Le pic de croissance a été enregistré en avril 2024. La France s’est ainsi classée au 10e rang des pays où le trafic DNS vers des domaines d’IA générative est le plus élevé. Avec les JO, les sites à base d’IA générative seront particulièrement sollicités. Ainsi, des résumés quotidiens personnalisés avec commentaires sportifs générés par une IA seront proposés aux spectateurs des JO. Autre exemple : la vidéo-surveillance algorithmique, à base d’intelligence artificielle, sera également mise en œuvre pendant les épreuves. Sans oublier les innombrables chatbots et  services clients par les partenaires des JO.

Avis d’expert : « Très appréciés en France, les sites avec IA générative présentent aussi un risque de fuite de données. Vigilance donc sur le trafic à destination des services d’IA générative. »

Olivier Cahagne, Expert Radar Cloudflare Été 2024

Les attaques HTTP deviennent de plus en plus volumineuses et sont de plus en plus souvent liées à la répartition géographique des fournisseurs de services cloud. Étant donné que les États-Unis et l’Allemagne hébergent le plus grand nombre de fournisseurs de cloud publics, ces pays figurent en tête des sources d’attaques ciblant la France. Connaître l’origine de ces attaques permet d’affiner la stratégie de défense en se concentrant sur le pays où se trouve le fournisseur de cloud. Si une entreprise n’a pas de présence physique dans un pays donné, il est possible de l’isoler afin de mettre en place des mesures de défense préventives.

Avis d’expert : « Il ne faut donc pas considérer cette statistique en termes géopolitiques, mais en termes technologiques, même si des cas particuliers peuvent exister en fonction du contexte international ».

Olivier Cahagne, Expert Radar Cloudflare Été 2024

BGP (Border Gateway Protocol) est le protocole permettant l’échange des adresses IP sur Internet. Ces annonces d’IP peuvent être signées cryptographiquement avec le protocole RPKI (Resources Public Key Infrastructure) afin de garantir qu’elles proviennent bien du réseau propriétaire de ces adresses IP. En 2008, Pakistan Telecom a répondu à une demande de censure de YouTube en modifiant les itinéraires BGP de son site web. Par accident, ces nouveaux itinéraires ont été annoncés aux fournisseurs en amont de Pakistan Telecom et diffusés sur l’ensemble d’Internet. Par conséquent, toutes les requêtes destinées à YouTube ont été redirigées vers Pakistan Telecom, entraînant une interruption de plusieurs heures du site web pour la quasi-totalité d’Internet et submergeant le fournisseur d’accès à Internet.

Moins l’infrastructure Internet est authentifiée, plus le contrôle sur Internet peut être strict. Un gouvernement autoritaire a donc tout intérêt à éviter l’authentification RPKI. Pour prévenir les risques d’usurpation d’adresses IP, il est important de surveiller en temps réel le pourcentage de routage authentifié sur Internet. Avec la hausse prévue du trafic cette année, notamment en raison des Jeux Olympiques, les risques d’usurpation d’adresses IP sont plus élevés que d’habitude.

Avis d’expert : « RPKI aide à tempérer ce problème. Il arrive de nos jours qu’il y ait encore du court-circuitage et de l’usurpation d’adresses IP sur Internet. Signer le registre RPKI ne suffit pas : il faut convaincre toutes les parties prenantes d’utiliser le registre RPKI, de signer toutes les annonces BGP et contribuer à améliorer la qualité d’Internet. Si vous gérez vous-même vos adresses IP, signez le registre RPKI. Si vous passez par un opérateur, faites le test pour vous assurer que celui-ci l’a bien signé : https://isbgpsafeyet.com/ »

Olivier Cahagne, Expert Radar Cloudflare Été 2024

Le 14 mars 2024, la connexion internet a été fortement perturbée dans 13 pays d’Afrique, allant de la Côte d’Ivoire à la Gambie, ainsi qu’en Afrique du Sud. La cause ? Plusieurs défaillances ont affecté les câbles sous-marins dans cette région. En Gambie et en Guinée, la perturbation n’a duré que 30 minutes, tandis qu’au Libéria, elle a duré plus de 12 heures. Suivre l’impact des coupures sur le trafic Internet, par pays ou par zone géographique, permet de mieux comprendre les événements à l’échelle mondiale ou dans certaines régions spécifiques.

Avis d’expert : « Les pannes ou coupures de câbles ont un vrai impact sur le trafic Internet. Cet incident nous rappelle combien Internet est dépendant des câbles sous-marins. Même si la connexion satellitaire reste encore minoritaire, elle devient une solution de secours crédible dans certaines zones géographiques pour pallier ces incidents. »

Olivier Cahagne, Expert Radar Cloudflare Été 2024

Le temps de latence est plus élevé en Afrique et en Asie en raison de la distance parcourue via les câbles sous-marins, ce qui cause une congestion et, par conséquent, un temps de latence supérieur à la normale. L’utilisation d’un modèle VPN exacerbe la centralisation du trafic et aggrave ainsi les problèmes de latence. Plus une multinationale utilise un VPN traditionnel qui fait transiter le trafic d’un continent à un autre, plus la latence augmente et plus l’expérience utilisateur se dégrade. Observer cette latence permet donc potentiellement d’améliorer l’expérience utilisateur.

Avis d’expert : « Il est nécessaire de mettre en œuvre une stratégie de type SASE non pour recentraliser tous les flux d’entreprise dans un datacenter particulier, mais pour utiliser des ressources dans le cloud de manière sécurisée. Et éviter ainsi tout phénomène de « tromboning ». Cela pousse certains à utiliser des accès réseau satellitaires, dont les services sont bien meilleurs aujourd’hui que dans les années 2000. Les problèmes de latence dans des zones non fibrées peuvent effectivement être amoindris par la connexion satellitaire. C’est l’une des raisons qui explique la croissance de l’accès réseau satellitaire – par exemple, d’un acteur comme Starlink. » 

Olivier Cahagne, Expert Radar Cloudflare Été 2024

Les principales menaces liées aux emails ne proviennent plus du spam, mais des emails malicieux, qui sont souvent associés à certains domaines DNS spécifiques. Au cours des trois derniers mois, les domaines en .ar (Argentine, 76%) et .tr (Turquie, 72%) ont été les plus utilisés. En comparaison, en France, seulement 2% des emails malicieux provenaient de domaines en .fr. Le spam n’est donc plus la menace la plus critique, contrairement aux emails malicieux, beaucoup plus insidieux. Un seul email malveillant, menant à un ransomware, peut suffire à paralyser une entreprise. Les attaquants sont susceptibles de se montrer particulièrement tenaces dans ce domaine

Avis d’expert : « 93% des vulnérabilités passent par le mail. Il est indispensable de s’équiper de filtres anti-phishing, d’autant qu’en 2023, plus de deux tiers des entreprises en France ont été l’objet d’attaques via phishing. »

Olivier Cahagne, Expert Radar Cloudflare Été 2024

Fréquence de requêtes détectées par Cloudflare à l’été 2023, lors d’attaques DDoS, dans le cadre d’une faille protocolaire HTTP/2.

Les vulnérabilités du protocole HTTP/2 se sont révélées être les attaques les plus volumétriques observées en 2023. Une nouvelle faille HTTP/2 a été découverte en avril 2024, ce qui laisse présager que ce type d’attaques pourrait se répéter cette année.

Avis d’expert : « Il faut maintenir à jour ses infrastructures et savoir quelles infrastructures peuvent utiliser HTTP/2. Ce qui implique de bien connaître et de bien documenter son patrimoine IT. C’est l’occasion de réduire son shadow IT. »

Olivier Cahagne, Expert Radar Cloudflare Été 2024

Les secteurs ciblés par les attaques varient selon les zones géographiques. Ainsi, au premier trimestre 2024, en Amérique du Nord, le secteur le plus visé par les attaques DDoS était celui du marketing et de la publicité ; en Afrique et en Europe, c’était le secteur IT ; au Moyen-Orient, l’industrie des logiciels informatiques ; en Asie, celui des jeux, notamment d’argent ; en Amérique du Sud, celui des banques, des services financiers et des assurances (BFSI) ; en Océanie, l’industrie des télécommunications.

Avis d’expert : « Depuis quelques années, l’industrie IT est particulièrement visée en Europe, notamment les éditeurs de logiciels, les services providers ou encore les ESN. Dans le cadre des JO, il est fort à parier que, quel que soit le secteur d’activité, les solutions de cybersécurité ou de sauvegarde/restauration soient une cible particulièrement appréciée des attaquants. Vigilance donc sur vos propres solutions de protection. »

Olivier Cahagne, Expert Radar Cloudflare Été 2024

« Il n’a jamais été aussi simple de mener des attaques DDoS. Le flooding reste le vecteur d’attaque principal, même si de nouvelles menaces émergent. Ce qui est nouveau, c’est l’utilisation par les hackers de vulnérabilités, non pour récupérer ou voler des données, mais pour générer des attaques volumétriques. Donc, indépendamment de la protection des infrastructures IT, il faut bien avoir en tête que des infrastructures vulnérables sont exploitées sur Internet pour mener des attaques DDoS. En utilisant des vulnérabilités de plus de 4 ans pour mener des attaques aujourd’hui, les hackers bénéficient du facteur d’amplification qui est clé pour les attaques DDoS. Cette exploitation de la vulnérabilité Jenkins connaît la plus forte croissance. »

Olivier Cahagne, Expert Radar Cloudflare Été 2024

« Les approches traditionnelles de défense ne sont plus adaptées à ce type d’attaques, en raison de leur forte croissance, en termes de volume et de taille. Il est désormais recommandé d’utiliser une solution de défense SaaS, en mode pro-actif, au plus près de la source d’attaque, pour éviter l’engorgement provoqué par un trafic plus important que la normale. »

Olivier Cahagne, Expert Radar Cloudflare Été 2024