cela correspond à une augmentation de 28 % par rapport aux valeurs mesurées précédemment. Il est à craindre que ces technologies d’attaque soient également utilisées pendant les jours à fort chiffre d’affaires, notamment pour le chantage DDoS ». Les mesures de protection prises jusqu’à présent contre de telles attaques devraient donc être adaptées aux nouvelles capacités des cybercriminels. La prévention est un facteur décisif dans le domaine de la sécurité informatique et constitue « une condition préalable à une numérisation réussie ».
Sommaire
Infrastructures d’attaque développées
Dans l’alerte de cybersécurité portant le numéro 2021-269757-1132, l’office indique par exemple que des infrastructures d’attaque dDoS ont déjà été utilisées fin août et début septembre, dépassant les records établis depuis plusieurs mois. Lors de l’attaque contre le cloud Azure de Microsoft, une bande passante de pointe de 2,4 Tbps a été atteinte. La durée s’est étendue sur plus de dix minutes, avec des « bursts » de très courte durée, qui ont atteint en quelques secondes des volumes de l’ordre du térabit.
Selon le rapport, l’attaque contre le moteur de recherche russe Yandex a été menée à l’aide du botnet Meris, qui a atteint un nouveau record de requêtes par seconde (rps) de près de 22 mrps. Meris se compose en grande partie de nombreux routeurs domestiques du fabricant letton MikroTik, qui sont vulnérables depuis 2018. En octobre, le nombre de nouvelles variantes du malware XorDDoS a fait un bond en avant. Il s’agit d’un cheval de Troie Linux qui cible les serveurs Docker. Le botnet XorDDoS est utilisé depuis des années pour des attaques DDoS à grande échelle.
Chantage à la protection
Parallèlement, les incidents d’extorsion de fonds DDoS se multiplient, écrit le BSI. Les campagnes actuelles visent principalement les opérateurs de télécommunications et les fournisseurs de messagerie électronique au niveau national et international. Outre le fournisseur allemand Posteo, Runbox, Fastmail, TheXYZ, Guerilla Mail, Kolab Now et RiseUp ont été récemment touchés.
L’autorité conseille aux organisations susceptibles d’être ciblées par de tels agresseurs d’accorder une « attention particulière aux attaques par réflexion UDP » et aux attaques avec des taux de demande élevés. Il convient d’examiner les conséquences de la défaillance de différents composants vulnérables et de systèmes « voisins ». Il est recommandé d’établir rapidement des plans d’action pour les tentatives de chantage dDoS. Auparavant, le BSI avait également évoqué la menace croissante des attaques DDoS dans son récent rapport sur la situation de la sécurité informatique en Allemagne.