Les attaques de hackers par DDoS (Distributed Denial of Service) paralysent des plateformes web et des systèmes informatiques complets. Quel peut être l’impact d’un tel déluge de données et comment les entreprises peuvent-elles s’en protéger.
Texte: Felix Raymann, photos: iStock by Getty Images, 14 novembre 2018, actualisé le 21.07.2021
Un mélange explosif: l’utilisation et donc l’importance des services de cloud et des services Internet ont une nouvelle fois augmenté de manière significative durant la pandémie de coronavirus. En même temps, sur les forums du darknet proposant des attaques DDoS les prix sont en baisse. Un botnet servant à mener ce type d’attaque «Distributed Denial of Service» s’y loue pour une poignée de dollars seulement et peut, dans certaines circonstances, paralyser une grande partie des infrastructures d’une entreprise, comme un site web ou une boutique en ligne.
Les conséquences de cette conjonction de facteurs se ressentent également dans les entreprises de Suisse. Le nombre de ce type d’attaques est en hausse, y compris dans notre pays. Les différents fournisseurs de services de sécurité ne sont pas d’accord sur l’ampleur exacte du phénomène, mais les estimations vont d’une augmentation de 20% à un triplement. En raison de leur caractère massif, les attaques DDoS peuvent toucher n’importe quelle entreprise de façon plus ou moins aléatoire.
L’identité des auteurs de ces attaques reste souvent obscure. Il est cependant clair que de telles défaillances de l’infrastructure peuvent causer des dommages considérables à l’entreprise. Des services web indisponibles pendant un certain temps peuvent entraîner un manque à gagner non négligeable. Pour les boutiques en ligne, les banques ou tout autre prestataire de services tributaire de sa présence sur le web, cela peut se traduire par des pertes considérables, mais aussi par une atteinte à la réputation si le site web en vient à être considéré comme «non sécurisé». Enfin, le rétablissement de la situation implique également des coûts, sans compter que les entreprises touchées peuvent subir des pertes de données à la suite d’une attaque.
En août dernier ont été découvertes des attaques DDoS émanant d’un groupe de cybercriminels jusqu’alors inconnu, qui avait développé un véritable modèle économique basé sur ce type d’attaques. Après une attaque plutôt légère, ces agresseurs – qui se présentaient généralement sous le nom de «Lazarus Bear Armada» – envoyaient une lettre de chantage réclamant une rançon en bitcoins. En cas de non-paiement, ils menaçaient de lancer une attaque DDoS beaucoup plus importante. Dans de nombreux cas, cette menace est restée sans suite. Toutefois, il n’y a aucune garantie en la matière, comme l’ont découvert un certain nombre d’institutions. Cette tentative d’extorsion par DDoS visait des entreprises choisies au hasard.
Les attaques DDoS suivent toutes un schéma similaire: les serveurs Internet d’une entreprise sont bombardés d’innombrables requêtes, de sorte qu’ils ne parviennent plus à traiter le grand volume de données ou le nombre élevé de paquets IP et s’effondrent sous la charge. Pour pouvoir émettre autant de requêtes, les attaquants doivent disposer d’une infrastructure appropriée ou louer un botnet avec des appareils contaminés. Il peut s’agir de PC insuffisamment protégés, mais aussi d’appareils du quotidien connectés à Internet, tels que des caméras de surveillance, des routeurs, des appareils ménagers, etc.
Face à des attaques toujours plus sophistiquées, il devient de plus en plus difficile de se protéger. Au départ, les attaques avaient souvent lieu au niveau des couches de réseau inférieures (couche OSI), par exemple par PING Flood ou SYN Flood. De telles initiatives peuvent être filtrées assez facilement à l’aide de systèmes de protection tels que des pare-feux ou des IDS/IPS.
Les agresseurs comme Lazarus Bear Armada combinent en revanche différents vecteurs d’attaque et des attaques par réflexion UDP. Les cybercriminels profitent du fait qu’avec des services tels que le DNS (Domain Name Service), il suffit d’un petit paquet de requêtes pour obtenir une réponse étendue. En adoptant une approche de type DNS Amplification, il suffit par conséquent d’envoyer de nombreuses requêtes avec l’adresse IP de la victime (IP spoofing) pour que cette dernière soit submergée par une quantité nettement plus importante de données. Combiné à d’autres formes d’attaque au niveau de la couche application (Layer 7), par exemple un HTTP(S) Flooding, ce type d’attaques DDoS est très efficace et difficile à bloquer sur les systèmes de la victime.
Des attaques DDoS ont lieu quotidiennement et ciblent tous types d’équipements accessibles via Internet. Potentiellement, tous les fournisseurs de services web et Internet, c’est-à-dire chaque adresse IP publiquement accessible, peuvent devenir la cible d’une attaque. Des mesures préventives (voir liste ci-dessous) sont par conséquent indispensables. Celles-ci ne sont toutefois pas suffisantes pour être parfaitement préparé. Les entreprises ne peuvent se protéger contre les attaques DDoS que dans une certaine mesure. Par exemple, si un simple filtre DoS est activé sur le pare-feu de l’entreprise, celui-ci pourra certes analyser et filtrer le trafic de données entrant, mais s’il s’agit d’une attaque distribuée dépassant la bande passante disponible de la connexion Internet ou les performances du pare-feu, ce filtre ne servira plus à rien. Une situation similaire se produit avec un grand nombre de paquets IP.
Une protection DDoS efficace commence donc au niveau de la dorsale Internet du fournisseur de services. Là, une attaque distribuée est repoussée grâce à un «mécanisme de défense distribué». Avec le DDoS Protection Service de Swisscom, par exemple, des capteurs installés sur différents routeurs de la dorsale Internet fournissent à tout moment des informations importantes sur le trafic Internet en cours. Cela permet aux systèmes de protection de réagir en temps réel et d’activer les filtres appropriés. Cela permet de prévenir les attaques tout en garantissant que seul le trafic légitime est acheminé vers l’infrastructure des clients.
Exploiter un service web sans mesures de protection DDoS efficaces et espérer ne pas être perçu comme une cible intéressante par les cybercriminels devrait être assimilé à une négligence intentionnelle du point de vue d’un entrepreneur. C’est pourquoi des précautions doivent être prises pour éviter les dommages dans l’éventualité d’une attaque:
Le DDoS Protection Service de Swisscom constitue un bon moyen de se préparer efficacement à une attaque DDoS. Tous les services concernés fonctionnant sur différents serveurs doivent être protégés par le même service de protection DDoS.
Les responsables informatiques doivent connaître l’état normal des systèmes (baseline) afin d’identifier immédiatement les événements particuliers. Des évaluations automatiques régulières des fichiers journaux renseignent sur les anomalies. La surveillance doit également inclure un point de vue extérieur: la disponibilité des services à l’extérieur de l’entreprise doit être contrôlée via Internet.
Quelles seraient les conséquences d’une défaillance du système suite à une attaque DDoS? Les entreprises devraient chiffrer les dommages directs et indirects pouvant résulter d’une interruption de leurs systèmes pendant plusieurs heures, jours ou même semaines.
Un plan d’urgence interne prévoyant le pire des scénarios devrait être mis en place. Les personnes responsables doivent être formées en conséquence, connaître la procédure nécessaire et être en mesure de notifier rapidement les contacts pertinents (internes et externes).
L’accès à votre propre service web peut être restreint en fonction de l’IP de l’expéditeur. Toutes les requêtes de serveurs provenant de l’extérieur de la Suisse ou de certains pays peuvent par exemple être bloquées si nécessaire. Par ailleurs, l’attribution des droits devrait à tout moment être strictement respectée pour l’ensemble du réseau.
Le pare-feu devrait disposer de ressources suffisantes et pouvoir être rapidement doté de règles de blocage supplémentaires en cas d’attaque. Un Managed Firewall basé sur le cloud constitue une bonne solution à cet égard.
En cas de menace d’attaque, des mesures techniques devraient être prises avec le fournisseur d’accès à Internet afin de s’y préparer. Les demandes de rançon ne devraient jamais être honorées.
Newsletter
Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?
En savoir plus sur ce thème