Archives par mot-clé : attaque informatique

Final Fantasy 14 subit une série d’attaques DDoS

La seconde extension de Final Fantasy 14, Stormblood, était attendue par tous les « afficionados » du célèbre jeu sur Playstation 4, Mac et PC. Un lancement qui a été perturbé par une série d’attaques par déni de service.

Le 20 juin 2017 sortait la seconde extension de Final Fantasy 14, Stormblood. Des pirates ont tenté de perturber ce lancement par un déni distribué de service (DDoS). « Aujourd’hui, les botnets comme celui qui a affecté les serveurs du jeu Final Fantasy 14 n’ont pas de limites. Chaque imprimante, console de jeux ainsi que n’importe quel appareil connecté à internet peut être utilisé par un botnet pour lancer une attaque par déni de service (DDoS). confirme Jean- Baptiste Souvestre, Software Engineer, chez Avast. Jusqu’à présent, les cybercriminels ont seulement pu exploiter cette méthode pour paralyser ou prendre le contrôle de sites internet, des actions ennuyeuses mais sans mise en danger vital. En ce qui concerne les conséquences sur Final Fantasy, les attaques DDoS en particulier n’entrainent pas de perte de données relatives aux personnages ou bien au profil de l’utilisateur mais elles peuvent nuire à la performance et à l’expérience de jeu ».

En réalité, le pouvoir de ce type de piratage ne cessera d’augmenter. A l’avenir, nous pourrions voir de nombreuses attaques entièrement autonomes et basées sur l’intelligence artificielle qui opèreront de façon indépendante, sauront s’adapter pour échapper aux outils de détection, et prendront les décisions seules, exposant ainsi les services digitaux et les infrastructures web à des risques encore plus importants.

C’est pourquoi nous devons tous nous montrer responsables en prenant des mesures proactives pour protéger nos systèmes et équipements, quelle que soit l’activité à partir du moment où nous sommes connectés à internet. Cela passe notamment par l’utilisation de mots de passe forts et uniques, mais également par l’installation de solutions de sécurité afin de prévenir toute attaque. En outre, la mise en place d’un anti-malware fait partie des bonnes pratiques à adopter, à la fois par les particuliers et les entreprises. Enfin, dès lors qu’un utilisateur soupçonne qu’une attaque est en cours au cœur de ses appareils, il doit contacter son fournisseur d’accès à internet afin que ce dernier puisse analyser immédiatement si tout est normal sur le réseau ou bien si un hacker est parvenu à s’infiltrer. Si tel est le cas, les mesures nécessaires pourront être appliquées pour l’arrêter avant qu’il ne parvienne à ses fins.

La France : une cible privilégiée pour les cybercriminels

Selon la société américaine de sécurité informatique Symantec, la France fait son retour dans le top 10 des pays à cybercriminalité la plus active, aux côtés de la Chine et des Etats-Unis. Quelles sont les sanctions en pratique ? Ce récent sondage questionne l’effectivité des dispositifs juridiques mis en place en vue de lutter contre le piratage. Bref, comment ne pas finir comme cible privilégiée pour les cybercriminels ?

La position de la France en la matière s’explique en grande partie par l’utilisation croissante des rançongiciels. En effet, ces derniers représenteraient plus de 391 000 attaques en 2015. L’utilisation de ces logiciels malveillants permet aux hackers de chiffrer les fichiers d’un ordinateur, avant d’exiger une rançon en contrepartie de leur décryptage.

Un récent sondage de Kaspersky montrait que les pays les plus visés par cette pratique sont la Russie, l’Inde et l’Allemagne. Il sévit également en Italie, en Autriche, aux Etats-Unis, et en Chine. Marco Preuss, chargé de la recherche et du développement au sein de Kaspersky Lab en Europe, a d’ailleurs déclaré que « 2016 est probablement l’année du ransomware. Au cours du seul mois de février, nous avons déjà dénombré autant de tentatives d’attaques contre nos clients que lors des cinq mois précédents cumulés ». Des chiffres qu’il faut cependant modérer. L’entreprise américaine se base sur ses chiffres clients.

Bien qu’il existe 60 variantes de ce programme, le procédé est toujours le même. Il est généralement reçu par courriel dans lequel figure la plupart du temps une pièce jointe qui peut se présenter sous la forme d’une notification de fax ou de scanner. Une fois installé sur l’ordinateur, une bannière sur laquelle il est indiqué qu’il faut envoyer un SMS à un numéro de téléphone spécifié ou verser de l’argent sur un compte bancaire, s’affiche.

Cible privilégiée pour les cybercriminels

L’Agence nationale de sécurité des systèmes informatiques mène actuellement une campagne de sensibilisation sur l’utilisation des rançongiciels, ce qui démontre l’ampleur du phénomène. En cas d’infection de l’ordinateur, elle préconise de porter plainte au commissariat de police.

Il est en effet possible d’agir à l’encontre des pirates informatiques sur le fondement des articles 323-1 et suivants du Code pénal. En effet, le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 euros d’amende. De même, le fait d’entraver le fonctionnement d’un système informatique est puni de cinq ans d’emprisonnement et 150 000 euros d’amende. Enfin, est puni des mêmes peines, le fait d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données d’un tel système.

D’où il résulte, la nécessité accrue d’une vigilance renforcée pour ne pas finir comme une cible privilégiée pour les cybercriminels. Les entreprises ont de plus en plus conscience des enjeux que représente la sécurité de leurs systèmes informatiques. Toutefois, encore faut-il que les textes précités soient appliqués ! L’impunité du piratage informatique engendre un risque augmenté d’insécurité des systèmes informatiques. Il est indispensable que les forces de police et les magistrats veillent au respect de ces dispositions, ce qui n’est pas le cas à l’heure actuelle. A quand une prise de conscience ?

Par Maitre Antoine Chéron, pour DataSecurityBreach.fr, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM (http://www.acbm-avocats.com)

Pour une approche mixte de la protection des données contre les attaques DDoS à venir

Pour de nombreuses entreprises qui veulent mettre en œuvre une stratégie de défense anti-DDoS, se pose le dilemme d’une réelle efficacité : doivent-elles déployer des appliances sur site ou s’abonner à un service cloud anti-DDoS ? Cette décision ne peut pas être prise à la légère ni sans analyser le vaste champ des nouvelles menaces DDoS.

Les plus visibles sont les attaques volumétriques par force brute qui cherchent à saturer le réseau et perturber les services et les opérations, tandis que les attaques ‘low et slow’ qui s’en prennent à la couche applicative, sont plus difficiles à détecter. Quelle que soit la taille ou la complexité de l’attaque, l’arrêt de l’activité provoqué par un DDoS entraîne d’importantes baisses d’activité et des pertes de revenus. On estime qu’un incident peut coûter plusieurs centaines de milliers d’euros. Sans parler des conséquences et du nécessaire examen des faits pour déterminer quelles infractions ont eu lieu et comment gérer les dommages survenus auprès des clients.

Solution cloud anti-DDoS
Les attaques volumétriques massives se produisent quand l’agresseur sature la  bande passante du réseau en envoyant énormément de trafic. Les attaques par saturation sont largement médiatisées et le plus souvent associées à un DDoS,  car elles sont le plus évident et le plus manifeste exemple de ces vecteurs d’attaque de plus en plus subtils. Avec un service cloud de défense à la demande contre les DDoS qui se trouve hors site, l’intervention humaine joue un rôle-clé. Lorsqu’une attaque est détectée, le Responsable de la Sécurité doit prendre la décision d’activer la bascule vers le fournisseur Cloud de service anti-DDoS. Le temps moyen entre la détection et la mitigation d’une attaque est variable et peut atteindre une heure. Or, la majorité des attaques volumétriques consommant une grande quantité de bande passante ne dure pas plus d’une demi-heure : le temps que la défense à la demande se mette en place, l’attaque est terminée et le mal est fait.

De plus, avec une solution Cloud anti-DDoS hors site, la visibilité de l’attaque et l’analyse correspondante commencent seulement après que le trafic ait été re-routé vers le service de nettoyage, ce qui fournit très peu d’informations sur l’événement de sécurité. Certaines entreprises qui subissent des attaques volumétriques* à grande échelle, souscrivent à un service cloud anti-DDoS continu. Cette solution apporte évidemment plus de sécurité, mais elle génère des coûts très importants.

Défense sur site en temps réel
Les solutions de défense DDoS sur site, conçues à cet effet, sont des produits de sécurité des réseaux basés sur des appliances déployées entre Internet et le réseau de l’entreprise. Cette approche crée une première ligne de défense qui empêche les pannes de réseau et de service provoquées par les attaques DDoS. Comment ? En inspectant la fréquence du trafic de la ligne et en bloquant les attaques en temps réel, tout en laissant circuler les « bons » flux, sans les interrompre. La défense sur site a comme avantage de procurer une visibilité complète et sophistiquée, tout en fournissant les renseignements de sécurité sur l’attaque DDoS (et toutes les autres cyber-menaces) qui ciblent les services exposés à Internet.

Une fois connue la nature du déploiement, l’exécution de la politique de mitigation contre le trafic dû aux attaques doit être réalisée sans faux-positifs, avec un niveau de débit performant et une efficacité maximale en termes de sécurité. La technologie sur site est conçue pour gérer les attaques volumétriques du réseau par DDoS, de type SYN Flood, les attaques par réflexion et usurpation amplifiées** frauduleuses, utilisant par exemple les protocoles DNS et NTP ou les attaques de la couche applicative qui sont presque impossibles à détecter avec les solutions hors site de mitigation des attaques DDoS.

L’ approche mixte est sans doute la solution
Comme l’a mentionné récemment le SANS Institute, « des solutions anti-DDoS composées d’équipements sur site, d’équipements des fournisseurs d’accès à Internet et/ou d’architectures de mitigation sont près de quatre fois plus efficaces que les solutions sur site seules ou les solutions de services seuls. La sophistication croissante des attaques DDoS et le caractère sensible de la perturbation des services marchands exigent à la fois une protection locale et une protection en amont, travaillant en totale synchronisation « . L’expérience des entreprises qui ont mis en place avec leur fournisseur de service à la demande un système assis sur la visibilité des attaques apportée par les solutions sur site montrent toute la pertinence de cette analyse
Autre avantage d’une telle approche : le dispositif local réduit considérablement la fréquence de passage à la mitigation cloud, ce qui allège les coûts associés à ces basculements et fournit toujours une protection contre toutes les formes d’attaques par DDoS.

Cette nouvelle stratégie de lutte contre les DDoS fournit aux entreprises le meilleur des deux mondes, en combinant la résilience et la dimension des solutions du cloud computing avec la protection en temps réel, la visibilité sophistiquée et l’inspection granulaire du trafic des solutions sur site. Ce type d’approche constitue une véritable ligne de défense avancée contre la panoplie des menaces DDoS qui évoluent en permanence. (Par Adrian Bisaz, Vice President Sales EMEA de Corero Network Security))

*Les attaques à volume important représentent moins que 20% des attaques par déni de service. La plupart sont inférieures à la bande passante de l’accès.
**En quoi consiste une attaque par réflexion ? C’est une attaque où le pirate ment sur son adresse IP. Il envoie des paquets avec une adresse IP source qui n’est pas la sienne. Les réponses à ces paquets mensongers sont envoyées à l’adresse IP source indiquée, c’est-à-dire celle de la victime. Le trafic reçu par la victime peut être énorme en raison de l’amplification. Les attaques par déni de service par réflexion utilisent un protocole comme DNS ou NTP.