20 ans d’attaques DDoS

Les attaques en déni de service n’ont cessé d’évoluer au cours des 20 dernières années, devenant successivement une curiosité, une gêne, puis un risque majeur pour la continuité d’activité.

En septembre 1996, le premier fournisseur d’accès Internet (FAI) de New York, Panix, a été frappé par une attaque par déni de service de type SYN flood qui a coupé son réseau pendant plusieurs jours. A l’heure où seuls 20 millions d’Américains avaient accès à Internet, il s’agissait de l’un des premiers exemples médiatisés de la fragilité de l’infrastructure d’Internet à l’époque.

Deux décennies plus tard, les entreprises comme les particuliers dépendent énormément des services Internet qu’ils proposent ou utilisent, et la menace numéro un pesant sur la disponibilité de ces services est une attaque par déni de service distribué (DDoS). Les attaques DDoS n’ont cessé d’évoluer au cours des 20 dernières années, devenant successivement une curiosité, une gêne, puis un risque majeur pour la continuité d’activité. Des outils simples d’utilisation et des services bon marché ont permis d’en faire de véritables armes, en mettant de puissantes capacités à la portée de tout utilisateur d’un navigateur web.

Chronologie des attaques
  • En 2005, les attaques relevées par l’étude annuelle sur la sécurité des infrastructures IP mondiales (WISR, Worldwide Infrastructure Security Report) culminaient à 8 Gbit/s. 
  • En 2007, la république d’Estonie a été la cible d’attaques DDoS soutenues à la suite de tensions diplomatiques avec la Russie, à la suite du déplacement d’une statue érigée en hommage aux forces soviétiques ayant combattu contre l’Allemagne durant la Seconde Guerre mondiale.
  • En 2008, les Anonymous ont lancé une série d’attaques de grande ampleur sous forme d’assauts DDoS et de défaçage de sites web. 
  • En 2011, nous avons assisté à une attaque DDoS contre Sony, soupçonnée d’avoir servi à cacher le vol de millions d’enregistrements clients du réseau PlayStation Network.
  • En 2013, Spamhaus a été ciblé pour avoir dénoncé et mis sur liste noire des activités d’hébergement de cybercrimes, de spam et de botnets. Il s’agissait de la plus forte attaque observée à l’époque, atteignant 300 Gbit/s.
  • En 2014, Lizard Squad a affirmé avoir lancé une attaque DDoS contre PlayStation Network et Xbox Live le jour de Noël.
  • En août 2016, des sites web destinés au public et des organismes en lien avec les Jeux olympiques ont été ciblés par des attaques DDoS sophistiquées à grande échelle, représentant un trafic de 500 Gbit/s pendant toute la durée des épreuves.
  • En septembre 2016, un botnet exploitant l’Internet desobjets (IoT) a servi à lancer une attaque soutenue contre Brian Kreb, avec un pic autour de 620 Gbit/s.

Cela montre que l’intensité des attaques DDoS augmente nettement depuis une dizaine d’années mais aussi, très clairement, que celles-ci reflètent des conflits politiques et idéologiques du monde réel. 

Les attaques DDoS se sont intensifiées selon trois principaux axes :

  • Ampleur : les attaques qui ciblaient les FAI vers la fin des années 1990 étaient minuscules en comparaison des assauts massifs observés aujourd’hui. Des techniques telles que l’amplification par réflexion et, désormais, l’utilisation de botnets IoT ont fait monter en flèche l’ampleur des attaques DDoS. L’argument courant selon lequel les pics d’attaque constitueraient des exceptions n’est plus de mise. En 2015, l’observatoire ATLAS, qui surveille les données provenant d’environ 350 opérateurs clients de la société et offrant une visibilité sans équivalent sur près d’un tiers du trafic Internet, a détecté 223 attaques supérieures à 100 Gbit/s. En novembre 2016, ce chiffre s’élevait déjà à 488. Les attaques de très grande ampleur ne sont donc plus rares. 
  • Fréquence : l’emploi des assauts DDoS comme cyberarmes, rendu possible par la prolifération des outils et services spécialisés, a mis les attaques les plus complexes et vastes à la portée de tout un chacun. La fréquence des attaques de grande ampleur s’est considérablement accrue, de même que la fréquence générale des assauts quelle que soit leur taille. Les premiers chiffres de l’étude WISR de cette année font apparaître une nouvelle accélération sensible des attaques contre les entreprises à travers le monde. 
  • Complexité : les attaques DDoS ne sont plus simplement de type SYN flood mais sont désormais des assauts multivecteurs extrêmement complexes, visant simultanément la bande passante d’une connexion, les applications, les infrastructures (firewalls, IPS) et les services. Si les attaques multivecteurs étaient naguère l’apanage d’auteurs chevronnés, elles peuvent aujourd’hui être lancées d’un simple clic. 
Des défenses limitées

En dépit de 20 ans de médiatisation, de nombreuses entreprises n’investissent pas encore assez dans ce domaine et sont mal préparées pour faire face à la menace DDoS. Nombre d’entre elles pensent à tort qu’elles ne sont pas ciblées et attribuent en fait certaines pannes, causées par ce type d’attaques, à des défaillances matérielles ou des erreurs humaines, faute d’une visibilité sur ce qui se passe en réalité. Il peut en résulter des investissements réitérés qui ne résolvent pas le problème. 

D’autres s’en remettent aux équipements de leur infrastructure existante, tels que les firewalls et les systèmes de prévention d’intrusion (IPS), ou encore à un unique niveau de protection chez leur opérateur Internet ou CDN. Dans un cas comme dans l’autre, ces entreprises sont vulnérables et ne sont que partiellement protégées. En effet, les firewalls et les IPS sont des équipements « stateful » (à persistance d’état), souvent visés par les attaques DDoS, tandis qu’une protection limitée au cloud ou au CDN n’est pas adaptée aux applications critiques des entreprises.

Protection anti-DDoS

Pour combattre aujourd’hui les attaques DDoS, les entreprises doivent déployer des défenses à plusieurs niveaux. Elles ont besoin de solutions de protection spécialisées en bordure du réseau afin de se défendre proactivement contre les attaques applicatives les plus sournoises et complexes, mais aussi d’une protection anti-DDoS dans le cloud à laquelle elles pourront faire appel en cas de montée en puissance d’un assaut. 

Dans le monde numérique moderne, une défense à plusieurs niveaux n’a jamais été aussi importante. En mettant en place les solutions et processus appropriés, les équipes de sécurité gagneront en efficacité, pour éviter à leur entreprise d’être la prochaine victime d’une attaque DDoS.