Comment anticiper les risques d'attaque en déni de service

Soldes, Noël... La période actuelle est propice aux montées en charge fatales pour les e-commerçants. Des experts rappellent quatre bonnes pratiques à suivre pour les éviter.

La date est tombée : le pic des achats de Noël aura lieu le dimanche 11 décembre 2011. C'est du moins ce qu'a révélé l'étude eBay/TNS, étayée par les prévisions internes d'eBay. Les montées en charge que vont subir certains sites à cette date, mais aussi lors de la période d'avant Noël, peuvent leur être fatales si leur infrastructure n'y résiste pas.

Il s'agit aussi d'une date de choix pour les pirates qui désireraient de réaliser une attaque de type DDOS (par déni de service) : les sites d'e-commerce vont en effet connaître une montrée en charge facilitant ce type d'opération, qui pourrait avoir un sévère impact financier, compte tenu de l'enjeu de cette période pour les e-commerçants.

En outre, la mésaventure du géant américain Best Buy, victime d'une interruption de service l'année dernière peu avant Noël (pendant plus de trois jours), aura montré que de telles catastrophes, financièrement dévastatrices, sont bien réelles, et peuvent même arriver aux ténors du secteur.

Rappel de quatre conseils d'experts pour éviter les dénis de service.

 

1 - Cloud Computing et hébergement "à la demande" plus flexible
 

"Les sites d'e-commerce doivent bien vérifier leurs infrastructures afin de s'assurer qu'ils peuvent gérer leur trafic et capacité réseau", rappelle aujourd'hui Check Point aux e-commerçants américains, qui entament la période des soldes du "Black Friday", très attendue par les acheteurs outre-Atlantique.

"Ils peuvent solliciter des ressources plus flexibles à leurs hébergeurs, ou s'appuyer sur des offres de Cloud Computing pour améliorer leur capacité et prévenir les dénis de service. En outre, les solutions de sécurité devront également pouvoir supporter la charge pour pouvoir continuer à scanner et protéger le réseau", conseille également Check Point, qui fournit justement ce type de solutions.

 

La technique du "black hole" peut être efficace pour contrer une attaque par DDOS"

2 - Une gestion optimisée selon la solution d'e-commerce utilisée
 

Magento, Prestashop... La connaissance des outils utilisés par les e-commerçants peut aussi aider à optimiser l'hébergement, et ainsi à mieux gérer les montées en charge. "Selon la solution utilisée, nous n'allons pas infogérer de la même manière la plate-forme en termes de fréquence du monitoring, des mises en ligne, de nombre de serveurs... Nous appliquons les bonnes pratiques pour chaque technologie. Cette connaissance de l'application permet d'infogérer et de dimensionner de manière optimale l'infrastructure", préconise de son côté Yannick Delmont, directeur technique de Runiso, spécialiste de l'hébergement dans le e-commerce. L'hébergeur peut donc avoir un rôle crucial, mais cette remarque vaut également pour les équipes techniques internes en charge du site Web.

 

3 - Peering et CDN
 

Si la charge ne provoque pas l'interruption du service, elle peut ralentir ce dernier. Un dysfonctionnement qu'il est aussi possible d'éviter en amont, en choisissant de soigner l'acheminent réseau des contenus. "Multiplier les points de peering, couplé au CDN, peut aider à améliorer la performance optimale de la livraison des contenus", selon Yannick Delmont  qui rappelle que "chaque milliseconde peut être importante, et c'est une préoccupation à tous les étages de l'infrastructure, du réseau à l'applicatif."

 

4 - La technique du "blackholing"


Et si, malgré ces précautions prises en amont, le site est frappé par un déni de service, le spécialiste Jean-François Audenard, sur le blog de son employeur (Orange Business Services), donne des pistes pour y faire face.

Rapportant l'expérience vécue par un "client majeur" subissant des DDoS, le spécialiste se souvient avoir d'abord commencé par réaliser "l'identification exhaustive de l'attaque" c'est-à-dire, dans le cas évoqué, "tracer l'attaque pour essayer d'en retrouver les origines, ou du moins les points de peering par lesquels elle entre sur les infrastructures de France Télécom pour se concentrer vers le client".

Ensuite, afin de stopper l'attaque, l'équipe a "renforcé les défenses locales en re-paramétrant certains pare-feu ou en durcissant les configurations des serveurs attaqués", mais a aussi "doté localement la filiale de sondes actives complémentaires pour analyser et bloquer l'attaque".

Les équipes opérationnelles avaient aussi déclenché un "black hole" (trou-noir). "Succinctement" explique le spécialiste, "cette technique consiste à modifier les configurations de routage du réseau d'infrastructure afin que tous les routeurs 'poubellisent' le trafic qui les traverse à destination d'une adresse IP donnée." Le trafic malfaisant est ainsi rerouté vers ce trou noir, et ne sature plus les serveurs visés... Il précise que cette technique avait grandement aidé à venir à bout de l'attaque.