Une année passée au crible - état des lieux d'internet / sécurité - Akamai

La page est créée Dominique Langlois

Divers

Français

Like
Partager
Intégrer
Plein écran
Diapositives
Télécharger HTML
Télécharger PDF
Abus

←

CONTINUER À LIRE

→

Transcription du contenu de la page

Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous

Une année passée au crible - état des lieux d'internet / sécurité - Akamai

Volume 5, Numéro 6

    [état des lieux d'internet] / sécurité

Une année passée au crible

Table des matières
01         Édito

02         12 mois de recherche Akamai

           03 Octobre 2018

           03 Novembre 2018

           04 Décembre 2018 / Janvier 2019

           05 Février 2019

           07 Mars 2019

           07 Avril 2019

           08 Mai 2019

           08 Juin 2019

           10 Juillet 2019

           11 Août 2019

           11 Septembre 2019

13         Regard vers l'avenir

14         Annexe

24         Sources

[état des lieux d'internet] / sécurité       Une année passée au crible : Volume 5, Numéro 6

Édito
Martin McKeay
Editorial Director

Alors que l'année 2019 touche à sa fin, nous tenons à Pour ce qui est de mon équipe (les rédacteurs, les
vous remercier, chers lecteurs, de rester fidèles à nos experts en données, les éditeurs qui élaborent ce
mises à jour du rapport SOTI (État des lieux d'Internet / rapport et les autres), notre travail est notre passion.
Sécurité) d'Akamai. Notre équipe et le rapport Ensemble, nous avons plus de quatre décennies
SOTI ont tous deux considérablement évolué cette d'expérience dans le domaine de la sécurité. Nous
année, et notre objectif est de continuer de grandir sommes conscients de tout ce qu'il nous reste à
et d'évoluer dans les années à venir. Nous voulons découvrir, même si ces zones d'ombre ne sont pas
que ce rapport constitue une ressource de référence quantifiables. En travaillant avec nos chercheurs,
privilégiée pour vos recherches. nous pouvons faire la différence, en rendant leur
travail accessible et intéressant pour vous.
Pourquoi Akamai publie le rapport SOTI et investigue
la sécurité en général ? À l'origine, le rapport SOTI était basé uniquement
sur les attaques DDoS et les attaques contre les
D'un point de vue interne, le rapport SOTI et les applications Web, mais nous l'avons fait évoluer
recherches connexes sont d'excellentes ressources pour qu'il couvre un large éventail de problèmes de
marketing. Des recherches de qualité permettent de sécurité urgents. Tandis qu'Akamai poursuit sa propre
bons retours, et ces témoignages positifs mettent évolution en tant que société de sécurité, les types de
en évidence ce qu'une entreprise considère comme données disponibles ne feront que croître. Nous avons
important. D'une certaine manière, le type de déjà commencé à développer une trame pour 2020,
recherche publié par une société dédiée à la sécurité dans tous les sens du terme.
est presque aussi important pour bâtir sa réputation
que les types de produits qu'elle vend. Vous, chers lecteurs, êtes importants pour nous. Sans
vous, ce rapport n'existerait pas. Nous vous remercions
Pourquoi un groupe international de chercheurs croit-il de votre intérêt pour notre travail et espérons que
en la valeur de la recherche et de la publication ? vous continuerez à trouver nos rapports utiles pour
La plupart des réponses individuelles que nous l'année à venir. Nous vous invitons à nous faire part de
avons reçues peuvent se résumer en deux facteurs vos commentaires et de vos questions.
de motivation. Tout d'abord, être reconnu comme
un leader et une source d'informations dans votre
domaine est appréciable, qui que vous soyez.
Deuxièmement, le travail réalisé par nos équipes est
important. Le domaine de la sécurité est encore jeune
et chaque information, chaque brin de sagesse qui
contribue à enrichir les connaissances mondiales
est précieux.

[état des lieux d'internet] / sécurité Une année passée au crible : Volume 5, Numéro 6 1

12 mois de
recherche Akamai

[état des lieux d'internet] / sécurité   Une année passée au crible : Volume 5, Numéro 6   2

Les articles importants des 12 derniers mois
Bienvenue dans le sixième rapport sur l'État des lieux     impact sur d'autres bases de code. Cela signifie que
d'Internet / Sécurité (SOTI) de l'année. Puisque la fin    le problème avait le potentiel d'affecter 7 800 projets.
de l'année 2019 approche, nous souhaitons revenir          Dans une mise à jour de sa publication originale, Larry
sur les recherches effectuées par Akamai au cours des      Cashdollar a testé 1 000 projets forkés à l'aide du code
12 derniers mois. Du début du mois d'octobre 2018 à        jQuery et a découvert que 970 d'entre eux étaient
la fin du mois de septembre 2019, nous accordons une       vulnérables.
attention particulière aux recherches menées par la
Security Intelligence Response Team (SIRT) d'Akamai.
Nous mettons également en évidence une sélection
des actualités les plus importantes qui ont affecté le     Avec la perspective des prochaines
secteur de la sécurité l'année dernière.
                                                           élections aux États-Unis, la sécurité
Bien qu'il puisse sembler cliché de dire que cette         devrait jouer un rôle encore plus
année a été intéressante, cela reste vrai. Plus que
jamais, les témoignages sur la sécurité sont devenus
                                                           important dans l'année à venir.
de plus en plus importants et font désormais partie
des informations disponibles au grand public. Avec la
perspective des prochaines élections aux États-Unis,
la sécurité devrait jouer un rôle encore plus important
dans l'année à venir.                                      Novembre 2018
                                                           Novembre a commencé avec l'annonce selon laquelle
                                                           la Bibliothèque du Congrès et le Bureau américain
Octobre 2018                                               des droits d'auteur avaient ajouté des exemptions
                                                           au DMCA (Digital Millennium Copyright Act). Une
Quel mois ! Tout a commencé par une violation de
                                                           exemption permet aux chercheurs d'exposer des
données qui a touché des millions de personnes
                                                           défauts logiciels sans crainte de poursuites pénales.
sur Facebook. Peu de temps après, Bloomberg
                                                           Cette nouvelle a été suivie par des rapports indiquant
a publié un article portant sur les piratages de la
                                                           qu'environ 60 millions de cartes de paiement
chaîne d'approvisionnement de l'État-nation. Tous les
                                                           américaines avaient été compromises entre 2017
fournisseurs mentionnés dans l'article, ainsi que le
                                                           et 2018, et que 93 % d'entre elles étaient compatibles
Département de la sécurité intérieure des États-Unis
                                                           EMV.
ont nié ces accusations, mais Bloomberg a fermement
maintenu ses positions.
                                                           À peu près au même moment, Kaan Onarlioglu
                                                           d'Akamai a publié un article de blog traitant des
Octobre a également été un mois chargé pour
                                                           évaluations de vulnérabilité de tiers sur l'Akamai
nos équipes de sécurité. Ryan Barnett d'Akamai a
                                                           Intelligent Edge Platform et de l'existence de
publié un article de blog sur les en-têtes de réponse
                                                           résultats faux positifs susceptibles d'entraîner une
de sécurité et les raisons pour lesquelles les chefs
                                                           confusion. Peu après, Ryan Barnett a publié un rapport
d'entreprise et les responsables de la sécurité
                                                           détaillé sur les mesures à prendre pour se protéger
ne doivent pas les négliger. Le lendemain, Larry
                                                           contre les attaques de Magecart. Or Katz a quant
Cashdollar a publié un examen du kit d'hameçonnage
                                                           à lui publié un rapport détaillé sur une technique
Luis, incluant certaines de ses techniques d'évasion.
                                                           d'hameçonnage présentant 78 variantes différentes.
                                                           Le logiciel Magecart reste une menace importante en
Larry Cashdollar a également révélé la vulnérabilité du
                                                           cette fin d'année 2019, en grande partie à cause des
chargement de fichiers dans l'outil jQuery File (CVE-
                                                           vulnérabilités présentes dans le logiciel et dans des
2018-9206). Bien que le problème ait été résolu, les
                                                           plug-ins tiers utilisés sur de nombreux sites.
forks du code et l'utilisation recyclée ont diffusé son

[état des lieux d'internet] / sécurité                   Une année passée au crible : Volume 5, Numéro 6        3

Décembre 2018 / Janvier 2019
À la fin de l'année 2018, les équipes de publication et de recherche ont également finalisé le premier rapport
État des lieux d'Internet / Sécurité pour l'année 2019, publié le 30 janvier. Pour les chercheurs comme pour les
criminels, la majeure partie de décembre a été l'occasion de prendre des vacances.

Avant la sortie du rapport SOTI, Larry Cashdollar a publié un article de blog centré sur la vulnérabilité ThinkPHP
(CVE-2018-20062), qu'il a découverte lors de ses recherches sur les attaques par écrémage (« skimming »)
de Magecart. Lukasz Orzechowski a donné suite à cette publication en réalisant un article de blog sur une
expérience réalisée avec des outils de traduction assistée par ordinateur (TAO). Traduire une langue est difficile,
en particulier lorsqu'il s'agit de traduire un script informatique contenant du langage technique.

État des lieux d'Internet / Sécurité : Volume 5, Numéro 1

Attaques applicatives et DDoS
Ce numéro est consacré en partie à la santé mentale, avec un dossier signé Amanda Berlin. Depuis janvier,
le nombre d'ateliers proposés par Mental Health Hackers lors de conférences sur la sécurité a augmenté
aux États-Unis.

Nous avons étudié en détail un incident qui, au premier abord, ressemblait à une attaque DDoS massive, avec plus
de 4 milliards de requêtes sur plus de 15 582 adresses IP. Pourtant, « l'attaque qui n'en était pas une » s'est révélée
être une application défectueuse.

Nous avons également exploré le sujet des bots de commerce de détail et la façon dont les applications tout-en-
un (AIO) peuvent avoir un impact considérable sur les ventes et les promotions en ligne. Bien que tous les bots ne
soient pas mauvais, les problèmes présentés par certains dépassent de beaucoup leurs avantages.

En bref
• Les problèmes de santé mentale représentent une • Les bots représentent de grosses rentrées
perte de chiffre d'affaires de plus de 190 milliards d'argent pour les pirates informatiques et
de dollars par an pour les entreprises américaines. ils évoluent constamment pour contourner les
nouvelles défenses. Un pirate a proposé de
• Il arrive parfois qu'une « attaque » ne soit pas tout rémunérer à hauteur de 15 000 dollars des
à fait ce qu'elle semble être à première vue. Les développeurs ayant de l'expérience dans le
experts du SOCC (Security Operations Control ciblage des défenses d'entreprises spécifiques.
Center) d'Akamai ont constaté l'impact qu'ont eu
4 milliards de requêtes sur un site Web majeur et
ont recherché la véritable cause de ce phénomène.

[état des lieux d'internet] / sécurité Une année passée au crible : Volume 5, Numéro 6 4

Février 2019
Le mois de février était morne, tout comme le fil des Juste avant la publication du deuxième numéro du
actualités. Il y a tout de même eu quelques histoires rapport SOTI ce mois-là, Larry Cashdollar a publié
intéressantes, notamment le cas d'une personne qui un article de blog examinant l'utilisation de Google
a intenté un procès contre Apple, accusée d'imposer Translate dans les attaques d'hameçonnage contre
l'authentification à deux facteurs aux comptes Facebook. Petit conseil : n'essayez pas d'hameçonner
utilisateur. nos chercheurs, ils gagnent leur vie en décelant les
modèles étranges et inhabituels.
Une lettre de notification d'incident déposée auprès
du bureau du procureur général du Vermont [PDF]
a également attiré l'attention. L'incident en question
était une attaque de credential stuffing qui visait les
utilisateurs de TurboTax plutôt qu'une violation des Akamai a suivi les thèmes de
systèmes Intuit. Les exemples comme ceux-ci sont
l'une des raisons pour lesquelles l'authentification l'authentification multifactorielle
multifactorielle et le credential stuffing ont été
et du credential stuffing tout au
des thèmes suivis par Akamai tout au long de
l'année 2019. Une autre raison réside dans le volume long de l'année 2019.
considérable d'attaques de credential stuffing
qu'Akamai continue d'observer.

État des lieux d'Internet / Sécurité : Volume 5, Numéro 2

Attaques sur le commerce de détail et
trafic d'API
C'était la première fois de l'année qu'Akamai étudiait en profondeur nos données sur le credential stuffing. À la
création de ce rapport, Akamai avait observé 10 milliards de tentatives de credential stuffing contre le secteur du
commerce de détail entre mai et décembre 2018. Le rapport examinait également les bots AIO du secteur du
commerce de détail, la sécurité des API et les éventuels problèmes IPv6.

[état des lieux d'internet] / sécurité
sécurité Une année passée au crible : Volume 5, Numéro 6 5

Tentatives de connexions malveillantes quotidiennes
                                                                                                   De janvier à septembre 2019
Tentatives de connexions malveillantes (en millions)

                                                        200 M

                                                       100 M

                                                         0M

                                                           Jan. 2019     Févr. 2019    Mars 2019   Avr. 2019      Mai 2019            Juin 2019          Juil. 2019   Août 2019   Sept. 2019   Oct. 2019

                                                                                                      Segment de marché      Autres         Vente au détail

                                                                Fig. 1 (Mise à jour du graphique publié dans le numéro 2) – Le credential stuffing continue de cibler le secteur
                                                                du commerce de détail, avec 16,5 milliards de tentatives au cours des neuf premiers mois de 2019, contre
                                                                11,5 milliards au cours des neuf derniers mois de 2018

                                                       En bref
                                                       • Dans tous les secteurs (pas seulement le                            • Une analyse du réseau ESSL d'Akamai a révélé
                                                         commerce de détail), Akamai a détecté près de                         une répartition du trafic entre API et HTML de
                                                         28 milliards de tentatives de credential stuffing                     83 et 17 % sur notre réseau de diffusion
                                                         entre mai et décembre 2018.                                           de contenu (CDN) sécurisé. Il s'agit d'une
                                                                                                                               augmentation significative par rapport à la
                                                       • Il est possible que l'utilisation du protocole                        même enquête réalisée en 2014.
                                                         IPv6 soit sous-estimée selon l'analyse d'Akamai.
                                                         Cela laisse penser, à tort, que le protocole IPv6
                                                         ne nécessite pas autant de surveillance.

    [état des lieux d'internet] / sécurité                                                                               Une année passée au crible : Volume 5, Numéro 6                           6

Mars 2019                                                     Avril 2019
Lorsque l'on étudie les tentatives de credential              Le mois d'avril est arrivé et, alors que l'équipe se
stuffing, l'un des thèmes clés est l'utilisation de mots      remettait de la RSA Conference, des nouvelles portant
de passe faciles à deviner ou faibles. De plus, un trop       sur trois vulnérabilités zero day dans WordPress ont
grand nombre d'utilisateurs recyclent leurs mots              commencé à se propager en ligne, entraînant la
de passe sur plusieurs réseaux et services. Début             compromission d'un certain nombre de sites Web.
mars, on a beaucoup parlé du service de téléphonie            Les chercheurs d'Akamai constatent souvent que les
Xfinity Mobile de Comcast, dont le code PIN par               criminels utilisent des sites Web compromis pour
défaut était 0000 sur les comptes clients. Cette              héberger des kits d'hameçonnage. Cela contribue
info avait été diffusée peu après que le rappeur              également à faciliter l'évasion : un site Web légitime,
Kanye West avait été vu en train de définir le mot de         mais compromis n'est pas susceptible d'éveiller les
passe de son iPhone X sur « 000000 ».                         soupçons ou de déclencher des alarmes de défense
                                                              des points de terminaison.
En dehors de l'actualité, Jonathan Respeto d'Akamai
a publié un article de blog sur l'utilisation des             Concernant d'autres actualités sur la vulnérabilité,
programmes Capture the Flag pour promouvoir la                Larry Cashdollar a publié un article de blog mettant en
formation continue au sein du SOCC.                           garde contre plusieurs vulnérabilités dans Magento.
                                                              La recommandation, publiée pour attirer l'attention sur
                                                              le problème, identifiait plus de 30 vulnérabilités sur la
                                                              plateforme, dont une qui avait une preuve de concept
                                                              fonctionnelle au moment de l'article. Plus tard dans le
                                                              mois, la chercheuse Yael Daihes a publié avec Craig
                                                              Sprost un article de blog sur l'ajout de données DNS
                                                              réelles à des modèles d'apprentissage approfondis
                                                              afin d'en améliorer l'efficacité.

             État des lieux d'Internet / Sécurité : édition spéciale sur les médias

             Le « credential stuffing » —
             Attaques et économies
Datée du 8 avril 2019, cette édition spéciale du rapport SOTI a été publiée en ayant à l'esprit les médias, public de
la conférence NAB (National Association of Broadcasters). Patrick Sullivan d'Akamai a présenté les données et les
informations du rapport lors du sommet NAB sur la cybersécurité et la protection du contenu.

L'un des points les plus intéressants de ce rapport était que trois des plus grandes attaques de credential stuffing
contre les services de streaming en 2018 (qui varient entre 133 millions et 200 millions de tentatives) ont eu lieu
peu de temps après le signalement de violations de données. Cela signifie que les pirates ont essayé de tirer parti
d'identifiants obtenus récemment.

[état des lieux d'internet] / sécurité                     Une année passée au crible : Volume 5, Numéro 6          7

Mai 2019                                                   Juin 2019
Parmi les points forts du mois de mai, citons              Le mois de juin est généralement très chargé pour
les correctifs de Cisco qui ont résolu les graves          les actualités sur la sécurité, et cette année n'a pas
vulnérabilités de routeurs et les difficultés liées au     fait exception à la règle. Parmi ces actualités, nous
ransomware de Baltimore, ainsi que les efforts de          citerons les attaques perpétrées contre des plug-ins
reprise qui ont suivi. Les ransomware ont été un           WordPress, les violations de données et les incidents
thème récurrent au cours de l'année dernière et leur       impliquant des logiciels malveillants de points de
utilisation ne semble pas faiblir.                         vente (PDV) dans 102 restaurants Checkers and Rally's
                                                           dans 20 États. Sur une note plus légère, une étude
Amiram Cohen d'Akamai a publié, avec des                   défendant l'idée que les préjugés cognitifs ont un
recherches supplémentaires menées par Or Katz,             effet sur les décisions de sécurité a été publiée.
un examen détaillé du kit d'hameçonnage 16Shop
qui cible les utilisateurs d'Apple. Le kit lui-même est    Larry Cashdollar et Steve Ragan ont commencé
sophistiqué, constamment mis à jour et utilise un          le mois en publiant des articles de blog sur
certain nombre de techniques d'évasion. L'équipe           l'identification des vulnérabilités dans les kits
de recherche sur les menaces d'Akamai a également          d'hameçonnage, qui, si elles sont exploitées,
publié un article de blog sur le Cipher Stunting, une      pourraient entraîner des problèmes supplémentaires
menace croissante qui implique la randomisation            pour les administrateurs de serveurs. Or Katz, l'un des
des signatures SSL/TLS dans le but d'échapper à la         intervenants de la conférence Edge World d'Akamai,
détection.                                                 a également publié des articles sur les techniques
                                                           d'évasion des kits d'hameçonnage et l'analyse
                                                           des pratiques d'hameçonnage. Larry Cashdollar a
                                                           également publié deux articles supplémentaires
                                                           ce mois-là. Le premier, publié le 13 juin, traitait
                                                           26 vecteurs d'infection dans la version d'Echobot la
                                                           plus récente (à l'époque). À la fin du mois, il a publié
                                                           un article sur un bot nommé Silex qui verrouille les
                                                           systèmes une fois qu'ils sont infectés.

             État des lieux d'Internet / Sécurité : Volume 5, Numéro 3

             Attaques Web et abus visant l'industrie
             du jeu vidéo
Cette édition du rapport SOTI s'est centrée sur l'industrie du jeu vidéo et l'économie criminelle qui gravite
autour. Les jeux vidéo sont une cible populaire et les criminels disposent de plusieurs vecteurs pour cibler les
joueurs et les entreprises à l'origine des jeux les plus en vogue du Web. Selon le rapport, les données indiquent
que 12 milliards d'attaques de credential stuffing ont visé les sites Web de jeux vidéo entre novembre 2017 et
mars 2019. Dans l'ensemble des secteurs, plus de 55 milliards d'attaques de credential stuffing ont été perpétrées
dans le même laps de temps. Comme le souligne le rapport, les applications Web étaient également des cibles
privilégiées, avec des attaques d'injection SQL (SQLi) représentant près des deux tiers de l'ensemble des attaques
contre les applications Web.

[état des lieux d'internet] / sécurité                     Une
                                                          Une   année
                                                              année   passée
                                                                    passée au au crible
                                                                              crible    : Volume
                                                                                     : Volume     5, Numéro
                                                                                               5, Numéro 6 6          8

Attaques quotidiennes contre les applications Web
                                                                                                  De janvier à septembre 2019
                                                                                                                                                                                                         Fig. 2 – Bien que les entreprises du jeu
                                                        30 M
                                                                                                                                                                                                         vidéo ne soient la cible que d'un petit
                                                                                                                                                                                                         pourcentage des attaques enregistrées
                                                                                                                                                                                                         par Akamai, elles ont tout de même
               Attaques d'applications (en millions)

                                                                                                                                                                                                         fait l'objet de plus de 35 millions de
                                                        20 M                                                                                                                                             tentatives au cours des neuf premiers
                                                                                                                                                                                                         mois de 2019

                                                        10 M

                                                         0M
                                                         Jan. 2019    Févr. 2019    Mars 2019   Avr. 2019      Mai 2019            Juin 2019   Juil. 2019     Août 2019    Sept. 2019    Oct. 2019

                                                                                                 Segment de marché        Autres       Jeu

                                                                            Attaques quotidiennes contre les applications par vecteur
                                                                                                  De janvier à septembre 2019
                                                                                                                                                                                                         Fig. 3 – Les attaques SQLi
                                                       30 M                                                                                                                                              représentent 77 % de toutes les
                                                                                                                                                                                                         attaques contre les applications
                                                                                                                                                                                                         jusqu'à présent en 2019 et génèrent
                                                                                                                                                                                                         plus de 3,1 milliards d'alertes sur la
Attaques d'applications (en millions)

                                                                                                                                                                                                         plateforme d'Akamai

                                                       20 M

                                                       10 M                                                                                                                                           Vecteur

                                                                                                                                                                                                           SQLi

                                                                                                                                                                                                           LFI

                                                                                                                                                                                                           Cro

                                                                                                                                                                                                           PHPi

                                                                                                                                                                                                           RFI

                                                                                                                                                                                                           Autres
                                                       0M
                                                        Jan. 2019    Févr. 2019    Mars 2019    Avr. 2019      Mai 2019            Juin 2019   Juil. 2019      Août 2019    Sept. 2019    Oct. 2019

                                                                En bref
                                                               • Akamai a observé 55 milliards d'attaques de credential stuffing sur une période de 17 mois,
                                                                 dont 12 milliards ciblaient directement l'industrie du jeu vidéo.

                                                               • La principale menace en matière de risques liés aux applications Web réside dans les
                                                                 attaques SQLi, qui représentent près de deux tiers de l'ensemble des attaques.

                                                               • Dans l'ensemble, les États-Unis restent la principale source de credential stuffing, suivis par
                                                                 la Russie. Cette dernière est cependant la première source en ce qui concerne les données
                                                                 associées au secteur du jeu vidéo.

                                                                [état des lieux d'internet] / sécurité                                                     Une année passée au crible : Volume 5, Numéro 6                         9

Juillet 2019
                        En juillet, la plupart des acteurs du secteur de la sécurité, dont beaucoup d'entre nous chez Akamai, se
                        préparaient pour les événements de Las Vegas. Les sociétés de sécurité parlent beaucoup de risques et de
                        surfaces d'attaque. L'une des surfaces d'attaque les plus courantes est le navigateur. Par conséquent, l'annonce
                        selon laquelle l'Office fédéral allemand pour la sécurité en matière de technologies de l'information (BSI) était en
                        train de créer des directives pour la sécurité des navigateurs, n'est pas passée inaperçue.

                        En interne, du côté de la recherche, Chad Seaman d'Akamai a publié un article sur les attaques SYN-ACK.
                        Lalor Lahav et Asaf Nadler ont étudié les modifications récentes apportées à l'algorithme de génération de
                        domaine (Domain Generation Algorithm, DGA) pour Pykspa v2. Dans un second article, ils ont ensuite exploré
                        les limitations du DGA. Enfin, le 29 juillet, Larry Cashdollar a publié un article de blog sur les criminels exploitant
                        les vulnérabilités RFI (Remote File Inclusion) dans leurs campagnes d'hameçonnage.

                                           État des lieux d'Internet / Sécurité : Volume 5, Numéro 4

                                           Économie liée aux attaques contre les
                                           services financiers
                        Cette édition du rapport SOTI a étudié comment les attaques et les outils utilisés contre les services financiers sont
                        intégrés à un écosystème plus vaste et plus complexe. Le rapport a analysé de près les marchés criminels et examiné la
                        manière dont ils ciblent les organisations financières, ainsi que les conséquences d'une attaque réussie.

                     Attaques DDoS — Événements liés à des attaques                                                               Attaques DDoS — Cibles uniques
                                   De janvier 2019 à septembre 2019                                                               De janvier 2019 à septembre 2019

                                Jeu                                                                     Services financiers

               Internet et télécoms                                                                                   Jeux
                                                                                                    Distribution et grande
                 Services financiers
                                                                                                               distribution
                     Enseignement                                                                Médias et divertissements

          Médias et divertissements                                                                         Enseignement
                                                                                       Secteur
Secteur

           Logiciels et technologies                                                              Logiciels et technologies

                     Secteur public                                                                   Internet et télécoms

                    Distribution et                                                                         Secteur public
                grande distribution

                    Hôtel et voyage                                                                        Hôtel et voyage

           Services aux entreprises                                                               Services aux entreprises

                                                                                                                    Autres
                             Autres

                                                                                                                              0      10 %          20 %       30 %          40 %
                                       0        1 000        2 000        3 000
                                                                                                                                            Pourcentage de cibles uniques
                                           Événements liés à des attaques DDoS

                        Fig. 4 (Mise à jour du graphique publié dans le numéro 4) – Les attaques DDoS ciblent le plus souvent les sociétés de jeux vidéo,
                        mais les attaques contre le secteur financier sont beaucoup plus dispersées et visent plusieurs cibles

                        [état des lieux d'internet] / sécurité                                  Une année passée au crible : Volume 5, Numéro 6                        10

En bref
• Selon les données d'Akamai, la moitié des • 94 % des attaques contre le secteur financier
entreprises uniques dont l'identité a été usurpée proviennent d'attaques SQLi, LFI, de Cross-Site
par des domaines vecteurs d'hameçonnage se Scripting (XSS) et d'injections Java OGNL.
trouvaient dans le secteur des services financiers.

• Plus de 6 % des tentatives de connexions
malveillantes à l'échelle mondiale ciblaient le
secteur financier.

Août 2019
Au début du mois d'août ont eu lieu les événements Black Hat, DEF CON et BSides Las Vegas, et bon nombre
des titres à la une de l'actualité faisaient partie de ce que la journaliste Violet Blue appelle la « saison des articles
à sensation sur la sécurité informatique ». Toutefois, l'actualité qui a eu le plus de succès n'était même pas liée à la
sécurité. Il s'agissait d'un homme, portant un téléviseur sur sa tête, filmé en train de déposer des téléviseurs sur le
porche de maisons en Virginie. Après avoir évité de justesse une invasion de sauterelles à Las Vegas,
les personnes ayant assisté à Black Hat ont été informées qu'elles avaient potentiellement été exposées à la
rougeole si elles se trouvaient dans la région entre le 3 et le 5 août.

Côté recherche, Or Katz d'Akamai a publié un article de blog sur les escroqueries par hameçonnage ciblant les
destinations de vacances populaires. Larry Cashdollar a quant à lui écrit sur la diffusion croissante du logiciel de
minage de cryptomonnaies XMR.

Septembre 2019
Jonathan Respeto et Chad Seaman d'Akamai ont publié un article de blog sur un nouveau vecteur d'attaques
DDoS pouvant atteindre 35 Gbit/s. Le vecteur, qui exploite une technique d'amplification UDP appelée
WS-Discovery (WSD), peut être utilisé pour obtenir des taux d'amplification allant jusqu'à 15 300 %.

État des lieux d'Internet / Sécurité : édition spéciale sur les médias

Les médias en ligne de mire
Cette édition spéciale du rapport SOTI a été publiée en parallèle du salon IBC dédié aux médias,
au divertissement et à la technologie. Elle poursuit sa surveillance des activités de credential stuffing,
avec un aperçu détaillé de l'impact que ces dernières ont sur les sociétés des médias et des technologies.
De janvier 2018 à juin 2019, Akamai a enregistré plus de 61 milliards de tentatives de credential stuffing
et plus de 4 milliards d'attaques contre les applications Web.

[état des lieux d'internet] / sécurité Une année passée au crible : Volume 5, Numéro 6 11

État des lieux d'Internet / Sécurité : Volume 5, Numéro 5

             Hameçonnage : appâter des proies
Le dernier rapport SOTI de l'année, axé sur les recherches, s'est concentré sur l'hameçonnage et sur l'économie et les
méthodes qui soutiennent cette pratique. Ce problème inclut également, pour la première fois, des données issues du
suivi interne d'Akamai sur les tentatives d'hameçonnage visant nos employés.

    En bref
    • 60 % des kits d'hameçonnage surveillés par           • Microsoft, PayPal, DHL, Dropbox, DocuSign et
      Akamai n'étaient actifs que 20 jours ou moins.         LinkedIn sont des cibles de premier plan pour
                                                             l'hameçonnage, selon les données de surveillance
    • Selon les données d'Akamai, la haute technologie       d'Akamai.
      est le secteur le plus ciblé par l'hameçonnage.

Sources d'informations
En plus des liens vers les sources mentionnés dans ce rapport, vous trouverez ci-dessous une liste de sources
d'informations que les contributeurs de ce rapport consultent régulièrement pour bénéficier d'une analyse
approfondie et d'une vision d'ensemble du secteur.

• Violet Blue                             • Motherboard                        • TechCrunch
• Zack Whittaker                          • CyberScoop                         • ZDNet
• Dark Reading                            • CSO Online                         • SecurityWeek
• Ars Technica                            • WIRED                              • Forbes

[état des lieux d'internet] / sécurité                   Une année passée au crible : Volume 5, Numéro 6       12

Regard vers l'avenir Donc, que pouvons-nous extrapoler à partir des
tendances de 2019 ? Tout d'abord, le vol d'identifiants,
C'est la saison des « prédictions de sécurité ». Et nous l'hameçonnage et l'exploitation des vulnérabilités de
détestons les prédictions de sécurité. systèmes populaires vont continuer à croître. Cela
paraît évident, mais la différence réside dans le fait
Les futuristes et les écrivains de science-fiction font que ces attaques deviennent de plus en plus l'affaire
des prévisions sur l'avenir. Gene Roddenberry et sa de professionnels et plus d'amateurs. Selon toutes
création, Star Trek, sont devenus des éléments phares probabilités, les attaques vont donc devenir encore
de la conscience collective et ont prédit ou conduit à plus sophistiquées et diversifiées.
la création d'une grande partie des gadgets que nous
utilisons quotidiennement, comme les téléphones Il y a dix ans, les vulnérabilités étaient généralement
détectées par un criminel, puis intégrées aux attaques.
Il y a cinq ans, il est devenu beaucoup plus courant de
voir des équipes professionnelles de hackers s'unir
pour découvrir des vulnérabilités et développer des
Qu'il vous soit donné de vivre à logiciels d'attaque. Aujourd'hui, la tendance rassemble
une époque intéressante. les développeurs criminels et les attaques de type APT
(Advanced Persistent Threat), c'est-à-dire les « acteurs
— Ancien proverbe chinois de l'État-nation » mandatés par un État, dont le but est
de créer un flux constant d'outils zero day ciblant des
organisations et des individus spécifiques.

portables et les casques Bluetooth. Mais nous sommes Il ne s'agit pas d'une simple spéculation. Au début
des professionnels de la sécurité, pas des futuristes, du mois d'octobre, la NSA (National Security Agency)
et nous n'avons jamais été en mesure de faire des est allée jusqu'à publier un avertissement annonçant
prévisions un tant soit peu précises une année à que des acteurs connus de l'État-nation visaient
l'avance. des plateformes VPN vulnérables. Plusieurs autres
canaux de communication auraient pu diffuser ce type
En revanche, nous pouvons examiner les données d'alerte, ce qui démontre l'importance du danger que
que nous possédons aujourd'hui et extrapoler des représentent ces attaques pour la NSA.
tendances à partir de celles-ci. Vous vous demandez
peut-être en quoi cela diffère d'une prévision. La Nous nous éloignons d'une époque où les conseillers
réponse réside principalement dans la perspective en sécurité d'une entreprise étaient considérés
adoptée. L'extrapolation comme la prévision sont des comme alarmistes. Désormais, même les spécialistes
tentatives de recherche de tendances émergentes, sont parfois pris de court par la gravité et l'impact que
mais la prédiction a un aspect plus sensationnel. peuvent avoir les attaques. Des sujets ésotériques
concernant la sécurité, domaine autrefois réservé
Lorsque l'on demande une prédiction à quelqu'un, on aux spécialistes et aux technologues, font désormais
s'attend à ce que la réponse soit nouvelle et différente partie du fil quotidien de l'actualité et de la conscience
de ce que d'autres ont identifié. L'extrapolation, elle, collective. De nombreuses prédictions vieilles de dix
se base davantage sur les tendances réelles. Certes, ans se réalisent, même si les menaces ne ressemblent
la distinction peut paraître pointilleuse, mais ce en rien à ce que la plupart d'entre nous attendions.
niveau de spécificité devrait être attendu, venant de
chercheurs et d'éditeurs. L'une des prévisions que nous pouvons faire est que
l'année 2020 sera intéressante.

[état des lieux d'internet] / sécurité Une année passée au crible : Volume 5, Numéro 6 13

Annexe

[état des lieux d'internet] / sécurité   Une année passée au crible : Volume 5, Numéro 6   14

Mises à jour importantes de nos articles majeurs
                                         Les tracés suivants sont des actualisations du travail réalisé dans les numéros précédents du volume 5 du rapport
                                         État des lieux d'Internet / Sécurité. Nous les fournissons ici à titre d'informations supplémentaires pour les lecteurs,
                                         avec un texte d'accompagnement et de brèves explications. Tous les tracés et tableaux s'étendent sur la période
                                         de novembre 2017 à septembre 2019.

                                                                           Tentatives de connexions malveillantes quotidiennes
                                                                                      De novembre 2017 à septembre 2019
                                         300 M
Connexions malveillantes (en millions)

                                         200 M

                                         100 M

                                           0M
                                                 Déc. 2017   Févr. 2018   Avr. 2018   Juin 2018   Août 2018   Oct. 2018   Déc. 2018   Févr. 2019   Avr. 2019   Juin 2019   Août 2019    Oct. 2019

                                         [état des lieux d'internet] / sécurité                                 Une année passée au crible : Volume 5, Numéro 6                       15

Sources d'attaques par vol d'identifiants – Amérique
                                              De novembre 2017 à septembre 2019

 Connexions malveillantes

      Moins de 100 000

      100 000 - 1 million

      1 million - 10 millions

      10 millions - 100 millions

      100 millions - 1 milliard

      1 milliard - 10 milliards

      Plus de 10 milliards

      Aucune donnée

              Zones sources principales – Amérique
                                  Vol d'identifiants

                                    CONNEXIONS         CLASSEMENT
      ZONE SOURCE
                                   MALVEILLANTES        MONDIAL

      États-Unis                  25 393 327 336           1
      Brésil                       4 039 075 851           3
      Canada                       2 720 633 593           6
      Colombie                     511 099 087            24
      Équateur                     483 327 140            26
      Argentine                    378 217 676            31
      Chili                        355 921 859            32
      Mexique                      344 094 629            34
      Venezuela                    177 795 687            47
      Pérou                         90 149 099            65

[état des lieux d'internet] / sécurité                             Une année passée au crible : Volume 5, Numéro 6   16

Sources d'attaques par vol d'identifiants – EMEA
                                          De novembre 2017 à septembre 2019

                                                                        Connexions malveillantes

                                                                             Moins de 100 000

                                                                             100 000 - 1 million

                                                                             1 million - 10 millions

                                                                             10 millions - 100 millions

                                                                             100 millions - 1 milliard

                                                                             1 milliard - 10 milliards

                                                                             Plus de 10 milliards

                                                                             Aucune donnée

           Zones sources principales – EMEA
                      Vol d'identifiants

                           CONNEXIONS            CLASSEMENT
  ZONE SOURCE
                          MALVEILLANTES           MONDIAL

  Russie                  6 114 186 048              2
  Allemagne               2 129 388 432             10
  France                  2 081 826 451             11
  Pays-Bas                1 723 393 319             12
  Royaume-Uni             1 559 263 043             14
  Ukraine                 1 097 729 730             16
  Italie                   879 866 419              17
  Estonie                  652 938 763              21
  Pologne                  571 536 319              23
  Espagne                  490 167 797              25

[état des lieux d'internet] / sécurité                       Une année passée au crible : Volume 5, Numéro 6   17

Sources d'attaques par vol d'identifiants – APAC
                                              De novembre 2017 à septembre 2019

      Connexions malveillantes

             Moins de 100 000

             100 000 - 1 million

             1 million - 10 millions

             10 millions - 100 millions

             100 millions - 1 milliard

             1 milliard - 10 milliards

             Plus de 10 milliards

             Aucune donnée

           Zones sources principales – APAC
                         Vol d'identifiants

                                CONNEXIONS            CLASSEMENT
  ZONE SOURCE
                               MALVEILLANTES           MONDIAL

  Inde                        2 867 867 749               4
  Chine                       2 805 330 412               5
  Thaïlande                   2 626 767 167               7
  Indonésie                   2 328 720 242               8
  Vietnam                     2 166 055 670               9
  Singapour                   1 568 843 384               13
  Malaisie                    1 547 306 924               15
  Japon                         845 793 217               18
  Taïwan                        817 736 419               19
  Corée du Sud                  737 126 412               20

[état des lieux d'internet] / sécurité                            Une année passée au crible : Volume 5, Numéro 6   18

Attaques quotidiennes contre les applications Web
                                                                                    De novembre 2017 à septembre 2019

                                        40 M
Attaques d'applications (en millions)

                                        30 M

                                        20 M

                                        10 M

                                         0M

                                               Déc. 2017   Févr. 2018   Avr. 2018   Juin 2018   Août 2018   Oct. 2018   Déc. 2018   Févr. 2019   Avr. 2019   Juin 2019   Août 2019    Oct. 2019

                                        [état des lieux d'internet] / sécurité                                 Une année passée au crible : Volume 5, Numéro 6                      19

Sources d'attaques contre les applications Web – Amérique
                                             De novembre 2017 à septembre 2019

Attaques

      Moins de 1 000

      1 000 - 100 000

      100 000 - 1 million

      1 million - 10 millions

      10 millions - 100 millions

      100 millions - 1 milliard

      Plus de 1 milliard

      Aucune donnée

              Zones sources principales – Amérique
                    Attaques contre les applications

                                                     CLASSEMENT
      ZONE SOURCE               TOTAL DES ATTAQUES
                                                      MONDIAL

      États-Unis                   1 434 231 212         1
      Brésil                       239 863 604           7
      Belize                       151 920 476           9
      Canada                        99 122 704          13
      Mexique                       27 820 705          34
      Panama                        27 385 122          36
      Argentine                     25 150 825          38
      Colombie                      16 420 539          45
      Venezuela                     16 147 307          47
      Chili                         12 827 683          50

[état des lieux d'internet] / sécurité                           Une année passée au crible : Volume 5, Numéro 6   20

Sources d'attaques contre les applications Web – EMEA
                                          De novembre 2017 à septembre 2019

                                                                              Attaques

                                                                                   Moins de 1 000

                                                                                   1 000 - 100 000

                                                                                   100 000 - 1 million

                                                                                   1 million - 10 millions

                                                                                   10 millions - 100 millions

                                                                                   100 millions - 1 milliard

                                                                                   Plus de 1 milliard

                                                                                   Aucune donnée

            Zones sources principales – EMEA
              Attaques contre les applications

                                                 CLASSEMENT
  ZONE SOURCE           TOTAL DES ATTAQUES
                                                  MONDIAL

  Russie                  1 093 219 355              2
  Pays-Bas                 414 257 266               3
  Ukraine                  288 844 085               5
  Allemagne                200 129 170               8
  France                   148 147 042              10
  Royaume-Uni              141 076 862              11
  Irlande                   93 537 634              14
  Turquie                   88 376 455              16
  Roumanie                  69 929 767              20
  Italie                    52 615 647              24

[état des lieux d'internet] / sécurité                       Une année passée au crible : Volume 5, Numéro 6   21

Sources d'attaques contre les applications Web – APAC
                                           De novembre 2017 à septembre 2019

Attaques

     Moins de 1 000

     1 000 - 100 000

     100 000 - 1 million

     1 million - 10 millions

     10 millions - 100 millions

     100 millions - 1 milliard

     Plus de 1 milliard

     Aucune donnée

           Zones sources principales – APAC
              Attaques contre les applications

                                                  CLASSEMENT
  ZONE SOURCE              TOTAL DES ATTAQUES
                                                   MONDIAL

  Chine                          396 529 301          4
  Inde                           254 645 502          6
  Thaïlande                      120 351 975          12
  Singapour                       91 057 766          15
  Indonésie                       83 441 813          17
  Japon                           76 396 164          18
  Vietnam                         63 455 055          22
  Taïwan                          57 639 687          23
  Hong Kong                       49 977 066          25
  Corée du Sud                    43 552 997          27

[état des lieux d'internet] / sécurité                        Une année passée au crible : Volume 5, Numéro 6   22

Attaques DDoS quotidiennes
                                                                                  De novembre 2017 à septembre 2019
                                      150
Événements liés à des attaques DDoS

                                      100

                                      50

                                        0
                                            Déc. 2017   Févr. 2018   Avr. 2018   Juin 2018      Août 2018   Oct. 2018   Déc. 2018   Févr. 2019   Avr. 2019   Juin 2019   Août 2019        Oct. 2019

                                      [état des lieux d'internet] / sécurité                                   Une année passée au crible : Volume 5, Numéro 6                      23

Sources
Contributeurs au rapport État des lieux d'Internet / Sécurité
VOLUME 5, NUMÉRO 1                                VOLUME 5, ÉDITION SPÉCIALE SUR LES MÉDIAS :
Ben Tang                                          LE « CREDENTIAL STUFFING » — ATTAQUES ET
Data Scientist                                    ÉCONOMIES
                                                  Shane Keats
Elad Shuster                                      Director of Global Industry Marketing,
Senior Lead Security Researcher                   Media and Entertainment

Chad Seaman                                       Steve Ragan
Senior II, Security Intelligence Response Team    Researcher, Senior Technical Writer

Larry Cashdollar                                  Martin McKeay
Senior II, Security Intelligence Response Team    Editorial Director

Moshe Zioni
                                                  VOLUME 5, NUMÉRO 3
Director, Threat Research
                                                  Elad Shuster
Gabriel Bellas                                    Senior Lead Security Researcher
Practice Manager, Global Services
                                                  Lydia LaSeur
Auteure invitée : Amanda Berlin                   Data Scientist
Mental Health Hackers
                                                  Tim April
                                                  Principal Architect
VOLUME 5, NUMÉRO 2
Tony Lauro                                        Steve Ragan
Senior Manager, Security Strategy                 Senior Technical Writer

Moritz Steiner                                    Martin McKeay
Principal Architect                               Editorial Director

Kyle Schomp
                                                  VOLUME 5, NUMÉRO 4
Senior II, Performance Engineer
                                                  Elad Shuster
Rami Al-Dalky                                     Senior Lead Security Researcher
Intern
                                                  Or Katz
                                                  Principal Lead Security Researcher

                                                  Tim April
                                                  Principal Architect

[état des lieux d'internet] / sécurité          Une année passée au crible : Volume 5, Numéro 6   24

Contributeurs au rapport État des lieux d'Internet / Sécurité
VOLUME 5, NUMÉRO 4 (CONT.)                                          ÉQUIPE ÉDITORIALE POUR LE VOLUME 5,
Lydia LaSeur                                                        NUMÉROS 1 À 6
Data Scientist                                                      Martin McKeay
                                                                    Editorial Director
Steve Ragan
Senior Technical Writer                                             Amanda Fakhreddine,
                                                                    Managing Editor, Senior Technical Writer
VOLUME 5, ÉDITION SPÉCIALE SUR
LES MÉDIAS : LES MÉDIAS EN                                          Steve Ragan
LIGNE DE MIRE                                                       Senior Technical Writer

Omri Hering
                                                                    Lydia LaSeur
Data Analyst Senior
                                                                    Data Scientist

Lydia LaSeur
Data Scientist
                                                                    ÉQUIPE CRÉATIVE ET MARKETING
                                                                    POUR LE VOLUME 5, NUMÉROS 1 À 6
VOLUME 5, NUMÉRO 5                                                  Benedikt Van Holt
                                                                    Art Direction
Eric Kloster
Engineering Director
                                                                    Brendan John O'Hara
                                                                    Graphic Design
Lorenz Glaser
Senior II, Security Engineer
                                                                    Georgina Morales Hampe
                                                                    Project Management
Or Katz
Principal Lead Security Researcher
                                                                    Kylee McRae
                                                                    Program Management
Lydia LaSeur
Data Scientist
                                                                    Murali Venukumar
                                                                    Program Management
Paul O'Leary
Principal Data Scientist,
Threat Intelligence Engineering

Akamai sécurise et fournit des expériences digitales pour les plus grandes entreprises du monde. L'Intelligent Edge Platform
d'Akamai englobe tout, de l'entreprise au cloud, afin d'offrir rapidité, agilité et sécurité à ses clients et à leurs entreprises.
Les plus grandes marques mondiales comptent sur Akamai pour les aider à concrétiser leur avantage concurrentiel grâce à des
solutions agiles qui développent la puissance de leurs architectures multi-clouds. Akamai place les décisions, les applications et
les expériences au plus près des utilisateurs, et au plus loin des attaques et des menaces. Les solutions de sécurité en bordure
de l'Internet, de performances Web et mobiles, d'accès professionnel et de diffusion vidéo du portefeuille d'Akamai s'appuient
également sur un service client exceptionnel, des analyses et une surveillance 24 h/24 et 7 j/7, 365 jours par an. Pour savoir
pourquoi les plus grandes marques mondiales font confiance à Akamai, rendez-vous sur les pages www.akamai.com et
blogs.akamai.com, ou suivez @Akamai sur Twitter. Vous trouverez nos coordonnées dans le monde entier à l'adresse
www.akamai.com/locations. Publication : 12/19.

Vous pouvez aussi lire