Selon un rapport établi par Arbor Networks qui a analysé le trafic Internet pendant le troisième trimestre de cette année, les pirates commencent à utiliser le très opaque protocole Simple Service Discovery Protocol (SSDP). Jusqu'à récemment, les statistiques sur les attaques DDoS évoluaient peu d'un trimestre à l'autre, même si le nombre moyen d'attaques augmentait au fil du temps. Mais, ces deux dernières années, les spécialistes en sécurité ont commencé à voir apparaître d'étranges méthodes d'attaques, souvent assez soudaines. Après les protocoles DNS, NTP et SNMP exploités avec plus ou moins de succès pour générer d'énormes attaques par réflexion, c'est le protocole UPnP SSDP qui a mobilisé l'attention des spécialistes entre les mois de juillet et septembre. « Les attaques par réflexions utilisant le SSDP sont passées d'une quantité négligeable à plus de 30 000 pendant le troisième trimestre, dont un pic d'attaques à 124 Mb/s », a indiqué Arbor Networks. 42 % de toutes les attaques de plus de 10 Gb/s ont exploité ce protocole en septembre. « Tout le monde a constaté l'énorme tempête d'attaques DDoS par réflexion utilisant le protocole NTP au premier trimestre et au début du second trimestre. Mais, si les attaques NTP par réflexion sont encore importantes, il y en a beaucoup moins qu'avant. Malheureusement, il semble que le protocole SSDP prend largement la relève », a déclaré, le directeur des architectes d'Arbor Networks, Darren Anstee.

Un protocole ancien mais toujours présent dans Windows 8.1

Le SSDP avait été utilisé pour la première fois dans Windows 98 à la fin des années 1990. Le protocole permettait au logiciel client de savoir quels PC, serveurs et services de l'environnement utilisaient les ports 1900 ou 5000. Le même service SSDP existe encore pour l'UPnP dans Windows 8.1. « Tout cela ne veut pas dire que le NTP est hors course : la moitié des très grandes attaques de 100 Gb/s et plus ont utilisé le NTP au cours du trimestre », a encore déclaré Arbor. Le pic de l'attaque a atteint 254 Gb/s et 133 attaques ont franchi le seuil des 100 Gb/s. Trois cibles principales étaient visées : les États-Unis, la France et le Danemark.

« Les entreprises doivent en être informées. Elles doivent s'assurer que leur défense DDoS est multicouche, et qu'elles sont capables de résister à la fois à des attaques destinées à saturer leur connectivité, et à des attaques plus furtives, plus sophistiquées sur la couche applicative », a prévenu Darren Anstee. Hier, en fin d'après midi, les sites de France-Inter et France-Info étaient inaccessibles suite à des attaques DDoS. En juin dernier, c'est le site du Monde Informatique qui avait subi une attaque de ce type.