Trois mesures simples pour aider les entreprises à parer la menace DDoS
Ce titre fait souvent la une des médias: « Un important site Web paralysé par une attaque ». Derrière cette menace se cache le phénomène DDoS (Déni de service distribué). Chaque entreprise doit anticiper pour éviter d'être la prochaine victime médiatisée d’une attaque DDoS.
Cette chronique explique en quoi consistent les attaques DDoS et propose quelques mesures simples pour en réduire l’impact au minimum ou, dans l’idéal, s’en protéger totalement.Le risque est bien réel et de plus en plus sérieux
Si vous pensez que votre entreprise est trop petite,
dénuée d’intérêt ou encore pas assez riche pour être la victime de choix d’une
attaque, détrompez-vous. Toute organisation est une proie potentielle pour une
attaque DDoS et la plupart d’entre nous y est vulnérable. Multinationales,
administrations ou PME, toutes sont aujourd’hui dans la ligne de mire
des cybercriminels. Même les entreprises les mieux sécurisées, disposant
d’abondantes ressources financières et de nombreux experts pour assurer leur
protection, en ont été victimes : Amazon, Visa, Sony, Monsanto,
PostFinance, PayPal, Bank of America…
Ces derniers temps, le nombre d’incidents DDoS a
monté en flèche. Les attaques ont également gagné en envergure, avec des
volumes de trafic allant bien au-delà des 100 Gbit/s. Une attaque
prolongée sur un site marchand asiatique a étélancée par un botnet réunissant
plus de 250 000 ordinateurs zombies, dont une grande partie se
trouverait en Chine.
Différentes sortes d’attaques DDoS
Au niveau le plus élémentaire, une attaque DDoS
est une tentative de rendre une machine ou une ressource réseau inaccessible à
ses utilisateurs habituels. Si sa méthode, ses motivations et ses cibles
peuvent varier, elle est généralement le fait d’un ou plusieurs individus
cherchant à interrompre temporairement ou indéfiniment les services
d’un système hôte connecté à Internet.
Il s’agit typiquement de l’action coordonnée de
botnets distribués, pouvant mobiliser des centaines de milliers
d’ordinateurs zombies, c’est-à-dire des machines infectées précédemment et
commandées à distance. Les attaques DDoS consistent soit à inonder de trafic
les ressources des serveurs (« force brute »), soit à exploiter des
vulnérabilités intrinsèques afin de faire s’écrouler le serveur cible.
Le premier type (flood) se répartit en attaques ICMP (smurf ou Ping, par exemple),
SYN (au moyen de faux paquets TCP/SYN) ou d’autres attaques applicatives.
Les attaques DDoS de cette catégorie mettent souvent à profit la puissance
démesurée de vastes botnets distribués, capables d’envoyer en parallèle une
multitude de requêtes dans le but de paralyser les serveurs Web.
Les autres attaques, de type crash, diffusent souvent des paquets mal formés qui tirent parti de
failles du système d’exploitation. Les attaques DDoS applicatives essaient de faire
tomber les systèmes en exploitant certaines vulnérabilités des applications
installées sur les serveurs (par exemple via des débordements de
buffer ou des « fork bombs »). Celles véhiculées
par les programmes malveillants (malware)
peuvent contaminer un système pour le transformer en zombie par le biais
d’un cheval de Troie, qui déclenche à son tour le téléchargement
d’un agent de botnet.
En outre, les attaques deviennent de plus en plus
élaborées. C’est ainsi que les botnets peuvent non seulement bombarder de
paquets le serveur ciblé mais aussi établir subrepticement des connexions avec
d’autres serveurs pour créer de l’intérieur des volumes gigantesques de fausses
transactions applicatives.
Pourquoi des attaques DDoS ?
Les criminels recourent aux attaques DDoS car
elles sont peu coûteuses, difficiles à détecter et d’une grande efficacité.
Leur faible coût tient à la possibilité d’employer des réseaux distribués de
milliers d’ordinateurs zombies dont le contrôle a été pris au moyen de vers ou
d’autres méthodes automatisées. Exemple : l’utilisation du ver MyDoom pour
le lancement d’attaques de type flood.
Du fait que ces botnets sont disponibles sur le marché noir dans le monde
entier, un pirate peut en louer les services pour moins de 100 euros afin de
lancer une attaque flood ou encore sous-traiter des attaques ciblées pour à
peine 5 dollars de l’heure.
Les attaques DDoS sont difficiles à détecter car
elles utilisent des connexions normales et imitent le trafic légitime. En
conséquence, elles sont redoutablement efficaces car, en général, les
serveurs visés commettent l’erreur de faire confiance au trafic entrant et
facilitent ainsi les attaques en exécutant les requêtes qui finiront par leur
être fatales. Par exemple, dans les attaques flood HTTP-GET (dont MyDoom
est une illustration), les requêtes passent par des connexions TCP
standard et sont considérées par le serveur Web pour des contenus légitimes.
Des motivations financières ou idéologiques
Les attaques DDoS à motivation financière visent
typiquement à extorquer de l’argent ou à nuire à un concurrent. Les
méthodes d’extorsion consistent souvent à réclamer une rançon de taille à
l’entreprise victime contre la menace d’un déni de service. Par exemple,
un site britannique de paris en ligne aurait été mis hors service par une
attaque DDoS après avoir refusé de céder à ce type de chantage.
Quant aux attaques imputables à des concurrents
sans scrupules, elles sont plus répandues qu’il n’y paraît. Une enquête révèle
ainsi que plus de la moitié des attaques DDoS dirigées contre des entreprises
américaines sont menées par des concurrents cherchant à s’octroyer
un avantage déloyal [1].
Les attaques idéologiques peuvent être lancées par
des gouvernements ou par des militants de base. Ces
« hacktivistes » cherchent à se faire de la publicité en mettant des
bâtons dans les roues à des organisations en vue ou en bloquant des sites
représentatifs d’opinions politiques ou de pratiques avec lesquelles ils sont
en désaccord. L’un des exemples aujourd’hui les plus connus en est le groupe
aux contours flous des Anonymous, qui a revendiqué la responsabilité – et
recueilli la publicité – de la paralysie des sites d’organismes de premier plan
tels que le FBI ou la CIA et ont ciblé des sites Web dans plus de 25 pays
sur 6 continents.
A qui le tour ?
Les intentions des hacktivistes pouvant être aussi
variables qu’imprévisibles, toute entreprise risque d’en devenir la cible en
tant que symbole de telle ou telle cause. Les sites de grandes entreprises
(comme Facebook) ou d’événements majeurs (Jeux olympiques, Championnat d’Europe
de football, élections américaines…) sont autant de cibles probables.
Dans le cas d’attaques DDoS lancées par des Etats
menant une cyberguerre, les cibles gouvernementales ne sont pas les seules menacées.
Ces attaques peuvent également viser des fournisseurs attitrés
d’infrastructures stratégiques ou de services de communications ou de transport
ou encore chercher à paralyser des serveurs indispensables aux transactions
commerciales et financières.
Les services cloud peuvent eux aussi désormais
être particulièrement vulnérables aux attaques ciblées. Les sites
effectuant des quantités considérables de calculs ou de transactions
(à l’exemple des moteurs de recherche ou de sites de datamining) sont déjà
souvent à court de ressources et constituent donc également des cibles de choix
pour les attaques DDoS.
Ce que peuvent faire les services informatiques
De toute évidence, les services informatiques
doivent faire preuve de vigilance et se prémunir contre les attaques DDoS.
Selon le cabinet d’analystes Gartner, leur neutralisation doit « faire partie intégrante des plans de
continuité d’activité/reprise après sinistre et être incluse dans toutes les
offres de services Internet lorsque l’activité est tributaire de la
disponibilité de l’accès au réseau » [2].
Pour répondre efficacement à cet impératif, l’entreprise doit être avertie,
préparée et résistante aux attaques DDoS.
Un informaticien averti en vaut deux
En termes simples, le service informatique doit bien
connaître son fournisseur d’accès Internet de façon à collaborer avec celui-ci
à la mise en place d’un plan de riposte efficace. Dans de nombreux cas, le FAI
peut constituer la première ligne de défense contre les attaques DDoS.
L’informatique doit savoir où se situent ses
goulets d’étranglement, c’est-à-dire les points du réseau les plus
susceptibles d’être saturés par une attaque DDoS : accès Internet,
pare-feu (firewall), système de prévention d’intrusion (IPS), répartiteur de
charge, serveurs. En outre, elle doit étroitement surveiller ces points
potentiels de défaillance en présence d’une attaque afin de déterminer s’il
convient de renforcer ou d’optimiser leurs performances et leur résistance.
Enfin, les équipes informatiques doivent connaître
le trafic de leur réseau car il est impossible de contrôler ce qui ne se voit
pas. Par conséquent, il leur faut surveiller et analyser le trafic aussi bien
entrant que sortant afin de détecter les volumes ou schémas inhabituels
permettant d’identifier des sites ciblés ou de repérer des botnets au sein du
réseau. Une préparation complète exige également une visibilité sur le trafic
au niveau de la couche 7 pour identifier et maîtriser les attaques DDoS
applicatives et mixtes.
Bien se préparer
Le service informatique doit investir dans
l’évaluation et la mise en œuvre de contre-mesures appropriées (produits et
services). Par exemple, certains firewalls de nouvelle génération intègrent des
fonctions de détection et de prévention des intrusions permettant de contrer
les attaques DDoS connues, dont la liste peut être mise à jour
automatiquement au moyen de signatures actualisées en continu.
Dans l’idéal, le firewall utilisé doit scruter en
profondeur le trafic à la fois entrant et sortant – y compris à l’intérieur des applications – et alerter les responsables sur les schémas
suspects. L’informatique doit s’assurer que la solution de firewall permet de
pallier les attaques DDoS en bloquant, filtrant ou redirigeant le trafic
en fonction de schémas, de volumes ou de caractéristiques donnés.
Pour compléter ce dispositif, on peut également
envisager l’emploi d’un logiciel d’analyse de flux de trafic capable
d’examiner les données par application ou par utilisateur, sur différentes
périodes, et de les mettre en corrélation à partir de sources multiples,
à l’image de NetFlow ou d’IPFIX.
Sur le long terme, les responsables informatiques
doivent se tenir au courant des nouvelles technologies pouvant venir compléter
leur arsenal, telles que la géolocalisation IP, qui peut faciliter
l’identification géographique des sources suspectes de paquets entrants.
Nécessité d’une
capacité de résistance
Comme nous l’avons vu, les attaques par déni de
service consistent à submerger et engorger les systèmes. Autant que possible,
l’informatique doit améliorer la résistance du réseau au moyen de
composants hautement redondants et performants, ainsi que d’une gestion
de la bande passante à base de règles.
Par exemple, certains firewalls de nouvelle
génération peuvent combiner une architecture multicœur massivement scalaire et
une technologie d’analyse approfondie des paquets quasiment à la vitesse du
réseau permettant d’examiner simultanément des menaces et des applications
multiples en présence de tailles de fichiers et de connexions illimitées,
à des débits de l’ordre de plusieurs gigabits. Il est possible de
configurer les firewalls de ce type de manière à optimiser les
performances et la souplesse face aux attaques, avec haute disponibilité
actif/actif, contrôle intelligent des applications et priorisation de la bande
passante.
Conclusion
Dès lors qu’une entreprise est active sur
Internet, la question n’est sans doute pas de savoir si mais quand elle sera
la cible d’une attaque DDoS. Or il existe de nombreuses solutions
pour réduire voire éviter l’impact. Le service informatique doit
travailler en étroite collaboration avec la direction afin que l’entreprise
soit avertie des vulnérabilités potentielles, se prépare par la mise
en place de contre-mesures appropriées et renforce sa résistance au moyen
de composants de sécurité réseau hautement performants et redondants.
--------------------
[1]
Enquête Corero
Network Security, 2012.
[2] « Hype Cycle for Infrastructure Protection,
2011 », août 2001. Gartner, Inc.