DDoS : la contre-attaque dépend de la visibilité et de la connaissance de l'adversaire

Les DDoS, connues depuis la fin des années 70, ont culminé en popularité dans les années 90, pour atteindre un maximum d'impact ces 10 dernières années.

Au cours des derniers mois, la plateforme de jeu en ligne StepN a été la cible régulière d'attaques par déni de service distribué, dont une, plus récente, ayant conduit à l'indisponibilité du service. Basé sur le modèle Move-to-Earn qui incite les utilisateurs à bouger via une activité physique, par exemple, afin de gagner des crypto-récompenses, ce format attractif n’a pas échappé à l’attention des cybercriminels. Les DDoS, connues depuis la fin des années 70, ont culminé en popularité dans les années 90, pour atteindre un maximum d’impact ces 10 dernières années. Bien qu’elles figurent aujourd’hui parmi les menaces à ne pas sous-estimer, et que leur nombre ne cesse d’augmenter chaque année, elles restent souvent ignorées. Or, pour être en mesure de bloquer de telles attaques, les organisations ont besoin de renseignements exploitables et surtout de visibilité.

Sun Tzu dans L’art de la guerre a écrit, "Qui connaît son ennemi comme il se connaît, en cent combats ne sera point défait. Qui se connaît mais ne connaît pas l’ennemi sera victorieux une fois sur deux. Qui ne connaît pas plus l’ennemi qu’il ne se connaît sera toujours défait". Le traité de stratégie militaire offre une analogie adéquate au sein des multiples conversations de cybersécurité ; face à une offensive adverse qui ne faiblit pas, les entreprises doivent en effet rester sur le qui-vive et garder une longueur d’avance sur les cybercriminels.

Dans le domaine de la sécurité, si l’approche de Sun Tzu peut se révéler très intéressante pour protéger un réseau contre les attaques, il peut malheureusement s’avérer difficile de connaître son ennemi dans le monde des DDoS, en particulier. Même si les adresses IP sont théoriquement limitées, déterminer lesquelles sont utilisées par les acteurs malveillants, revient à chercher une aiguille dans une botte de foin. 

L’ennemi botnet pour saturer le réseau

Concrètement, les attaques DDoS consistent en une augmentation des requêtes qui dépassent la capacité d’une connexion à internet depuis un réseau ou un datacenter, ou qui provoquent un pic de demandes de systèmes qui mettent hors service d’autres cibles vulnérables du réseau, assurant la disponibilité de systèmes opérationnels particuliers. Ainsi, une attaque volumétrique enverra suffisamment de requêtes à un réseau pour épuiser la bande passante du circuit internet, rendant le réseau inapte à recevoir d’autres requêtes et le rendant indisponible pour les clients et les utilisateurs. Ou encore, toujours dans le cas d’une attaque par inondation, les demandes inondent une table d’état sur un périphérique tel qu’un pare-feu, si bien que ce périphérique ne peut plus donner accès à la ressource qu’il protège. 

Afin de mener à bien ce type d’attaques, les acteurs malveillants utilisent des machines spécifiquement configurées pour envoyer un nombre considérable de requêtes. Ils ont également recours à d’autres appareils qu’ils réquisitionnent sur divers réseaux pour intensifier leurs efforts et combler leurs besoins. Ces machines détournées sont appelées bots, et les groupes de machines (bots) conçus pour fonctionner ensemble sont appelés botnets.

L’utilisation de ces armées de botnets, notamment dans les dispositifs de l’Internet des objets (IoT), a progressé chaque année depuis leur apparition en 2007. En effet, depuis, les dispositifs IoT sont la cible incessante d’adversaires qui tentent de les intégrer dans leurs armées de botnets. Malheureusement, ces attaques sont souvent couronnées de succès, car la plupart des dispositifs IoT se trouvent derrière des pare-feu destinés à un usage non-professionnel — voire, en sont dépourvus. En réalité, de nombreux dispositifs IoT grand public sont peu ou pas sécurisés, et ils sont souvent installés en utilisant uniquement les identifiants par défaut, déroulant ainsi un tapis rouge idéal pour les attaquants.

La visibilité pour lutter contre les DDoS

Les pirates DDoS s’appuient sur cette infrastructure pour lancer leurs attaques. Pour y faire face, les responsables réseau peuvent collecter les informations relatives à l’emplacement ou à l’adresse IP d’où proviennent les attaques afin de bloquer tout le trafic qui en émane. Ainsi, une analyse plus poussée des données d’attaque collectées permet d’identifier d’autres éléments d’un botnet DDoS et d’autres infrastructures de réseau qu’ils exploitent pour lancer des attaques. Cela permet alors aux équipes de sécurité d’utiliser ces données collectées pour consolider les efforts d’atténuation en place et repousser les futures attaques. 

Cependant, pour atteindre un niveau d’informations optimal, les responsables réseau doivent fréquemment s’en remettre à un fournisseur tiers. Ce dernier dispose, en effet, d’une visibilité globale sur une partie importante du trafic internet, d’une grande expérience dans la collecte de données sur les attaques DDoS et d’une expertise de haut niveau dans l’analyse des techniques utilisées, afin d’offrir l’intelligence nécessaire aux entreprises.

Pour lutter contre cette menace insidieuse, les équipes doivent absolument bénéficier d’une visibilité totale sur les réseaux, afin d’être en mesure d’analyser les données, identifier toute activité inhabituelle et être en mesure de détecter les DDoS suspects. Les entreprises ont en effet besoin de renseignements exploitables sur les menaces, pour bloquer les attaques de manière chirurgicale et automatisée tout en réduisant le risque de faux positifs.

Dans un monde digitalisé, les organisations ne peuvent plus se permettre de négliger la cybersécurité ou de naviguer à vue. Elles doivent être préparées à toute éventualité d’attaque, mais plus encore aux potentielles pertes de données, pannes de réseaux et autres complications techniques qui pourraient ralentir la productivité d’une entreprise et ouvrir des brèches pour les cybercriminels. Surveiller et anticiper les attaques DDoS, permet de réduire le risque. Et pour protéger ces réseaux contre ce type de menace, il est indispensable de voir ce qu’il se passe sur le réseau, et de connaitre les types d’attaques qui existent. Cette connaissance de soi et de l’adversaire, renforcera les défenses de toute entreprise sur le marché actuel.