L’analyse de trois années d’incidents signalés à l’équipe F5 SIRT (équipe de réponse aux incidents de sécurité de F5) met également en lumière la multiplication des attaques par interface de programmation d’applications (API).
« Comme toujours, les pirates privilégient les méthodes les plus efficaces pour faire du profit. Nos points faibles deviennent leurs points forts. Nous devons nous préparer à une hausse inévitable des attaques par mot de passe, DoS et API », explique Raymond Pompon, directeur de F5 Labs.
L’omniprésence des attaques DoS
F5 Labs a constaté que près d’un tiers (32 %) des incidents enregistrés chaque année par l’équipe F5 SIRT étaient des attaques DoS. Et cette tendance se confirme, avec un taux qui atteint 36 % en 2020.
La plupart des attaques DoS sont des attaques par inondation volumétrique du réseau (connues sous le nom d’attaques TCP SYN ou UDP Floods). L’équipe F5 SIRT a également enregistré des attaques de type « Slow POST/Slowloris » qui visent à ouvrir et maintenir ouvertes le plus grand nombre possible de connexions pour un utilisateur cible. 19 % des incidents DoS signalés visaient un serveur DNS. La région APCJ a été la plus touchée par ces attaques DoS qui représentaient 57 % des incidents enregistrés par l’équipe SIRT. Arrivaient ensuite la région EMEA (47 %), puis les États-Unis et le Canada (33 %) et l’Amérique latine (30 %). C’est dans la région EMEA que le taux a connu la plus forte hausse, passant de 2,2 % en 2018 à 23 % en 2020, soit une augmentation spectaculaire de 945 %.
Les prestataires de services et les établissements d’enseignement figuraient parmi les secteurs les plus touchés, avec un taux d’attaques DoS s’élevant à 59 % des incidents globaux. Ils étaient suivis par les entreprises du secteur financier (36 %) et celles du secteur public (28 %).
L’essor continu des attaques par mot de passe
Les attaques par mot de passe sont chaque année plus nombreuses. Malgré un léger ralentissement en 2019, selon F5 Labs, les attaques par mot de passe représentaient 32 % de tous les incidents enregistrés par l’équipe SIRT au cours des trois dernières années. Une autre étude menée dans le cadre de la quatrième édition du Phishing and Fraud Report de F5 révèle une hausse de 220 % des incidents de phishing pendant les premières vagues de la pandémie de Covid-19 par rapport à la moyenne annuelle. Les attaques par mot de passe arrivaient en tête des incidents de sécurité aux États-Unis et au Canada, représentant 45 % de tous les incidents signalés. Ce taux était de 40 % en Amérique latine, de 30 % pour la région EMEA et de 11,7 % pour la région APCJ.
Les entreprises les plus touchées ont été celles du secteur bancaire et financier (46 % du volume total d’incidents), suivies par celles du secteur public (39 %) et les prestataires de services (27,8 %).
M. Pompon explique : « Les institutions financières ont renforcé la sécurité de leurs systèmes, mais les hackers s’en prennent au maillon le plus faible : leurs clients. Les entreprises de services financiers n’ont pas les moyens de savoir si un client réutilise son mot de passe ailleurs, en particulier dans un environnement moins sécurisé ».
La multiplication des attaques par API
L’analyse de F5 Labs met également en garde contre les attaques ciblant les API qui sont beaucoup utilisées dans le Cloud, pour les applications mobiles, dans les offres SaaS et dans les conteneurs.
De tous les incidents enregistrés par l’équipe F5 SIRT, 4 % concernaient les API, et parmi elles, 75 % étaient des attaques par mot de passe. Les entreprises financières et les prestataires de services en sont là encore les principales victimes.
Raymond Pompon ajoute : « Comme les API représentent essentiellement des sessions web, les connexions par mot de passe accordent souvent un accès étendu aux applications stratégiques. Ce qui est troublant, c’est que les hackers utilisent des attaques par mot de passe, comme la force brute, sachant pertinemment que 69 % des violations d’API en 2019 étaient liées à un contrôle insuffisant des accès ».