{"id":6403,"date":"2025-02-12T03:21:04","date_gmt":"2025-02-12T02:21:04","guid":{"rendered":"https:\/\/www.lrob.fr\/?p=6403"},"modified":"2025-02-12T03:21:04","modified_gmt":"2025-02-12T02:21:04","slug":"attaque-record-2-8-millions-dip-compromises-quel-impact-pour-les-hebergeurs-wordpress","status":"publish","type":"post","link":"https:\/\/portail.lrob.fr\/en\/news\/attaque-record-2-8-millions-dip-compromises-quel-impact-pour-les-hebergeurs-wordpress\/","title":{"rendered":"Attaque record : 2.8 millions d’IP compromises : Quel impact pour les h\u00e9bergeurs WordPress ?"},"content":{"rendered":"

Une nouvelle menace d\u2019ampleur in\u00e9dite secoue le web : 2.8 millions de p\u00e9riph\u00e9riques r\u00e9seau compromis<\/strong> sont actuellement exploit\u00e9s pour inonder Internet de requ\u00eates malveillantes.<\/p>\n\n\n\n

Chez LRob, en tant qu’h\u00e9bergeur web<\/a>, nous avons observ\u00e9 une augmentation spectaculaire des attaques ces derniers jours. Nous vous expliquerons comment nous les bloquons efficacement.<\/p>\n\n\n\n

Ces attaques ne sont pas seulement une nuisance : elles peuvent gravement impacter la performance et la s\u00e9curit\u00e9 de vos sites web. Quel est le fonctionnement de l’attaque ? Quel est son impact sur vos sites web ? Comment vous prot\u00e9ger ? R\u00e9ponses.<\/p>\n\n\n\n

D\u00e9tails de l’attaque cyber<\/h2>\n\n\n\n

D\u00e9couverte de l’attaque de cybers\u00e9curit\u00e9<\/h3>\n\n\n\n

Comme nous l’indique notamment Cyber Security News dans son article<\/a>, une vaste attaque par brute-force (essai de tous les mots de passe) a commenc\u00e9 par cibler les connexions VPN et pare-feu en utilisant 2,8 millions d\u2019adresses IP. Une sorte de bruteforce crois\u00e9 \u00e0 du DDoS (Distributed Denial of Service) g\u00e9ant.<\/p>\n\n\n\n

D\u00e9tect\u00e9e pour la premi\u00e8re fois en janvier 2025 par la fondation Shadowserver, cette campagne vise les dispositifs de s\u00e9curit\u00e9 en p\u00e9riph\u00e9rie, comme les VPN, pare-feu et routeurs de fournisseurs tels que Palo Alto Networks, Ivanti et SonicWall.<\/p>\n\n\n\n

Les cybercriminels utilisent des r\u00e9seaux de proxy r\u00e9sidentiels et des appareils compromis, notamment des routeurs MikroTik, Huawei et Cisco, pour mener ces attaques. Plus de 1,1 million d\u2019adresses IP impliqu\u00e9es proviennent du Br\u00e9sil. Suivi de la Turquie, la Russie, l’Argentine, le Maroc, le Mexique et d\u2019autres pays comme l’Irlande selon certaines observations.<\/p>\n\n\n\n

L’ensemble forme un botnet de plus en plus gros, pouvant mener diverses attaques. Et nous confirmons que cela commence \u00e0 se voir c\u00f4t\u00e9 h\u00e9bergement web avec des attaques grandissantes depuis quelques jours. Il se pourrait donc que de nombreux nouveaux p\u00e9riph\u00e9riques soient compromis.<\/p>\n\n\n\n

R\u00e9action des organismes officiels de cybers\u00e9curit\u00e9<\/h3>\n\n\n\n

Face \u00e0 cette menace croissante, les agences de cybers\u00e9curit\u00e9 internationales (CISA, NCSC, etc.) recommandent aux fabricants d\u2019am\u00e9liorer la s\u00e9curit\u00e9 par d\u00e9faut de leurs dispositifs et aux entreprises de renforcer la protection de leurs acc\u00e8s r\u00e9seau. L\u2019utilisation de l\u2019authentification multifactorielle (MFA), la mise \u00e0 jour r\u00e9guli\u00e8re des syst\u00e8mes et la segmentation du r\u00e9seau sont essentielles pour r\u00e9duire les risques. Shadowserver avertit que ces attaques devraient se poursuivre, touchant d\u2019autres fournisseurs et r\u00e9gions.<\/p>\n\n\n\n

Propagation aux h\u00e9bergements web – Observations LRob<\/h2>\n\n\n\n

Chez LRob, nous avons observ\u00e9 une augmentation des requ\u00eates ill\u00e9gitimes depuis le d\u00e9but de l’ann\u00e9e 2025, puis un bond drastique depuis le 8 f\u00e9vrier.<\/p>\n\n\n\n

Ce 11 f\u00e9vrier, c’est le record avec +500% d’attaquants<\/strong> bloqu\u00e9s par rapport \u00e0 la moyenne habituelle.<\/p>\n\n\n\n

Paradoxe, en cette journ\u00e9e internationale pour un Internet plus s\u00fbr<\/a>, organis\u00e9e en France par Internet Sans Crainte.<\/p>\n\n\n\n

Un confr\u00e8re confirme une augmentation simultan\u00e9e des attaques re\u00e7ues sur ses machines. Je me rapproche \u00e9galement d’autres confr\u00e8res h\u00e9bergeurs pour voir si eux aussi constatent une augmentation des attaques.<\/em><\/p>\n\n\n\n

En chiffres bruts, nous avons d\u00e9pass\u00e9 10.000 attaquants bloqu\u00e9s<\/strong> le mardi 11 F\u00e9vrier 2025, soit 5x la valeur moyenne.<\/p>\n\n\n\n

Concernant la charge serveur<\/strong> l’utilisation CPU moyenne des serveurs a augment\u00e9 d’environ 6%, passant de 14 \u00e0 20%. Si cela nous laisse 80% de marge de man\u0153uvre, c’est d\u00e9j\u00e0 suffisant pour que nous r\u00e9agissions (voir plus bas).<\/p>\n\n\n\n

Provenance des attaques<\/h3>\n\n\n\n

De notre c\u00f4t\u00e9, les attaques proviennent de partout dans le monde et nous n’avons pas fait de statistiques pr\u00e9cises sur la provenance, car cela demande une logistique importante pour peu de plus-value. La priorit\u00e9 est de bloquer un maximum d’attaques.<\/p>\n\n\n\n

De plus, le type d’origine des attaques est tr\u00e8s vari\u00e9, cela vient d’IP domestiques comme d’IP en datacenter. Ce qui laisse \u00e0 penser que nous avons affaire \u00e0 un \u00e9norme botnet.<\/p>\n\n\n\n

Concernant l’origine g\u00e9ographique, avec des pincettes, nous pouvons dire \u00e0 vue d\u2019\u0153il que les attaques semblent provenir d’un peu partout dans le monde, avec la Chine potentiellement en t\u00eate (rien d’inhabituel, donc…).<\/p>\n\n\n\n

Mais on observe \u00e9galement des attaques provenant de Singapour, du Br\u00e9sil, d’Inde, du Vietnam, du Kazakhstan, Espagne, Finlande, Japon, Cor\u00e9e, Hong Kong, Tha\u00eflande, Canada, USA, G\u00e9orgie, France, Italie, Royaume Uni, Bangladesh, Roumanie, Philippines…<\/p>\n\n\n\n

Bref, rien ne se d\u00e9marque \u00e0 vue d\u2019\u0153il, les attaques viennent de partout, comme d’habitude.<\/p>\n\n\n\n

Pour un aper\u00e7u direct, voyez les reportings LRob sur AbuseIPDB<\/a>.<\/p>\n\n\n\n

Corr\u00e9lation n’est pas causalit\u00e9 – Quelques r\u00e9serves<\/h3>\n\n\n\n

Il faut conc\u00e9der qu’il est impossible de faire un lien certain entre l’attaque mondiale en cours et cette augmentation d’attaques sur les serveurs web et les sites WordPress LRob. En effet, malgr\u00e9 la confirmation d’un confr\u00e8re, l’\u00e9chantillon n’est pas suffisant pour conclure avec certitude.<\/p>\n\n\n\n

Cependant la corr\u00e9lation reste frappante et il ne semble pas d\u00e9lirant de penser que les deux sont li\u00e9s. Pour aller plus loin, la consultation d’autres confr\u00e8res pourra nous permettre de v\u00e9rifier si les attaques sont g\u00e9n\u00e9ralis\u00e9es ou pas.<\/p>\n\n\n\n

H\u00e9bergement WordPress & attaques : quelles cons\u00e9quences ?<\/h2>\n\n\n\n

Les administrateurs, agences web et possesseurs de sites WordPress doivent s\u2019interroger :
\u00ab\u00a0mon h\u00e9bergement WordPress<\/a> est-il pr\u00eat \u00e0 encaisser cette vague d\u2019attaques ?<\/strong>\u00ab\u00a0<\/p>\n\n\n\n

Que ce soit pour l’attaque actuelle ou les suivantes, si votre h\u00e9bergeur web ne bloque pas ces attaques<\/strong>, vous pourriez rapidement en subir les cons\u00e9quences :<\/p>\n\n\n\n