2005 - 2016 : les attaques DDoS n’en finissent plus d’évoluer

Malgré un arsenal en constante évolution, le déni de service distribué est resté un outil clé chez les pirates. Quid des dernières évolutions qui ont émergé récemment dans ce domaine ?

Depuis son apparition sur la scène des menaces, le déni de service distribué (DDoS) instigue une peur croissante au sein des entreprises partout dans le monde au fur et à mesure que les processus critiques deviennent de plus en plus dépendants de l’accès au réseau. De manière presque quotidienne, la puissance de ces attaques ne cesse d’atteindre de nouveaux records. Le dernier pic enregistré à 500Gbps, représente une augmentation 60 fois plus importante que les attaques constatées il y a de cela 11 ans. Le plus inquiétant cependant, reste la diversité de formes que l'attaque DDoS a pu développer depuis sa première apparition, évoluant presque constamment pour échapper aux cyber défenses.

Une vieille connaissance

Nous avons l’impression de parler des DDoS depuis longtemps. En fait, les attaques DoS basiques existaient bien avant l'Internet commercial, mais il a fallu attendre le tournant du second millénaire pour que les attaques DDoS commencent à tourmenter les entreprises. Le fait qu’elles soient devenues plus accessibles que jamais à l'individu lambda, simples, peu coûteuses et généralement anonymes fait que, de manière générale, les entreprises tous secteurs d'activité confondus sont de plus en plus ciblées par des attaques DDoS. Les victimes récentes très médiatisées comprennent des noms tels que GitHub, Ashley Madison, Carphone Warehouse et Talk Talk, démontrant que ces variantes d’attaques restent plus efficaces que jamais.

Jetons un coup d'œil à quelques-unes des techniques et des tendances qui ont émergé récemment :

- Extorsion DDoS

Ironiquement, la première tactique vise à être efficace sans lancer l’attaque. Le modus operandi des attaques de type extorsion voit les victimes recevoir un e-mail expliquant qui sont les assaillants et comprennent même des liens vers des billets de blogs écrits récemment sur eux et leurs tactiques. Finalement, les protagonistes déclarent que si une taxe est acquittée (généralement autour de 40 Bitcoin mais la demande peut atteindre des centaines), une attaque DDoS de grande envergure sera lancée.

Ces menaces sont également souvent utilisées comme des diversions. Alors que les victimes concentrent leurs défenses sur les attaques d’envergure, les pirates sont en fait en train de cibler une application web locale. Par conséquent, les cyber criminels ne visent pas nécessairement à perturber un site ou un service, mais plutôt à voler, grâce à une attaque secondaire, des données personnelles ou financières en se frayant un accès vers une application.

- Dark DDoS

L'exemple parfait de la façon dont les techniques ont évolué ! Le Dark DDoS profite du fait que la plupart des départements informatiques ne sont capables de détecter les attaques que lorsqu’elles dépassent 1 Go par minute. Les cybercriminels envoient donc de manière constante, des rafales de faible volume sur une période plus longue, si basse au niveau de la bande passante que la victime est incapable de les détecter. Cette méthode commence à faire partie intégrante de la boîte à outils d'un piratage, qu’elle soit utilisée comme une diversion, ou comme un élément clé d'une attaque multi-couches sophistiquée.

Les Dark DDoS ne sont pas utilisés avec le même objectif que les attaques par déni de service traditionnelles et sont plus agressifs, ciblant l'architecture de sécurité des postes de certains individus plutôt que de perturber simplement un service. C’est une technique utilisée de manière croissante - étant donné que le seuil non détectable dans lequel elle est menée permet aux cyber-criminels de tourmenter les organisations tandis que les équipes de sécurité et les solutions traditionnelles de maintien d’activité et d'épuration de la menace restent aveugles à l’attaque.

- DDoS as-a-service

La simplicité de distribution d'une attaque DDoS est démontrée par sa disponibilité sur les marchés professionnels en ligne. Auparavant disponible uniquement sur le Dark Web, des services de piratage peuvent désormais être achetés au prix dérisoire de 12 € pour une demi-journée, ce qui laisse présager d’une progression des DDoS comme une marchandise courante. Souvent créés de la même manière que le font les « Stressers », des spécialistes auprès desquels les entreprises achètent des services DDoS afin de tester leur propre cybersécurité, les fournisseurs de ces services criminels sont connus pour proposer de cibler n’importe quels serveurs.

De nombreuses organisations qui sont désormais ciblées par des cyberattaques ont exprimé leurs soupçons sur le fait que des concurrents pourraient en être responsables, étant donné que le DDoS-as-a-service permet à tout individu ou entreprise de mener une cyber-guerre pour le prix d'un t-shirt.

Anticiper l’inévitable

Le constat est simple, l’attaque DDoS moyenne est désormais suffisamment puissante pour mettre hors service l’activité d’une entreprise. La question de savoir si on peut ou non se permettre de ne prendre aucune mesure préventive n’est plus une option. Une meilleure collaboration entre le gouvernement, l’appareil judiciaire et les entreprises est très utile, mais étant donné que les organisations sont susceptibles de se retrouver paralysées à n’importe quel moment, elles ont besoin de mesures susceptibles d’être mises en œuvre dès maintenant. Il est impératif que les organisations définissent leur stratégie d'atténuation DDoS afin d'être mieux préparées pour les risques à venir.

Compte tenu de l‘augmentation des techniques, il est souvent difficile de savoir si une entreprise est attaquée. Par conséquent, il est plus important que jamais pour les entreprises de s’assurer que le trafic web soit constamment surveillé pour identifier d’éventuelles irrégularités et qu'elles aient mis en place des mesures nécessaires pour réagir rapidement en cas d’attaque. Une méthode clé consiste à employer des technologies anti-DDoS, sur site et basées dans le Cloud, ainsi que des services capables de nettoyer le trafic malveillant avant qu'il ne pénètre sur le réseau. Cette approche hybride permet l'atténuation au niveau local, aussi bien des attaques qui ciblerait la couche applicative que celles lancées depuis l'extérieur de l'infrastructure. Cette approche intégrant l'atténuation DDoS est essentielle, de sorte que les organisations aient toujours le choix de la technologie et la flexibilité pour leur permettre de réagir à n’importe quelle attaque.

Le DDoS a évolué et ce qui n’était à la base qu’une nuisance prend désormais la dimension d’une menace à multiples facettes, cachant souvent des ambitions sinistres. Aujourd'hui, de nombreux hackers utilisent le DDoS comme un moyen de parvenir à leurs fins, un écran de fumée cachant, une intention malveillante beaucoup plus dommageable qui pourrait voir des données sensibles compromises.

Serveurs / DDOS