Points clés
- Le rapport Mandiant M-Trends 2024 documente une augmentation de 300 % des attaques ciblant spécifiquement les équipements réseau (edge devices) depuis 2021 — une évolution liée à la reconnaissance par les acteurs malveillants que ces équipements sont souvent les moins bien gérés dans les programmes de sécurité.
- Le groupe Volt Typhoon (lié à la Chine, 2023-2024) cible spécifiquement les infrastructures réseau critiques américaines — routeurs SOHO, équipements VPN — pour y implanter des backdoors dormantes permettant une activation lors d'un conflit potentiel, une approche "pré-positionnement" représentant une évolution qualitative dans les menaces réseau.
- Les attaques DDoS (Distributed Denial of Service) via des botnets IoT (Mirai, Meris) ont atteint des volumes de plus de 3,47 Tbps en 2021 (incident Microsoft Azure) — illustrant que les infrastructures réseau font face à des volumes d'attaque qui dépassent les capacités de mitigation des organisations sans solutions spécialisées.
Le paysage des menaces ciblant les infrastructures réseau a évolué significativement depuis 2020 : les attaquants ont compris que les équipements réseau (firewalls, VPN, routeurs, switches managés) représentent des cibles à haute valeur car ils donnent accès à l'ensemble du réseau et sont souvent moins bien surveillés que les serveurs et postes de travail.
Tendances actuelles des menaces réseau
Exploitation des edge devices. Les équipements réseau exposés sur internet (firewalls, VPN concentrators, routeurs) sont devenus les cibles préférées des acteurs APT et des groupes de ransomware. La préférence pour ces cibles s'explique par leur accès direct au réseau interne sans nécessiter de phishing ou d'exploitation de logiciels applicatifs — une compromission d'un équipement réseau donne un accès immédiat et persistant.
Living-off-the-land sur les équipements réseau. Les attaquants utilisent des outils natifs des équipements réseau (Cisco IOS scripts, routines de gestion réseau) pour maintenir leur accès et exfiltrer des données sans déployer de malwares détectables par les solutions de sécurité des endpoints. Ces techniques sont particulièrement difficiles à détecter car elles utilisent des fonctionnalités légitimes des équipements.
Pré-positionnement dans les infrastructures critiques. Plusieurs groupes étatiques (Volt Typhoon, Sandworm) ont adopté une stratégie de pré-positionnement : s'implanter discrètement dans des infrastructures réseau critiques et rester dormants jusqu'à activation lors d'une crise. Cette approche change fondamentalement la posture défensive requise — il ne s'agit plus seulement de détecter les attaques actives mais de détecter des implants dormants.
Évolutions des DDoS et saturation réseau
Les attaques DDoS ont évolué en sophistication (attaques applicatives ciblant les serveurs d'application plutôt que la bande passante) et en volume (attaques multi-vecteurs combinant volumétriques, protocol et applicatifs). La mitigation requiert des solutions spécialisées (CDN avec DDoS protection, scrubbing centers) que les organisations ne peuvent généralement pas mettre en place sans partenaires spécialisés.
Cas opérationnel : Volt Typhoon — pré-positionnement dans les infrastructures critiques américaines (États-Unis, 2024)
En janvier 2024, le CISA, la NSA et le FBI ont publié un avertissement conjoint documentant les activités de Volt Typhoon, un groupe étatique chinois, dans les infrastructures réseau critiques américaines. Le groupe ciblait spécifiquement des routeurs SOHO (Cisco, Netgear) et des équipements VPN pour y installer des relais discrets permettant de canaliser leur trafic C2 via des équipements légitimes. L'objectif déclaré par les agences de renseignement américaines était le pré-positionnement pour des opérations de perturbation potentielles des infrastructures critiques (eau, énergie, transport) lors d'une crise géopolitique. La détection de ces implants réseau a nécessité une coopération entre les équipes de renseignement, les fabricants d'équipements (Cisco notamment) et les organisations affectées — illustrant la complexité de la défense contre des adversaires opérant sur les équipements réseau eux-mêmes.
Le CISA et Cisco ont documenté en 2023 plusieurs campagnes d'exploitation de vulnérabilités dans Cisco IOS XE (CVE-2023-20198, CVSS 10.0) par des acteurs malveillants ayant installé des backdoors persistantes dans des milliers de routeurs et switches Cisco. La rapidité d'exploitation (des milliers de systèmes compromis en 48 heures) illustre l'évolution de l'écosystème des menaces réseau vers des opérations à grande échelle automatisées.
Le groupe Sandworm (GRU russe) a conduit des attaques destructrices contre les infrastructures réseau ukrainiennes depuis 2022, combinant des wipers (AcidRain pour les modems VSAT), des attaques sur les équipements réseau Cisco et des déni de service ciblés. L'ENISA a documenté ces techniques comme représentatives de l'évolution des menaces réseau dans un contexte de conflit hybride.
Le groupe APT40 (Chine) a ciblé systématiquement les équipements réseau dans la zone Asie-Pacifique, exploitant des vulnérabilités dans les VPN Fortinet, Pulse Secure et les firewalls Palo Alto. L'ACSC australienne, le NCSC néo-zélandais et le CERT japonais ont publié des alertes coordonnées documentant les techniques utilisées et les indicateurs de compromission permettant aux organisations de détecter les implants APT40 dans leurs équipements réseau.