Nokia alerte des intrusions furtives, des attaques DDoS record et la pression cryptographique sur les réseaux critiques : la défense passe par l’IA, la télémétrie et la « crypto-agilité »

L'Internet Archive subit une attaque et expose les données de 31 millions d'utilisateurs
Share on Pinterest Share on LinkedIn

Les réseaux les plus sensibles — allant des télécommunications aux services d’urgence — font face à une transition majeure dans le paysage des cybermenaces. Une étude récente de Nokia situe le curseur encore plus haut : près de 2 opérateurs sur 3 ont subi au cours des 12 derniers mois au moins une attaque de type « living off the land » — intrusions qui exploitent des outils légitimes du système pour se dissimuler. Par ailleurs, 32 % admettent avoir été victimes de quatre incidents ou plus de ce type. En parallèle, les attaques DDoS à l’échelle du terabit se multiplient : elles sont cinq fois plus nombreuses qu’auparavant, avec des picos plus élevés, alimentées par millions d’objets IoT non sécurisés et des botnets dissimulés derrière des proxies résidentiels. Pour aggraver la situation, 37 % de ces attaques DDoS se terminent en moins de deux minutes, ce qui impose une détection et une réponse automatisées.

Ce rapport, publié depuis Espoo (Finlande), esquisse une photographie où 4 % des connexions domestiques mondiales seraient compromises, servant — avec ou sans la conscience de leurs propriétaires — de plateformes d’attaque. Face à cette hausse du volume et de la sophistication, plus de 70 % des responsables sécurité dans le domaine des télécoms privilégient désormais une analytique des menaces basée sur l’IA/ML et plus de la moitié prévoient d’intégrer l’IA pour la détection dans les 18 prochains mois.

Kal De, vice-président senior Produit et Ingénierie chez Cloud and Network Services (Nokia) :
“La connectivité irrigue tout — de la sécurité publique aux transactions financières, en passant par l’identité numérique. Nous avons observé des attaques visant systèmes d’interception légale, fuites de données sensibles de clients et perturbations des services d’urgence. Le secteur doit se défendre avec une intelligence collective, une détection et une réponse pilotées par l’IA et une crypto-agilité, afin de transformer l’interconnexion en résilience, et non en vulnérabilité.”

Intrusions “silencieuses” et attaques DDoS éclair : pourquoi la fenêtre d’intervention se réduit

Les attaques living off the land (LotL) se caractérisent par leur capacité à éviter la détection par malware visible en exploitant les outils et binaires légitimes du système — PowerShell, WMI, utilitaires réseau — pour se déplacer latéralement, extraire des données ou préparer des sabotages. Pour les équipes de défense, identifier l’anomalie dans un contexte légitime complexifie le travail, exigeant une télémétrie très fine, des modèles comportementaux et une corrélation en temps réel.

Concernant les DDoS, l’elasticité du cloud et l’accès massif à un trafic peu coûteux via proxies résidentiels permettent des attaques atteignant plus de 10 Tbps sur de courtes durées (“golpes et fuite”), visant à saturer les liens ou infrastructures en amont avant que les mécanismes classiques — centres de nettoyage, listes noires, limites de débit — ne puissent réagir efficacement.

Jeff Smith, vice-président et directeur général de Nokia Deepfield :
“Avec des outils d’attaque industrialisés, des millions d’objets IoT non sécurisés et des botnets utilisant des proxies résidentiels, les opérateurs doivent agir dès maintenant pour protéger leurs actifs et leurs clients face à des DDoS massifs, sophistiqués et très variables dépassant les 10+ téraits. La sécurité ne peut pas être une simple réflexion après coup : la protection contre les DDoS doit être intégrée dès le départ dans le réseau, pour garantir la continuité des missions critiques.”

Criptographie sous pression : vers une crypto-agilité

L’étude met également en évidence l’augmentation des demandes cryptographiques — avec plus de trafic chiffré, une utilisation accrue de TLS 1.3, le perfect forward secrecy et les préparatifs pour un futur post-quantique. La crypto-agilité que prône Nokia permet de faire pivoter rapidement les algorithmes, clés et suites cryptographiques sans interrompre le service, afin de répondre promptement aux vulnérabilités ou aux exigences réglementaires changeantes. Dans les réseaux opérés, ce défi est concret : appareils anciens, multiples domaines administratifs et services critiques 24/7 limitent les fenêtres de maintenance et multiplient les dépendances.

IA, mais avec des données : du buzzword à l’ingénierie de détection

La réponse selon laquelle plus de 70 % des responsables sécurité dans le secteur des télécoms privilégient l’IA/ML traduit un consensus : face à la croissance volumique, rapide et variée des événements, l’inspection manuelle et les règles statiques ne suffisent plus. Cependant, pour faire passer cette transition du prototype à la valeur ajoutée concrète, il faut :

  • Des jeux de données labellisés et régulièrement mis à jour (avec une intelligence partagée entre opérateurs et fournisseurs).
  • Des modèles explicables et audités, indispensables surtout dans les environnements réglementés et pour les infrastructures critiques.
  • Une intégration avec l’automatisation (boucle fermée) permettant d’orchestrer des mesures correctives en quelques secondes — par exemple, le blackholing ciblé, la redirection vers des centres de nettoyage, l’ajustement des paramètres de routage, ou l’activation de filtres BGP FlowSpec.
  • Une observabilité unifiée (profils détaillés de flux, DPI sélectif, métriques QoS) pour faire la différence entre bruit et impact réel sur les services critiques (urgences, banques, identité numérique).

Le fait que 37 % des attaques DDoS se terminent en moins de deux minutes illustre l’impératif : la défense doit être proactive et pré-positionnée. Autrement dit, le temps de réfléchir est révolu ; il faut débiter, décider et agir en quelques secondes.

IoT domestique et connexions “zombie” : le 4 % qui alimente les botnets

La présence d’environ 4 % de connexions fixes domestiques compromise suggère un vivier contrôlé : routeurs avec firmware obsolète, caméras, électroménagers connectés avec mots de passe par défaut, ainsi qu’une chaîne d’approvisionnement qui ne généralise pas encore des configurations sécurisées dès la fabrication. Pour les opérateurs, ce vecteur nécessite :

  • Des campagnes de nettoyage (notification et isolement temporaire des clients infectés).
  • Des politiques de rate limiting et de filtres sur le périmètre résidentiel face aux schémas d’attaque.
  • Des mises à jour et un hardening en over-the-air sur les équipements de CPE gérés.
  • Le renforcement réglementaire et l’étiquetage incitant les fabricants à intégrer des minimas de cybersécurité dans leurs produits IoT.

De la menace à la résilience : faire de l’interconnexion un atout

Le message central de Nokia, tel que résumé par Kal De, consiste à transformer l’interconnexion en force défensive : échange d’informations en temps réel, détection pilotée par l’IA avec des modèles entraînés sur plusieurs sources de télémétrie, et capacité cryptographique adaptable. Ce n’est pas une voie simple : cela requiert des standards, la confiance entre concurrents, et des mécanismes de gouvernance permettant de partager des indicateurs sans compromettre la vie privée ou la compétition. Mais, en termes de surface d’attaque, c’est la seule que l’on peut envisager à grande échelle.

Ce que doivent faire opérateurs et fournisseurs aujourd’hui

  1. Repenser la lutte contre les DDoS “dans le réseau” : scrubbing distribué, FlowSpec, filtrage ciblé, orchestration automatique et scénarios pré-testés.
  2. Une télémétrie riche et des modèles dynamiques : logs avancés, signalisation BGP, sFlow/NetFlow/IPFIX ; modèles réentraînés avec des IOCs partagés et des données vérifiées.
  3. Une crypto-agilité opérationnelle : inventaire des algorithmes, plans de rotation, tests de changement de suites cryptographiques, préparation à l’après-quanta.
  4. Renforcer la sécurité IoT : segmentation par défaut, verrouillage de mots de passe faibles, mises à jour automatiques, campagnes d’information clients.
  5. Simuler des attaques éclair : journées d’entraînement ciblant des attaques rapides, avec pour objectif une détection et une mitigation en moins de 60 secondes.

Citations clés

  • Kal De (Nokia) : “L’industrie doit lutter avec une intelligence partagée, une détection et une réaction pilotées par l’IA, et une crypto-agilité — pour transformer l’interconnexion, de vulnérabilité en résilience.”
  • Jeff Smith (Nokia Deepfield) : “Les opérateurs doivent agir dès maintenant : des DDoS dépassant 10+ Tbps et des botnets utilisant des proxies résidentiels exigent une protection intégrée dans le réseau.”

Contexte de l’entreprise

Nokia insiste sur son approche B2B : réseaux mobiles, fixes et cloud, propriété intellectuelle, et la recherche de Nokia Bell Labs, fêtant ses 100 ans. Grâce à des architectures ouvertes et performantes, l’entreprise met l’accent sur la Sécurité, la Fiabilité et la Soutenabilité pour monétiser à grande échelle ses cas d’usage.

Conclusion

Le rapport de Nokia confirme ce que perçoivent quotidiennement de nombreux acteurs de la cybersécurité : plus d’attaques, plus volumineuses et plus rapides. Avec les LotL dissimulés à la vue, et des DDoS atteignant plusieurs téraits en quelques minutes, les réseaux critiques doivent évoluer d’une simple réaction manuelle vers une automatisation intelligente. La sécurité doit aussi passer d’un statut de simple produit à une propriété intégrée du réseau. La crypto-agilité complète ce triptyque : détecter, répondre et chiffrer en rythme avec l’adversaire.

Questions fréquentes (FAQ)

Qu’est-ce qu’une attaque “living off the land” (LotL) et pourquoi inquiète-t-elle les telcos ?
Il s’agit d’une intrusion exploitant des outils légitimes du système (sans malware évident), ce qui complique la détection et élève la barre forensique. Dans les opérateurs, avec des milliers de systèmes et permissions, le camouflage est particulièrement efficace.

Pourquoi les DDoS à plus de 10+ Tbps durent-ils si peu ?
Grâce à l’elasticité en cloud, aux proxies résidentiels et à des millions d’IoT non sécurisés, ces attaques massives et éphémères saturent les infrastructures avant que les mécanismes classiques — centres de nettoyage, listes noires, limites de débit — ne soient en mesure d’intervenir efficacement.

Que signifie “crypto-agilité” pour une infrastructure critique ?
C’est la capacité de faire pivoter rapidement les algorithmes, clés et suites cryptographiques, y compris vers des options post-quantiques, sans interrompre le service, pour répondre rapidement aux vulnérabilités ou changements réglementaires.

Comment un opérateur peut-il se préparer à des attaques DDoS qui se terminent en 2 minutes ?
En adoptant une détection et une mitigation automatisées (boucle fermée) avec une pré-position : scrubbing distribué, FlowSpec, filtrage ciblé, télémétrie avancée et objectifs d’action en moins de 60 secondes. La simulation de journées d’attaque spécifiques permet aussi d’accélérer la réponse réelle.

Source : nokia

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

OpenAI et Broadcom scellent un partenariat pour déployer 10 GW d’accélérateurs IA conçus par OpenAI : Ethernet en tête et calendrier jusqu’en 2029

Nokia alerte des intrusions furtives, des attaques DDoS record et la pression cryptographique sur les réseaux critiques : la défense passe par l’IA, la télémétrie et la « crypto-agilité »

RISC-V dépasse 25 % de pénétration en silicium et accélère son agenda ouverte : l’ISA « libre de licences » anticipe les prévisions et se tourne vers l’IA en périphérie

Le commerce électronique en Espagne accélère de 18,2 % au premier trimestre 2025 : 25 752 M€, 474 M€ d’achats, et le tourisme relance la croissance

VMware vs Proxmox vs Hyper-V (et pourquoi la comparaison « un à un » est souvent inutile)

Azure lance le premier méga-cluster avec NVIDIA GB300 NVL72 pour OpenAI : la nouvelle référence en supercomputing d’IA