Recrudescence des attaques DDoS
Amis, collègues ou parfaits étrangers se rassemblent sur le Net afin de collecter de l’argent au profit d’une bonne cause. C'est aussi le cas d’individus projetant des cyberattaques à des fins idéologiques. Ces "hacktivistes"" ont un profond impact sur les menaces de sécurité.
L’étude annuelle d’Arbor
Networks sur la sécurité des infrastructures IP mondiales (réalisée auprès des
responsables de la sécurité
opérationnelle d’Internet et publiée en février 2012) corrobore
ce constat.
Pas moins de 66% des personnes interrogées citent l’hacktivisme et
le vandalisme à motivation idéologique comme principal mobile des attaques
par déni de service distribué (DDoS) contre leurs entreprises. De fait, une attaque de ce
type a visé la BBC le mois dernier, paralysant sa messagerie et d’autres
services Internet. La télévision britannique suspecte cette attaque d’avoir été
lancée par un cybercommando iranien en vue d’interrompre ses émissions
en langue perse.
Récemment, c’est le site Web du ministère britannique
de l’Intérieur (Home Office) qui
a fait l’objet de ce qui pourrait marquer le début d’une série d’attaques
hebdomadaires contre les administrations du pays.
Banalisation du phénomène DDoS
Ce ne sont toutefois pas
seulement les entreprises en vue ou impliquées dans la politique qui sont
menacées. Toute entreprise présente sur Internet – ce qui est le cas des
entreprises de pratiquement tout type et toute taille dans les pays occidentaux
– peut devenir une cible, en raison de ce qu’elle est ou vend, de ses
partenaires, ou pour tout autre lien réel ou supposé qu’elle est susceptible
d’entretenir. Personne n’est à l’abri.
Il existe sur le marché une
profusion de nouveaux outils d’attaque faciles d’accès et rapides à
télécharger.
Cette vidéo (http://ddos.arbornetworks.com/2012/02/ddos-attack-tools-a-visual-guide/)
montre la
multitude d’outils aujourd’hui à la portée de tout individu
mal intentionné et disposant d’une connexion Internet pour lancer
une attaque.
Par ailleurs, les botnets constituent une économie souterraine
prospère et fleurissent un peu partout, permettant aux premiers venus de louer
leurs services à moindre coût. Tout comme une entreprise peut s’abonner auprès
d’un prestataire technologique ou d’un service de neutralisation DDoS en mode
cloud, des hacktivistes peuvent souscrire à un service DDoS afin de mener des
attaques. Rien n’est plus simple.
Si l’« hacktivisme »
a monopolisé l’attention des médias dernièrement, nous observons cependant des
cas d’attaques DDoS ayant des visées commerciales. Par exemple, les services de
sécurité russes (FSB) ont arrêté le PDG de ChronoPay,
principale société de traitement des paiements en ligne du pays, car ils le
soupçonnent d’avoir engagé un hacker pour attaquer certains de ses concurrents.
Il est notamment accusé d’avoir commandité une attaque DDoS contre Assist,
laquelle a paralysé le système de ventes de billets sur le site Web de la compagnie Aeroflot. Un
ex-dirigeant de YouSendIt a pour sa part déclenché une attaque DDoS contre les serveurs
de son ancienne entreprise, apparemment par esprit de vengeance. Ces deux
exemples montrent combien il est simple et facile de lancer des attaques.
Tous ces facteurs ont
d’énormes conséquences sur le paysage des menaces, le profil des risques,
l’architecture des réseaux et les dispositifs de sécurité pour l’ensemble des
opérateurs et des entreprises.
Les défenses doivent s’adapter
En se banalisant, les attaques
DDoS ont elles-mêmes évolué. Les méthodes traditionnelles (attaques
volumétriques à forte bande passante) cèdent ainsi la place à des attaques au
niveau de la couche applicative, contre les pare-feu ou les systèmes de
prévention d’intrusion (IPS), avec toutes les combinaisons possibles de
ces trois techniques.
Les attaques multivecteurs –
mettant en œuvre plusieurs techniques simultanément – deviennent monnaie
courante. Une attaque DDoS de grande envergure menée contre Sony en 2011 a ainsi détourné l’attention
de la société de failles de sécurité qui ont ouvert l’accès à des comptes
d’utilisateurs sur ses réseaux PlayStation Network,
Qriocity et Sony Online Entertainment.
Qu’elles aient simplement pour
but de « faire tomber » un réseau ou bien de créer une diversion pour
le vol de données confidentielles, les attaques DDoS ne cessent de gagner en
complexité et en sophistication. Si certaines peuvent atteindre les
100 Gbit/s, les attaques applicatives à faible bande passante sont
appelées à prédominer car elles sont beaucoup plus difficiles à détecter avant
d’avoir eu un impact sur les services.
Parmi les responsables
consultés dans le cadre de l’enquête d’Arbor Networks, 40% signalent la
défaillance d’un pare-feu ou d’un système IPS en ligne et, 43% celle d’un
répartiteur de charge, à la suite d’une attaque DDoS. Si ces équipements ont
leur place et jouent un rôle important dans le dispositif global de
sécurité informatique d’une entreprise, ils ne sont pas conçus pour en protéger
la disponibilité.
Afin d’assurer la meilleure protection possible, les
entreprises doivent adopter une approche à plusieurs niveaux, associant une
appliance spécialisée sur site et un service « dans le cloud ».
Traiter le problème à long terme
Qu’en est-il du coût pour les
entreprises ? Le coût d’une coupure des services et fonctions Internet a
sans nul doute un impact considérable, non seulement en termes financiers
(manque à gagner, défection de la clientèle) mais aussi sur la réputation d’une
entreprise.
L’attaque contre le réseau
Playstation de Sony a coûté à la société 171 millions de dollars « au
comptant », mais les conséquences ultérieures et la contre-publicité se
sont également chiffrées à plusieurs milliards et en érosion de sa
capitalisation boursière. Même s’il s’agit là d’un cas extrême, rares sont les
entreprises qui peuvent se permettre de supporter une telle crise de disponibilité
pendant une période tant soit peu prolongée.
La neutralisation des attaques
DDoS n’est pas un palliatif à court terme. Cette démarche doit s’inscrire dans
la planification globale des risques par une entreprise. Tout comme la sécurité
physique doit prendre en compte l’incendie ou les conditions météorologiques
extrêmes, la sécurité numérique implique d’évaluer les menaces pour la disponibilité,
notamment les attaques DDoS. Il devient de plus en plus important d’élaborer un
plan permettant de les identifier et de les bloquer avant qu’elles n’aient un
impact sur les services, à l’image d’un plan de gestion des catastrophes
naturelles (séismes ou inondations).
Il est temps pour les
entreprises de tenir compte des attaques DDoS dans leurs plans de continuité
d’activité. Faute de cela, si elles se trouvent attaquées, le chaos qui en
résultera et l’absence d’outils adéquats ne feront que prolonger la durée de
l’indisponibilité et en accroître les coûts tant du point de vue financier
dans l’immédiat qu’en matière de préjudice pour l’image de marque sur le long
terme.