Description attaques DDoS & protection

Quand l’attaque DDoS fonctionne


Les cyberattaques par DDoS (Distributed Denial of Service) paralysent des sites Internet et des systèmes informatiques complets. Quel peut être l’impact d’un tel déluge de données et comment les entreprises peuvent-elles s’en protéger.


Texte: Felix Raymann/Andreas Heer, photos: Swisscom, 14 novembre 2018, actualisé le 28.06.2023




Le mois de juin 2023 entre dans l’histoire de la cybersécurité comme un mois «attaquant». Deux grandes attaques DDoS ont paralysé des sites Internet et des services en ligne, affectant ainsi des personnes et des entreprises en Suisse également.

 

Début juin, la disponibilité de quelques services cloud de Microsoft était limitée en raison d’une attaque DDoS. Environ une semaine plus tard, la Suisse a été directement touchée. Plusieurs sites Internet de la Confédération et de grandes villes ont parfois été totalement ou partiellement inaccessibles en raison de l’attaque.


Attaques DDoS à caractère politique

Il est frappant de constater que dans les deux cas, les motivations étaient davantage politiques que financières et criminelles. Les hacktivistes de «Anonymous Sudan» et de «NoName» ont tous deux orienté leurs attaques contre Microsoft et les pouvoirs publics en Suisse dans le contexte de la guerre d’agression contre l’Ukraine. Dans le cadre de son projet d’attaque «DDosia», NoName semble également payer des personnes qui mettent son infrastructure à disposition. Selon les chercheurs en sécurité d’Avast, ce cercle devrait compter environ 7000 personnes.

 

La Suisse, et donc aussi les entreprises locales, sont tout aussi touchées par les attaques DDoS. Les exemples du mois de juin montrent à quel point les raisons sont multiples et qu’il y a toujours un risque sous-jacent. L’actuel Swisscom Cybersecurity Threat Radar signale lui aussi une menace croissante.


Chantage à la menace DDoS

Une grande partie des attaques sont probablement motivées par des motifs purement financiers. Notamment pour exercer une pression supplémentaire sur les victimes d’une attaque de ransomware avec une menace DDoS afin qu’elles paient une rançon. En effet, de telles défaillances de l’infrastructure peuvent entraîner des dommages considérables pour l’entreprise. Des services web indisponibles pendant un certain temps peuvent entraîner un manque à gagner non négligeable. Pour les boutiques en ligne, les banques ou tout autre prestataire de services tributaire de sa présence sur le web, cela peut se traduire par des pertes considérables, mais aussi par une atteinte à la réputation si le site web en vient à être considéré comme «non sécurisé». Enfin, le rétablissement de la situation implique également des coûts, sans compter que les entreprises touchées peuvent subir des pertes de données à la suite d’une attaque.


Des attaques de plus en plus sophistiquées

Les attaques DDoS suivent toutes un schéma similaire: les serveurs Internet d’une entreprise sont bombardés d’innombrables requêtes, de sorte qu’ils ne parviennent plus à traiter le grand volume de données ou le nombre élevé de paquets IP et s’effondrent sous la charge. Pour pouvoir émettre autant de requêtes, les attaquants doivent disposer d’une infrastructure appropriée ou louer un botnet avec des appareils contaminés. Il peut s’agir de PC insuffisamment protégés, mais aussi d’appareils du quotidien connectés à Internet, tels que des caméras de surveillance, des routeurs, des appareils ménagers, etc.

 

Face à des attaques toujours plus sophistiquées, il devient de plus en plus difficile de se protéger. Au départ, les attaques avaient souvent lieu au niveau des couches de réseau inférieures (couche OSI), par exemple par PING Flood ou SYN Flood. De telles initiatives peuvent être filtrées assez facilement à l’aide de systèmes de protection tels que des pare-feux ou des IDS/IPS.

 

Les agresseurs comme «NoName» combinent en revanche différents vecteurs d’attaque et des attaques par réflexion UDP. Les cybercriminels profitent du fait qu’avec des services tels que le DNS (Domain Name Service), il suffit d’un petit paquet de requêtes pour obtenir une réponse étendue. En adoptant une approche de type DNS Amplification, il suffit par conséquent d’envoyer de nombreuses requêtes avec l’adresse IP de la victime (IP spoofing) pour que cette dernière soit submergée par une quantité nettement plus importante de données. Combiné à d’autres formes d’attaque au niveau de la couche application (Layer 7), par exemple un HTTP(S) Flooding, ce type d’attaques DDoS est très efficace et difficile à bloquer sur les systèmes de la victime.


Mesures de protection efficaces contre les DDoS

Des attaques DDoS ont lieu quotidiennement et ciblent tous types d’équipements accessibles via Internet. Potentiellement, tous les fournisseurs de services web et Internet, c’est-à-dire chaque adresse IP publiquement accessible, peuvent devenir la cible d’une attaque. Des mesures préventives (voir liste ci-dessous) sont par conséquent indispensables. Celles-ci ne sont toutefois pas suffisantes pour être parfaitement préparé. Les entreprises ne peuvent se protéger contre les attaques DDoS que dans une certaine mesure. Par exemple, si un simple filtre DoS est activé sur le pare-feu de l’entreprise, celui-ci pourra certes analyser et filtrer le trafic de données entrant, mais s’il s’agit d’une attaque distribuée dépassant la bande passante disponible de la connexion Internet ou les performances du pare-feu, ce filtre ne servira plus à rien. Une situation similaire se produit avec un grand nombre de paquets IP.

Une protection DDoS efficace commence donc au niveau de la dorsale Internet du fournisseur de services. Là, une attaque distribuée est repoussée grâce à un «mécanisme de défense distribué». Avec le DDoS Protection Service de Swisscom, par exemple, des capteurs installés sur différents routeurs de la dorsale Internet fournissent à tout moment des informations importantes sur le trafic Internet en cours. Cela permet aux systèmes de protection de réagir en temps réel et d’activer les filtres appropriés. Cela permet de prévenir les attaques tout en garantissant que seul le trafic légitime est acheminé vers l’infrastructure des clients.


Prévention et mesures de protection contre les DDoS


Exploiter un service web sans mesures de protection DDoS efficaces et espérer ne pas être perçu comme une cible intéressante par les cybercriminels devrait être assimilé à une négligence intentionnelle du point de vue d’un entrepreneur. C’est pourquoi des précautions doivent être prises pour éviter les dommages dans l’éventualité d’une attaque:


Prévention au sein de la dorsale Internet

Le DDoS Protection Service de Swisscom constitue un bon moyen de se préparer efficacement à une attaque DDoS. Tous les services concernés fonctionnant sur différents serveurs doivent être protégés par le même service de protection DDoS.


Détection précoce

Les responsables informatiques doivent connaître l’état normal des systèmes (baseline) afin d’identifier immédiatement les événements particuliers. Des évaluations automatiques régulières des fichiers journaux renseignent sur les anomalies. La surveillance doit également inclure un point de vue extérieur: la disponibilité des services à l’extérieur de l’entreprise doit être contrôlée via Internet.


Analyse d’impact

Quelles seraient les conséquences d’une défaillance du système suite à une attaque DDoS? Les entreprises devraient chiffrer les dommages directs et indirects pouvant résulter d’une interruption de leurs systèmes pendant plusieurs heures, jours ou même semaines.


Plan d’urgence

Un plan d’urgence interne prévoyant le pire des scénarios devrait être mis en place. Les personnes responsables doivent être formées en conséquence, connaître la procédure nécessaire et être en mesure de notifier rapidement les contacts pertinents (internes et externes).


Limiter les accès

L’accès à votre propre service web peut être restreint en fonction de l’IP de l’expéditeur. Toutes les requêtes de serveurs provenant de l’extérieur de la Suisse ou de certains pays peuvent par exemple être bloquées si nécessaire. Par ailleurs, l’attribution des droits devrait à tout moment être strictement respectée pour l’ensemble du réseau.


Pare-feu basé sur le cloud avec des ressources évolutives

Le pare-feu devrait disposer de ressources suffisantes et pouvoir être rapidement doté de règles de blocage supplémentaires en cas d’attaque. Un Managed Firewall basé sur le cloud constitue une bonne solution à cet égard.


Menaces

En cas de menace d’attaque, des mesures techniques devraient être prises avec le fournisseur d’accès à Internet afin de s’y préparer. Les demandes de rançon ne devraient jamais être honorées.




Hand with smartphone

Newsletter

Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?




En savoir plus sur ce thème