Les médias en ligne de mire...état des lieux d'Internet / sécurité Les médias en ligne de mire Volume 5, édition spéciale Il convient de noter que la plupart des criminels ne

[état des lieux d'Internet] / sécuritéVolume 5, édition spéciale

Les médias en ligne de mire

Table des matières

Présentation

Essai invité : mêmes attaques, autres risques, impact mondial

Attaques applicatives Web

Credential Stuffing

Méthodologies

Sources

1

2

4

9

15

17

1

De janvier 2018 à juin 2019, Akamai a enregistré plus de 61 milliards de tentatives de credential stuffing et plus de 4 milliards d'attaques contre les applications Web. Dans cette édition spéciale du Rapport État des lieux d'Internet / Sécurité, nous nous concentrons sur les données dans les secteurs de la haute technologie, des médias vidéo et du divertissement, collectivement appelés Médias et technologies.

Ces trois secteurs ont représenté près de 35 % de toutes les attaques par « credential stuffing » et près de 17 % des attaques contre les applications Web observées par Akamai au cours de cette période de 18 mois. Notre analyse indique que ces trois segments constituent une source d'attaque stable et constante pour deux raisons : les données personnelles et les données d'entreprise. Les marques ciblées sont des marques connues et les criminels cherchent à tirer parti de cette popularité.

En attaquant directement par le biais d'attaques contre les applications Web, les criminels espèrent exposer les dossiers des clients et les données financières ou tirer parti d'un serveur vulnérable pour répandre du code malveillant, ce qui incite souvent les criminels à s'en prendre au secteur du commerce de détail. Les attaques par credential stuffing ciblent les marques ainsi que leurs clients, ce qui permet aux criminels de cibler les informations personnelles et les actifs de l'entreprise, comme les médias ou les produits digitaux.

Présentation

Les attaques Web en chiffres De janvier 2018 à juin 2019

Nombre total d'attaques contre les

applications Web : 4 068 741 948

• Haute technologie : 609 117 260

• Médias vidéo : 143 308 490

• Divertissement : 51 464 909

Types d'attaque :

• Injection SQL (SQLi) : 69,7 %

• Inclusion de fichiers locaux (LFI) : 21,6 %

• Cross-Site Scripting (XSS) : 3,5 %

[état des lieux d'Internet] / sécurité Les médias en ligne de mire Volume 5, édition spéciale

Mêmes attaques, autres risques, impacts mondiaux

Jaspal Jandu Responsable de la sécurité (CISO) du Groupe

DAZN

Pour ce qui est des méthodes d'attaque fondamentales utilisées par les criminels pour compromettre les organisations, les diffuseurs et l'industrie des médias dans son ensemble subissent les mêmes méthodes d'attaque que celles utilisées contre de nombreux autres segments de marché. Ce sont les risques que ces attaques font courir aux entreprises de médias qui nous inquiètent.

À l'époque où la plupart des diffuseurs étaient purement linéaires et où il fallait se poster devant une télévision à une heure préétablie pour suivre une émission, les risques posés par la technologie étaient relativement simples par rapport à ce qui peut arriver aujourd'hui. Si la transmission en live était interrompue, la cause était probablement physique : soit un problème de câble, soit une défaillance matérielle. Avec le passage à la télévision sur IP (IP TV) et au streaming OTT (Over-the-Top), les risques sont à la fois considérablement accrus et plus complexes à gérer.

Le risque lié à la chaîne d'approvisionnement illustre très bien la complexité croissante de la situation. Dans le monde d'aujourd'hui, les fournisseurs traditionnels de technologies de diffusion endossent de plus en plus le rôle de fournisseurs de logiciels. Certains mécanismes de diffusion dans le cloud, comme l'Infrastructure en tant que service (IaaS), ont parfois facilité cette transition. Mais cette approche n'est pas sans soulever des risques considérables pour les 3PL et les 4PL que doivent désormais gérer les diffuseurs. Il s'agit d'une offre très différente de celle d'il y a dix ans, lorsque la majeure partie de la chaîne de diffusion était assurée par une infrastructure de diffusion éprouvée, entièrement sous leur contrôle.

L'une des plus grandes craintes des diffuseurs est le fameux « écran noir », le moment où le téléspectateur ne voit qu'un écran vide. Du point de vue de la sécurité, les attaques basées sur Internet comme le déni de service distribué (DDoS) sont des risques auxquels les diffuseurs doivent désormais penser tout au long de la chaîne d'approvisionnement. Ces risques existent depuis des décennies dans des secteurs comme les services financiers. Dans le nouveau monde de la télévision sur IP en live, qui représente une grande partie des médias consommés dans le monde, n'importe quelle attaque influençant la disponibilité pourrait entraîner des problèmes de fidélisation des abonnés, réduire les revenus publicitaires et compromettre les chances d'obtenir de nouveaux droits de diffusion. La télévision en live ne pardonne pas. Les téléspectateurs se moquent de savoir qu'il s'agit d'un problème de fournisseur : c'est la réputation du diffuseur qui est en jeu.

Le secteur des médias doit également faire face à de nombreux changements culturels sur le plan de la réglementation. L'intégration d'un plus grand nombre de données est désormais au cœur des ambitions stratégiques de nombreux diffuseurs. L'objectif n'est pas seulement d'accroître la part d'audience, mais aussi d'examiner les autres possibilités s'offrant aux téléspectateurs pour leur fournir une expérience plus adaptée et pertinente. La ligne de démarcation entre l'utilisation commerciale légitime des données des utilisateurs et le dépassement des limites d'une utilisation acceptable est très ténue, car pas toujours évidente. Le défi pour les médias est de trouver un équilibre entre la nécessité d'innover et d'être agiles face aux risques induits par la réglementation dans un environnement où les utilisateurs exigent une innovation constante et des opportunités de divertissement à la pointe du progrès.

2[état des lieux d'Internet] / sécurité Les médias en ligne de mire : Volume 5, édition spéciale

En outre, à la suite de ce changement culturel, toutes les entreprises devant sécuriser leurs ressources digitales font face à une pénurie de compétences. Le défi consiste à trouver des professionnels de la sécurité compétents, qui comprennent la nécessité d'équilibrer les opportunités commerciales et les risques d'un monde évoluant rapidement. De nombreux professionnels de la sécurité ont de l'expérience dans des secteurs où l'environnement de conformité est strict, comme les banques et le gouvernement, et ont du mal à s'adapter à des environnements plus fluides. Il est beaucoup plus facile de se référer à un règlement que d'articuler les risques qu'une décision particulière pourrait présenter pour une entreprise créative.

Il existe un risque très structurel propre au secteur des médias, avec des ramifications sociétales profondes et complexes : les fausses informations. Les diffuseurs et les réseaux sociaux ont un impact important sur les opinions et les points de vue du public. Bien qu'il y ait débat sur ce qui constitue ou non une fausse information, les véritables fausses informations et la capacité de créer des « deepfakes » impossibles à distinguer du contenu réel et fiable représentent une menace importante pour le secteur. Ces outils ont le pouvoir d'influencer les résultats électoraux et peuvent servir de tremplin à des messages toxiques semant la discorde à l'échelle mondiale. Cela remet en cause la notion de confiance et la façon dont nous avons appris à connaître le monde qui nous entoure.

Les États-nations accordent désormais une attention beaucoup plus grande aux diffuseurs et aux médias, car ils se rendent compte qu'ils peuvent atteindre une audience de plusieurs millions d'utilisateurs. Il ne s'agit pas seulement de la compromission des plateformes de diffusion, mais aussi de la présence des réseaux sociaux que de nombreux diffuseurs et organes de presse utilisent. Au moins deux cas connus d'attaques d'États-nations à l'encontre du secteur des médias ont été enregistrés au cours des cinq dernières années.

La confiance est vitale pour l'avenir du secteur des médias. La confiance que nous accordent les utilisateurs dépend de la rapidité avec laquelle nous traitons les risques connus, mais aussi de la façon dont nous réagissons à ceux qui nous sont propres et qui, pour la plupart, n'existaient tout simplement pas il y a dix ans. Nous savons qu'un changement culturel important s'impose pour faire face aux menaces et qu'il n'y a pas suffisamment de compétences adéquates pour les gérer. Les choses ne sont pas près de changer de sitôt ; pour l'instant du moins, nous continuons sur ce chemin semé d'embûches, et les risques auxquels nous sommes confrontés pourraient nous affecter plus que nous ne l'avions imaginé jusqu'ici.

3

Jaspal est un professionnel de la sécurité avec plus de 20 ans d'expérience. Au cours de la dernière décennie, il s'est

principalement concentré sur le secteur des médias. Il apporte un éclairage enrichissant sur les risques auxquels sont

confrontées les entreprises de médias, grâce à son expérience face à certaines des attaques les plus médiatisées

contre le secteur.

Les opinions exprimées dans cet essai sont celles de l'auteur et ne reflètent pas nécessairement celles d'Akamai.

[état des lieux d'Internet] / sécurité Les médias en ligne de mire : Volume 5, édition spéciale

Attaques applicatives Web


5

Les attaques contre le secteur de la haute technologie, qui comprend la fabrication d'équipements et de logiciels, ainsi que les fournisseurs de technologie et de services (tels que les opérateurs de cloud computing, de téléphonie mobile, de télécommunications et de télévision par câble), ont représenté la majeure partie des attaques observées dans le secteur des médias et des technologies, comme le montre la Figure 1.

En revanche, les attaques contre le secteur du divertissement, qui comprend des organisations comme les fournisseurs de contenu, les diffuseurs, la postproduction, le développement de contenu, la recherche et l'analyse, sont demeurées stables, avec une hausse très importante le 22 septembre 2018. Le segment des médias vidéo, qui comprend la distribution et la livraison, ainsi que l'industrie cinématographique, a également connu un flux constant d'attaques qui a augmenté avec le temps et a connu quelques pointes au cours du deuxième trimestre 2019.

Ce volume constant montre que les médias et technologies sont une cible attrayante pour les criminels. Les informations personnelles peuvent être vendues ou échangées une fois compromises, tandis que les données de l'entreprise peuvent être utilisées lors de nouvelles attaques. Ces mêmes

données peuvent aussi être utilisées par des criminels pour voler des flux de médias, ce qui est courant lors d'événements sportifs.

Dans le même registre, les criminels cherchent à voler le contenu original, afin de le diffuser avant la date de diffusion prévue ou de le vendre sur divers marchés noirs. Cette pratique est courante avec les logiciels et les jeux en prélancement (appelée warez dans certains cercles). La musique et les films, quant à eux, donnent lieu à des échanges.

Le pic d'attaque enregistré en septembre 2018, qui ciblait une marque internationale bien connue, était entièrement fondé sur des attaques par injection SQL (SQLi). Si l'intention des criminels impliqués dans cette attaque demeure floue, il apparaît clairement que les attaques SQLi ont tendance à cibler directement les identifiants et d'autres données. Il est inhabituel, mais pas sans précédent, qu'un site soit pris d'assaut par une attaque SQLi d'une telle intensité.

Le deuxième pic d'attaque contre les hautes technologies de novembre 2018 est un cas plus intéressant. Cette attaque visait une autre marque bien connue, une cible de grande valeur. Les criminels visaient les informations sensibles détenues par cette société. Cette attaque était composée de tentatives d'inclusions de fichiers locaux (LFI) (82,3 %),

Attaques quotidiennes contre les applications Web ciblant les segments des médias De janvier 2018 à juin 2019

Fig. 1 – Les attaques contre les applications ont connu une hausse sensible depuis le second semestre 2018, une tendance qui se

poursuivra sûrement.

22 sept. 20185 263 383

19 nov. 20187 509 913

0 M

2 M

4 M

6 M

8 M

Fév 2018 Avr 2018 Juin 2018 Août 2018 Oct 2018 Déc 2018 Fév 2019 Avr 2019 Juin 2019

Att

aque

s (e

n m

illio

ns)

Haute technologie

Médias vidéo

Divertissement

5[état des lieux d'Internet] / sécurité Les médias en ligne de mire Volume 5, édition spéciale

6 [état des lieux d'Internet] / sécurité Les médias en ligne de mire Volume 5, édition spéciale

d'injections PHP (9,3 %), d'injections de commande (7,6 %) et de SQLi (0,7 %).

Les SQLi sont restées le principal vecteur d'attaque pendant les 18 mois, avec plus de 70 % des attaques, suivies par l'inclusion de fichiers locaux (LFI) à 19,3 %, le cross-site scripting (XSS) à 3,9 %, l'injection PHP à 3,3 % et l'inclusion de fichiers à distance (RFI) à moins de 1 %.

Les attaques SQLi sont la méthode d'attaque par excellence pour les criminels cherchant à acquérir des identifiants, des dossiers financiers ou tout autre élément qu'une entreprise pourrait stocker dans sa base de données. Cependant, les attaques par injection dans leur ensemble, comme le montre la Figure 2, ont représenté plus de 98 % des attaques contre le segment des médias et des technologies.

L'attaque par injection de code, qui inclut les attaques SQLi, LFI, RFI et XSS, est un terme général qui désigne les types d'attaques permettant à un criminel d'insérer dans une application un code malveillant qui

sera par la suite interprété ou exécuté. Elle diffère des attaques par injection de commande, car les criminels utilisent leur propre code.

En revanche, avec les attaques par injection de commande, l'adversaire est limité aux fonctions par défaut de l'application ou du service.

L'aspect clé de toute attaque par injection est la mauvaise validation et manipulation des données. De telles vulnérabilités ont été découvertes sur des plateformes telles que .NET, PHP, Java, JavaScript et Ruby on Rails.

Les vulnérabilités liées à l'injection de code peuvent être exploitées en groupe ou individuellement (comme observé dans les deux jours mis en évidence sur la Figure 1) et les compétences requises pour rechercher et exploiter ces failles sont pratiquement inexistantes. Plusieurs outils sur Internet automatisent l'analyse des vulnérabilités liées à l'injection de code et, dans certains cas, l'exploitation et l'exfiltration.

70,8 %

19,3 %

3,9 % 3,3 %0,7 % 0,7 % 1,3 %

0 M

100 M

200 M

300 M

400 M

500 M

600 M

SQLi LFI Cross-site scripting PHPi RFI OGNLi Autre

Vecteur d'attaque

Fig. 2 – L'ensemble des attaques par injection a représenté plus de 98 % des attaques à l'encontre les secteurs des médias et

des technologies

Principaux vecteurs des attaques d'applications Web à l'encontre des segments des médias De janvier 2018 à juin 2019



Il convient de noter que la plupart des criminels ne disposent pas d'outils sophistiqués ou spécialisés. Ils utilisent généralement les mêmes programmes légitimes facilement disponibles dans de nombreuses offres de sécurité, y compris Metasploit et Kali Linux. Les criminels capables de créer des outils sur mesure apparaissent rarement dans des indicateurs basés sur le volume, mais ils existent bel et bien.

Les attaques par injection réussies peuvent mener à la compromission des données et des ressources d'entreprise, comme les dossiers des clients, les communications internes, les plans de développement commercial, les noms d'utilisateur et les mots de passe. Les activistes du groupe LulzSec ont utilisé des méthodes de XSS, RFI, LFI et SQLi en 2010 pour lancer une série d'attaques qui ont compromis des dizaines de sites Web et d'organisations. Mais les attaques par injection peuvent aussi être un événement basique qui ouvrira la voie à des problèmes plus importants, comme ce qui est arrivé à Heartland Payment Systems en 2009.

Pourquoi les criminels exploitent-ils les attaques par injection ? Tout d'abord, elles constituent, grâce à l'automatisation par les outils, une porte d'entrée accessible pour les criminels dépourvus de

compétences avancées. La deuxième raison pour laquelle ces attaques sont fortement privilégiées, c'est qu'elles fonctionnent.

Si l'on considère les sources d'attaques Web de manière globale, les États-Unis ont conservé la première place mondiale pour l'ensemble des segments du marché, suivis par le Royaume-Uni et l'Allemagne. Les États-Unis étaient également la première cible des attaques à l'encontre des médias et des technologies, la France arrivant en deuxième position. En fait, comme le montre la Figure 3, 18,63 % de toutes les attaques observées par Akamai ciblant les États-Unis ont été dirigées contre les médias et les technologies au cours de notre période de 18 mois.

Il est intéressant de noter qu'aucun autre pays nord-américain ne figure parmi les 10 cibles principales lorsque l'on considère le segment des médias et des technologies. Suivent la France (34,78 %), le Japon (22,96 %), l'Allemagne (11,09 %) et l'Inde (10,55 %). La Corée est un cas particulier intéressant par rapport à cet ensemble de données, où 64 % de toutes les attaques recensées contre les organisations coréennes ciblent des entreprises de médias.

Fig. 3 – Près de 20 % de toutes les attaques visant les États-Unis se sont produites dans le segment des médias et

des technologies

Attaques d'applications : principales cibles

ZONES CIBLÉES SEGMENTS DES MÉDIAS TOUS LES SEGMENTS DE MARCHÉCLASSEMENT MONDIAL

DANS TOUS LES SEGMENTS DE MARCHÉ

États-Unis 636 551 596 3 416 411 545 1

France 27 995 960 80 501 396 8

Japon 25 417 099 110 691 972 6

Allemagne 16 896 288 152 341 265 3

Inde 15 116 167 143 323 371 4

Pays-Bas 12 968 664 52 918 175 11

Corée 11 007 413 17 307 359 18

Australie 10 837 898 61 597 371 10

Royaume-Uni 7 662 747 243 559 654 2

Hong Kong RAS 6 503 057 27 502 462 15


8

Les États-Unis se situent à nouveau en tête du classement en ce qui concerne les pays d'origine et les attaques rien que dans le segment des médias et des technologies (Figure 4). Les Pays-Bas (31,23 %) arrivent loin derrière à la seconde place.

Toutefois, la plus grande surprise est le Belize, en troisième position au cours de la période analysée. Non seulement le Belize est la 11e plus grande source d'attaques, mais 68 % de ces attaques visaient les médias et les technologies. Après quelques recherches supplémentaires, ce niveau élevé semble lié à des routeurs et des services FAI compromis au premier trimestre 2019. Durant cette période, les

criminels ont compromis l'équipement des clients et abusé des services afin d'héberger des serveurs de commande et contrôle (C2) sur des botnets. Ces serveurs ont ensuite été utilisés pour lancer des attaques.

Le récent Botnet Threat Report de Spamhaus a classé les FAI du Belize parmi les 20 plus à risque concernant l'hébergement de C2 sur des botnets, les serveurs compromis et les sites Web compromis. Les dates couvertes par le rapport Spamhaus correspondaient aux pics de trafic malveillant observés par Akamai au Belize, ce qui confirme notre conclusion.

Fig. 4 – En raison d'une augmentation de l'activité liée aux bots au

Belize, le pays s'est hissé au troisième rang sur la liste des sources et au

onzième rang en ce qui concerne les attaques Web

Attaques d'applications : principales sources

ZONE SOURCE SEGMENTS DES MÉDIAS

TOUS LES SEG-MENTS DE MARCHÉ

CLASSEMENT MONDIAL

DANS TOUS LES SEG-

MENTS DE MARCHÉ

États-Unis 177 678 990 1 041 639 431 1

Pays-Bas 90 602 359 290 096 974 3

Belize 71 054 852 103 372 849 11

Russie 54 058 380 822 468 109 2

Chine 51 751 691 240 602 133 4

Inde 40 352 673 173 637 873 7

Allemagne 28 651 918 147 644 005 8

Irlande 28 172 199 82 245 577 13

Ukraine 19 804 493 181 211 429 6

France 16 400 882 128 396 046 9

Le credential stuffing en chiffres De janvier 2018 à juin 2019

Total des tentatives de connexions

malveillantes : 61 192 394 742

• Médias vidéo : 13 760 213 425

• Haute technologie : 7 533 980 169

• Divertissement : 77 292 308

Nombre moyen de connexions

malveillantes par hôte unique :

• Injection SQL (SQLi) : 69,7 %

• Inclusion de fichiers locaux (LFI) : 21,6 %

• Cross-Site Scripting (XSS) : 3,5 % Les médias et technologies

représentent près de 35 % de toutes

les connexions malveillantes


Credential Stuffing


10

Le vol d'identifiants, ou « credential stuffing » comme on l'appelle communément, est un type d'attaque qui a suscité beaucoup d'attention dernièrement. Non pas parce que le credential stuffing est nouveau, mais parce que le volume d'attaques dans ce domaine a augmenté de façon exponentielle au cours des dernières années.

Akamai a largement couvert le credential stuffing cette année ; c'est pourquoi, dans ce rapport, nous examinons l'impact de ces attaques sur les médias et technologies.

ContexteLe credential stuffing consiste à prendre une liste de noms d'utilisateur et de mots de passe pouvant être librement partagés, vendus ou échangés, et d'essayer chaque combinaison sur la plateforme d'authentification d'une cible. Le plus souvent, les criminels ciblent les API d'authentification, mais certains ciblent directement les formulaires de connexion. Bien que la plupart des listes de combinaisons soient téléchargeables librement, d'autres listes, comme celles axées sur un service ou une région géographique en particulier, peuvent se vendre environ 5 $ pour 50 000 noms d'utilisateur et mots de passe.

Presque entièrement automatisées, les attaques par credential stuffing sont pilotées par des applications All-in-One (AIO) avec des noms tels que SNIPR ou STORM. Certains programmes d'AIO sont gratuits, tandis que d'autres exigent des frais d'inscription initiaux. L'un des programmes les plus populaires, SNIPR, se vend au détail pour environ 20 $, tandis que STORM (illustré sur la Figure 5) est disponible gratuitement en ligne.

Les plateformes AIO comme STORM et SNIPR fonctionnent à l'aide de fichiers de configuration leur permettant de cibler divers services (comme ceux des médias et technologies) sans trop se soucier des limites de débit ou autres restrictions de sécurité. Les fichiers de configuration sont parfois fournis gratuitement, mais d'autres configurations plus personnalisées peuvent se vendre plus de 50 $.

Ces applications sont développées pour imiter les actions d'un utilisateur normal ; leur résister nécessite donc une planification et une capacité à identifier rapidement les attaques. La plupart des AIO comportent des techniques d'évasion préétablies pour de nombreuses mesures défensives par défaut, des solutions personnalisées axées sur les besoins de l'entreprise sont donc obligatoires. De plus, tout plan défensif doit inclure une formation de sensibilisation pour les utilisateurs finaux, puisque les criminels profitent de l'accès aux comptes partagés et des mots de passe recyclés ou faibles faciles à deviner.

Une fois que les criminels ont chargé les fichiers de configuration et les listes de combinaisons dans l'AIO, ils se connectent par proxy au site Web de la cible et tentent de se connecter. Les entrées réussies sont enregistrées et l'accès au compte est soit échangé, soit vendu. Les comptes compromis dans les segments du marché des médias et des technologies peuvent être revendus à peine 5 $, mais certains comptes peuvent se vendre jusqu'à 15 $ selon leur nature. La diffusion et le développement de contenu sont des cibles clés pour le credential stuffing, et les comptes de ce domaine se vendent à un prix élevé.

Fig. 5 – Le logiciel AIO STORM est facile à utiliser et gratuit, ce

qui en fait un choix populaire pour les criminels menant des

attaques par credential stuffing



3 juin 2018133 861 006

27 octobre 2018211 637 129

0 M

50 M

100 M

150 M

200 M

Fév 2018 Avr 2018 Juin 2018 Août 2018 Oct 2018 Déc 2018 Fév 2019 Avr 2019 Juin 2019

Co

nnex

ions

mal

veill

ante

s (m

illio

ns)

Divertissement

Haute technologie

Médias vidéo

Tentatives de connexions malveillantes quotidiennes contre les segments du marché des médias De janvier 2018 à juin 2019

La Figure 6 montre clairement que, sur la même période de 18 mois, la grande majorité des attaques sont concentrées sur les médias vidéo et les hautes technologies. Le segment de marché du divertissement est présent, mais à peine perceptible sur le graphique comparé aux deux autres secteurs. Comme nous l'avons mentionné, les comptes dans ces deux domaines sont des cibles de choix et peuvent être revendus rapidement et à profit.

Nous avons choisi deux mois, juin 2018 et octobre 2018, tous deux intéressants du point de vue des attaques.

En juin, les attaquants ont ciblé sept organisations différentes et 14 hôtes uniques. L'objectif était apparemment d'obtenir l'accès à des comptes riches en données et en contenu, qui seraient ensuite revendus. Compte tenu de la clientèle visée, les criminels cherchaient à revendre des comptes dans le secteur des médias vidéo et à obtenir de nouveaux identifiants ainsi que d'autres données dans le secteur des hautes technologies qu'ils pourraient revendre ensuite. En octobre, les pirates s'en sont pris à 18 organisations différentes et à 28 hôtes uniques. Une fois de plus, les objectifs étaient apparemment les mêmes.

Dans les deux cas, la principale source d'attaque a été retrouvée en Russie. Cela est probablement dû au nombre élevé de services de proxy dans ce pays. Lorsque l'on considère toutes les attaques dans les segments du marché des médias et des technologies, la Russie est suivie du Canada, du Brésil, de la Malaisie et de la Chine. Chacun de ces territoires est connu pour ses services de proxy, le piratage, ainsi que pour la revente et l'échange de comptes.

Fig. 6 – Deux attaques en 2018 ont représenté plus de 340 millions de tentatives de credential stuffing


12

Sur la Figure 7, nous examinons le nombre de connexions malveillantes par victime unique. D'après les données, nous pouvons constater que si le commerce de détail est le premier segment de marché, les médias vidéo et les hautes technologies dominent, ce qui signifie qu'en moyenne, ils sont plus durement touchés. En fait, le taux d'attaques par hôte contre les médias vidéo est près de cinq fois plus élevé que le taux observé pour les autres types de médias lorsque l'on considère tous les segments du marché.

Un autre point remarquable sur la Figure 6 est le niveau constant des attaques. Pendant l'été, lorsque de nouvelles versions sortent sur différentes plateformes, les attaques atteignent des sommets (c'est la même chose en automne), mais toute l'année, des millions et des millions d'attaques par credential stuffing surviennent sur l'ensemble du Web. De toute évidence, ce problème ne va pas disparaître progressivement ; il est bien implanté.

Les principales cibles des attaques par credential stuffing au cours de la période de 18 mois, comme l'indique la Figure 8, sont les États-Unis, l'Inde, le Canada, Singapour et l'Australie. Parmi les entreprises liées à ces territoires figurent certaines des plus grandes marques mondiales dans le domaine des médias et des technologies. Les comptes et données des entreprises gérés dans ces espaces sont précieux et peuvent être facilement échangés ou vendus. Les criminels veulent récupérer de l'argent.

Les principales sources d'attaques par credential stuffing sont les États-Unis, la Russie, le Canada, l'Allemagne et l'Inde. La raison pour laquelle la Russie et l'Inde figurent en si bonne place sur la liste est que les services de proxy facilitent la dissimulation de l'origine réelle des attaques. Akamai ne voit que le dernier système utilisé dans une attaque et ne procède à aucune autre attribution.

Fig. 7 – La moyenne d'attaques par hôte dans les médias vidéo dépasse de loin toutes les attaques des autres segments

du marché

Nombre moyen de connexions malveillantes par segment de marché

SEGMENT DE MARCHÉ CONNEXIONS MALVEILLANTES NOMBRE MOYEN DE CONNEXIONS MALVEILLANTES PAR CIBLE UNIQUE

Commerce de détail 24 245 971 895 26 556 377

Médias vidéo 13 760 213 425 151 211 137

Haute technologie 7 533 980 169 35 537 642

Hôtellerie et tourisme 4 860 206 037 23 941 902

Services financiers 3 900 240 393 27 466 482

Fabrication 2 615 438 681 74 726 819

Biens de consommation 1 560 726 138 18 803 929

Réseaux sociaux 1 079 139 624 37 211 711

Jeux vidéo 645 181 719 25 807 269

Autres médias digitaux 331 455 583 5 815 010

Services aux consommateurs 311 243 282 14 147 422

Automobile 97 816 354 13 973 765

Médias et divertissement 77 292 308 4 294 017

Secteur public 75 116 539 4 694 784

Services aux entreprises 35 908 816 1 158 349



Fig. 8 – Les États-Unis et l'Inde ont été les principales cibles des attaques par credential stuffing

Fig. 9 – Les États-Unis et la Russie ont été d'importantes sources d'attaques par credential stuffing en ligne au cours de la période

de 18 mois analysée dans ce rapport

Ce n'est pas parce que l'adresse IP d'un attaquant est en Russie que c'est là qu'il se trouve. Les criminels utilisant le credential stuffing comptent sur les paramètres proxy non seulement pour se soustraire aux mesures de sécurité, mais aussi pour masquer leur identité.

Au cours de notre recherche, nous avons trouvé un service de proxy offrant un accès à des prix allant de 30 $ à 200 $ par semaine. Le coût dépend de l'emplacement du serveur proxy et des limites du compte. L'option la moins chère, située en Australie, a une limite de 50 connexions simultanées (« threads ») et dispose de plus de 200 serveurs disponibles pour se connecter (appelés « pool »). La Chine possède l'une des options les plus chères : une limite de 500 threads et plus de 20 000 serveurs dans le pool.

Tentatives de connexion malveillantes : principales cibles

Tentatives de connexion malveillantes : principales sources

ZONE CIBLÉE SEGMENTS DES MÉDIAS TOUS LES SEGMENTS DE MARCHÉ

CLASSEMENT MONDIAL DANS TOUS LES SEGMENTS DE MARCHÉ

États-Unis 17 554 816 847 46 897 833 276 1

Inde 2 455 628 895 3 702 332 247 3

Canada 1 156 597 318 1 487 337 095 4

Singapour 47 008 228 55 117 432 18

Australie 42 773 334 198 379 421 9

République tchèque 36 139 380 36 139 380 19

Pays-Bas 15 614 129 15 770 397 22

Chine 15 105 040 4 758 443 883 2

Allemagne 12 683 512 1 280 565 528 5

Italie 7 532 004 106 015 785 14

ZONE SOURCE SEGMENTS DES MÉDIAS TOUS LES SEGMENTS DE MARCHÉ

CLASSEMENT MONDIAL DANS TOUS LES SEGMENTS DE MARCHÉ

États-Unis 5 978 803 240 19 946 636 280 1

Russie 2 811 700 327 5 080 433 712 2

Canada 1 767 056 222 2 423 776 410 4

Allemagne 883 080 860 1 727 582 602 8

Inde 790 854 971 2 167 920 536 5

Vietnam 750 780 050 1 618 414 860 10

Brésil 692 183 261 2 834 964 769 3

France 518 293 553 1 358 495 125 13

Pays-Bas 448 213 143 1 386 280 155 12

Royaume-Uni 424 914 180 1 140 233 591 14


14

ConclusionNous ne le dirons jamais assez : les attaques Web et par credential stuffing sont des menaces réelles et à long terme. Elles font partie d'une économie criminelle plus vaste, alimentée par leur relation symbiotique. Lorsqu'il s'agit de développer des listes combinées pour le credential stuffing, l'une des méthodes les plus courantes consiste à télécharger les données d'une base de données récemment compromise. C'est ainsi qu'une attaque SQLi peut se transformer en attaque par credential stuffing en quelques instants. Mais faire face à ces menaces n'est pas simple. Les entreprises doivent s'associer à leurs fournisseurs de sécurité et à leurs clients pour s'attaquer aux causes profondes de ces attaques.


Méthodologies


16

Attaques Web Akamai Intelligent Edge Platform est un réseau de plus de 240 000 serveurs répartis sur des milliers de réseaux dans le monde. Kona WAF sert à protéger ce trafic, et les informations sur les attaques sont transmises à un outil interne appelé Cloud Security Intelligence (CSI). Ces données, qui se mesurent en pétaoctets chaque mois, sont utilisées pour étudier les attaques, comprendre les tendances et fournir des informations supplémentaires aux solutions Akamai. Ces données représentent des millions d'alertes quotidiennes de la couche applicative, mais ces alertes n'indiquent pas s'il y a compromission.

Les informations et les tableaux fournis dans la présente section se limitent aux données enregistrées entre janvier 2018 et juin 2019.

Vol d'identifiants Les données de cette section ont également été tirées du référentiel du CSI. Les tentatives de vol d'identifiants ont été identifiées comme des tentatives de connexion infructueuses pour les comptes utilisant une adresse électronique comme nom d'utilisateur. Pour identifier les tentatives de vols d'identifiants, par opposition aux utilisateurs réels qui ne peuvent pas taper, deux algorithmes différents sont utilisés. Le premier est une simple règle volumétrique comptant le nombre d'erreurs de connexion à une adresse spécifique. Cela diffère de ce qu'une seule organisation pourrait être capable de détecter, car Akamai met en corrélation les données de centaines d'organisations.

Le deuxième algorithme utilise les données de nos services de détection des bots pour identifier les vols d'identifiants à partir de botnets et d'outils connus. Un botnet bien configuré peut éviter la détection volumétrique par de nombreux moyens, en répartissant le trafic entre de nombreuses cibles, en utilisant un grand nombre de systèmes dans son analyse ou en répartissant le trafic dans le temps, pour n'en citer que quelques-uns.

Ces informations ont été recueillies entre janvier 2018 et juin 2019.


Murali Venukumar Program Management, Marketing

Georgina Morales Hampe Project Management, Creative

Contributeurs au rapport État des lieux d'Internet / Sécurité

Équipe éditoriale

Omri Hering Data Analyst Senior — Credential Abuse

Lydia LaSeur Data Scientist — Credential Abuse, Web Attacks

Martin McKeay Editorial Director

Steve Ragan Sr. Technical Writer, Editor

Amanda Fakhreddine Sr. Technical Writer, Managing Editor

Lydia LaSeur Data Scientist

Marketing

Sources

D'autres rapports État des lieux d'Internet / SécuritéLisez les numéros précédents et surveillez les prochaines parutions du célèbre rapport État des lieux d'Internet / Sécurité d'Akamai sur akamai.com/soti

D'autres recherches sur les menaces d'AkamaiTenez-vous au courant des dernières analyses d'informations sur les menaces, des rapports de sécurité et des recherches sur la cybersécurité sur akamai.com/threatresearch

17

Akamai sécurise et fournit des expériences digitales pour les plus grandes entreprises du monde. La plateforme de périphérie intelligente d'Akamai englobe tout, de l'entreprise au cloud, afin d'offrir rapidité, agilité et sécurité à ses clients et à leurs entreprises. Les plus grandes marques mondiales comptent sur Akamai pour les aider à concrétiser leur avantage concurrentiel grâce à des solutions agiles qui développent la puissance de leurs architectures multi-cloud. Akamai place les décisions, les applications et les expériences au plus près des utilisateurs, et au plus loin des attaques et des menaces. Les solutions de sécurité en périphérie, de performances Web et mobiles, d'accès professionnel et de diffusion vidéo du portefeuille d'Akamai s'appuient également sur un service client exceptionnel, des analyses et une surveillance 24 h/24 et 7 j/7, 365 jours par an. Pour savoir pourquoi les plus grandes marques internationales font confiance à Akamai, visitez www.akamai.com, blogs.akamai.com ou @Akamai sur Twitter. Nos coordonnées dans le monde entier sont disponibles à l'adresse www.akamai.com/locations. Publication : 09/19.

[état des lieux d'Internet] / sécurité Les médias en ligne de mire : Volume 5, édition spéciale

https://www.akamai.com/fr/fr/resources/our-thinking/state-of-the-internet-report/global-state-of-the-internet-security-ddos-attack-reports.jsp

https://www.akamai.com/fr/fr/what-we-do/threat-research.jsp

https://www.akamai.com/fr/fr

https://blogs.akamai.com/fr

https://www.twitter.com/Akamai_fr

https://www.akamai.com/fr/fr/locations.jsp

Documents

Les médias en ligne de mire...état des lieux d'Internet / sécurité Les médias en ligne de mire Volume 5, édition spéciale Il convient de noter que la plupart des criminels ne