Archives par mot-clé : DOS

Cyber-attaque, DDoS, Piratage

DDoS : plus loin, plus fort

Une nouvelle enquête étudie les conséquences des attaques par DDoS et qualifie la réaction des entreprises face aux menaces actuelles.

Corero Network Security, spécialiste des solutions de sécurité contre les attaques par DDoS avec Première Ligne de Défense, publie les résultats d’une enquête menée lors d’Infosecurity en Europe et de la Conférence RSA 2015 aux Etats-Unis. Plus de la moitié des professionnels de la sécurité (52%) déclarent que la perte de confiance des clients est la conséquence la plus néfaste des attaques DDoS pour leurs entreprises. En outre, un cinquième des répondants (22%) indique que les attaques DDoS ont un impact direct sur leurs résultats – perturbant la disponibilité du service et empêchant que l’activité soit génératrice de revenus.

« La capacité d’une entreprise à maintenir la disponibilité du service pendant une attaque DDoS est primordiale pour conserver la clientèle, ainsi que pour gagner de nouveaux clients, sur un marché très concurrentiel », déclare à DataSecurityBreach.fr Dave Larson, CTO et Vice-Président Produits chez Corero Network Security. « Quand un utilisateur final se voit refuser l’accès à des applications Internet ou si des ralentissements le gênent, le résultat financier est immédiatement impacté. »

Un cinquième des personnes interrogées citent l’infection par virus ou par logiciel malveillant comme la conséquence la plus destructrice d’une attaque DDoS, alors que pour 11%, le vol de données ou la perte de propriété intellectuelle résultant d’une attaque DDoS reste le plus préoccupant.  Les attaques par DDoS sont souvent utilisées comme technique de diversion avec une arrière-pensée. Leur intention n’est pas toujours le déni de service. Il s’agit plutôt d’un moyen détourné, destiné à affaiblir les défenses sécuritaires, submerger les outils de logging et distraire les équipes informatiques tandis que diverses formes de malware se faufilent.

Près de la moitié des personnes interrogées admettent n’agir que par réaction aux attaques DDoS. Lorsqu’on leur demande comment elles savent qu’elles ont subi une attaque DDoS, 21% citent comme indicateur de l’attaque les plaintes des clients pour un problème de service, 14% les pannes d’infrastructure (par exemple, lorsqu’un pare-feu tombe), tandis que 14% évoquent les défaillances des applications, tel un site Web en panne pour les alerter qu’un DDoS est en cours. En revanche, moins de la moitié des répondants (46%) est capable de détecter par avance le problème, grâce à l’utilisation d’autres outils de sécurité réseau, remarquant les pics élevés de bande passante, signe avant-coureur qu’une attaque est imminente.

«  C’est malheureux – mais encore bien trop fréquent – que ce soit vos clients qui vous alertent d’une interruption de service. D’un point de vue technique, il est beaucoup plus difficile de faire face à une panne si vous n’êtes pas sur la défensive. La protection en temps réel est réellement le seul moyen pour combattre de manière proactive les attaques DDoS qui ciblent l’entreprise », remarque Dave Larson. « L’utilisation d’un centre de nettoyage hors site pour la mitigation des attaques DDoS revient à jouer au chat et à la souris. Avec 96% des attaques DDoS qui ne dépassent pas les 30 minutes, lorsque la demande de défense est engagée, il est déjà trop tard et les dommages sont faits. »

Environ 50% des personnes qui ont répondu comptent sur les infrastructures informatiques traditionnelles, comme les pare-feu ou les systèmes de prévention contre les intrusions pour se protéger des attaques DDoS ou bien dépendent de leur fournisseur en amont pour faire face aux attaques. Seulement 23% des personnes interrogées ont une protection dédiée contre les DDoS, via une technologie basée sur des appliances sur site ou provenant d’un fournisseur de services cloud anti-DDoS. Il semble cependant que de nombreuses organisations aient pris la mesure des conséquences des attaques DDoS, puisque 32% indiquent qu’elles ont l’intention d’adopter une solution de défense anti-DDoS dédiée pour mieux protéger leur entreprise à l’avenir.

Les attaquants inventent de nouvelles façons d’appliquer la tactique des DDoS et de masquer les logiciels malveillants et autres exploits de vulnérabilité, ce qui montre que le DDoS est un type de menace en mutation que l’entreprise connectée à Internet ne peut pas se permettre de négliger. On ne peut pas décider de compter sur l’infrastructure traditionnelle ou les services en amont pour se protéger contre les fréquentes attaques DDoS de plus en plus sophistiquées. Une technologie dédiée à la protection contre les DDoS, déployée en périphérie immédiate du réseau, ou l’appairage (peering) en mode Internet peut effectivement inspecter tout le trafic Internet et mitiger les attaques DDoS en temps réel, éliminant ainsi la menace sur votre entreprise avant que des dommages ne lui soient infligés.
L’enquête menée par Corero Network Security a étudié l’avis de 100 professionnels de la sécurité informatique présents aux conférences Infosecurity en Europe et RSA aux Etats-Unis. RSA s’est déroulée à San Francisco, en Californie du 20 au 24 Avril 2015 tandis qu’Infosecurity Europe a eu lieu à Londres du 2 au 4 Juin 2015.

Cybersécurité, DDoS, Entreprise, Piratage

Se protéger des attaques DDoS

Un commentaire

Les organisations doivent arrêter de compter sur leurs fournisseurs de services Internet pour les protéger des attaques DDoS et doivent prendre les choses en main. (Par Christophe Auberger, Directeur Technique France chez Fortinet pour datasecuritybreach.fr)

Les attaques par Déni de Services Distribués (DDoS) sont l’une des menaces Internet les plus anciennes et continuent d’être le principal risque pour les réseaux à travers le monde. En même temps que les protections ont évolué, la technologie utilisée par les hackers s’est adaptée et est devenue beaucoup plus sophistiquée. De nouveaux types d’attaques ciblent désormais les applications et services, et sont souvent cachées dans les couches 3 et 4, ce qui les rend difficilement détectables.

En matière d’attaques DDoS, le secteur financier est l’une des cibles privilégiées des cybercriminels, suivie de près par le secteur public. Outre le fait de perturber les opérations Internet par un assaut brutal de données, les attaques DDoS ont récemment été utilisées pour recueillir des informations financières et relatives au commerce en ligne. Ces attaques ont souvent pour objectif de perturber les opérations, principalement en détruisant l’accès à l’information.

Il y a généralement trois catégories de motivations derrière les attaques DDoS: politique, de représaille et financière. Les attaquants politiques ciblent ceux qui ne sont pas d’accords avec leurs convictions politiques, sociales ou religieuses. Lorsqu’un botnet ou un important réseau cybercriminel est démantelé, cela peut déclencher des attaques de représailles contre ceux qui ont aidé ou assisté les autorités. Les attaques motivées par l’argent suivent un schéma « pay-to-play » dans lequel les hackers sont compensés par une tierce partie qui leur demande de mener l’attaque pour elle. Quelle que soit la motivation, le résultat est le même – votre réseau et services en ligne deviennent indisponibles, et peuvent rester ainsi pendant un long moment.

Méfiez-vous des attaques DDoS avancées visant la couche applicative
Il existe de nombreux types d’attaques DDoS largement utilisés aujourd’hui, allant des anciennes méthodes des débuts de l’Internet aux dernières attaques avancées visant la couche 7 et ciblant les applications. L’inondation de requêtes SYN et HTTP GET sont les plus communes et utilisées pour surcharger les connexions réseau ou les serveurs derrière les pare-feux et système de prévention d’intrusion (IPS).

Toutefois, le plus inquiétant est que les attaques visant la couche applicative utilisent des mécanismes beaucoup plus sophistiqués pour attaquer les services et réseau des organisations. Plutôt que d’inonder simplement un réseau avec du trafic ou des sessions, ces types d’attaques ciblent des services et applications spécifiques pour épuiser lentement les ressources au niveau de l’application (couche 7).

Les attaques visant la couche applicative peuvent être très efficaces en utilisant peu de volumes de trafic, et peuvent être considérer comme tout à fait normales par la plupart des méthodes de détection DDoS traditionnelles. Cela rend les attaques visant la couche applicative beaucoup plus difficiles à détecter que les autres types d’attaques DDoS basiques.

Les options en matière de protection DDoS
La plupart des FAI offrent une protection DDoS des couches 3 et 4 pour empêcher les liens des organisations d’être inonder lors d’attaques volumétriques de masse. Cependant, ils n’ont pas la capacité de détecter les plus petites attaques visant la couche 7. Ainsi, les centres de données ne devraient pas uniquement compter sur leur FAI pour bénéficier d’une solution complète DDoS, dont la protection de la couche applicative. Au lieu de cela, ils devraient envisager de mettre en place une des mesures suivantes:

1. Les fournisseurs de services DDoS: Il existe beaucoup de solutions hébergées DDoS basées sur le cloud qui fournissent des services de protection des couches 3, 4 et 7. Elles vont des projets peu couteux pour les petits sites Web jusqu’à ceux pour les grandes entreprises qui requièrent la couverture de plusieurs sites Web. Elles sont en général très faciles à mettre en place et fortement poussées auprès des petites et moyennes entreprises. La plupart offre des options de tarification personnalisée et beaucoup ont des services de détection avancée de la couche 7 à disposition des grandes organisations qui nécessitent que des capteurs soient installés dans le centre de données. Beaucoup d’entreprises choisissent cette option, mais certaines d’entre elles doivent faire face à des frais excédentaires importants et imprévus lorsqu’elles sont frappées par des attaques DDoS en masse. Par ailleurs, la performance n’est parfois pas à la hauteur car les fournisseurs de services redirigent le trafic DDoS vers les centres de protection au lieu de les stopper en temps réel, ce qui est particulièrement problématique pour les attaques de courte durée, qui sont celles généralement rencontrées.

2. Pare-feu ou IPS: Presque tous les pare-feux et système de prévention d’intrusion (IPS) modernes revendiquent un certain niveau de défense DDoS. Les pare-feux nouvelles générations avancés  (NGFW) offrent des services DDoS et IPS et peuvent protéger de nombreuses attaques DDoS. Avoir un dispositif pour le pare-feu, IPS et DDoS est plus facile à gérer, mais peut être submergé par des attaques volumétriques DDoS, et peut ne pas avoir les mécanismes sophistiqués de détection pour la couche 7 que d’autres solutions ont. Un autre compromis à prendre en compte est que l’activation de la protection DDoS sur le pare-feu ou l’IPS peut impacter la performance globale du seul dispositif, entrainant des débits réduits et une augmentation de la latence pour les utilisateurs finaux.

3. Appliances dédiées à la protection d’attaques DDoS: Ce sont des dispositifs matériels qui sont déployés dans un centre de données et utilisés pour détecter et stopper les attaques DDoS basiques (couche 3 et 4) et avancées (couche 7). Déployées au point d’entrée principal pour tout le trafic Web, elles peuvent à la fois bloquer les attaques volumétriques en masse et surveiller tout le trafic entrant et sortant du réseau afin de détecter les comportements suspects des menaces visant la couche 7. En utilisant un dispositif dédié, les dépenses sont prévisibles car le coût est fixé quelque soit la fréquence des attaques, que l’entreprise soit attaquée une fois en six mois ou tous les jours. Les aspects négatifs de cette option sont que ces dispositifs sont des pièces matérielles supplémentaires à gérer, que les unités à faible bande passante peuvent être submergées lors d’attaques volumétriques en masse, et que de nombreux fabricants nécessitent des mises à jour fréquentes en matière de signatures.

Les solutions matérielles dédiées de protection des attaques DDoS existent en deux versions principales – celle pour les opérateurs télécoms et celles pour les entreprises. Les premières sont des solutions complètes conçues pour les réseaux mondiaux des FAI et sont très couteuses. La plupart des organisations qui veulent protéger leurs centres de données privés optent habituellement pour les modèles entreprises qui offrent une détection et protection DDoS rentable. Les modèles d’aujourd’hui peuvent gérer des attaques volumétriques en masse et assurer une protection à 100% des couches 3, 4 et 7 ou peuvent être utilisés pour compléter une protection fournie par le FAI contre les attaques DDoS en masse et assurer une détection et protection avancées de la couche 7. Bien que ces dispositifs nécessitent un investissement initial, ce qui n’est pas le cas des solutions hébergées, ils sont généralement beaucoup moins chers à long terme si l’on prend en compte les frais excédentaires dans le budget total.

Les entreprises devraient considérer des appliances de protection d’attaques DDoS qui utilisent des méthodes d’adaptation basées sur le comportement pour identifier les menaces. Ces appliances apprennent les bases de référence de l’activité normale des applications et ensuite surveillent leurs trafics par rapport à ces bases. Cette approche d’adaptation/d’apprentissage a l’avantage de protéger les utilisateurs des attaques zero-days inconnues puisque que le dispositif n’a pas besoin d’attendre que les fichiers signatures soient mis à jour.

Les attaques DDoS sont en hausse pour presque toutes les organisations, grandes ou petites. Les menaces potentielles et volumes augmentent à mesure que de plus en plus d’appareils, y compris les téléphones mobiles, accèdent à Internet. Si votre organisation a une propriété Web, la probabilité de subir une attaque n’a jamais été aussi élevée. La nature évolutive des attaques DDoS signifie que les entreprises ne peuvent plus compter uniquement sur leur FAI pour se protéger. Les organisations doivent commencer à effectuer des changements dès à présent pour une plus grande prévoyance et bénéficier de défenses plus proactives pour les services au niveau des applications et du réseau.

Cyber-attaque, Cybersécurité, DDoS

Eviter les Attaques DDoS

Une stratégie de défense multi-couches, une protection du serveur DNS et une visibilité sur l’ensemble de l’infrastructure IT épargneront les entreprises des conséquences et des coûts engendrés par des attaques par déni de services. (Par Christophe Auberger, Responsable Technique chez Fortinet pour Data Security Breach).

Au début, les attaques DDoS étaient de simples attaques par déni de services lancées à partir d’un seul ordinateur. Cependant, avec la prolifération des botnets, elles ont évolué pour devenir l’une des plus grandes menaces dans le monde de la sécurité. Verizon, dans son rapport annuel sur la Violation des Données 2012 (2012 Data Breach Investigations Report), a caractérisé ces attaques comme étant “plus effrayantes que les autres menaces, qu’elles soient réelles ou supposées.”

Le cabinet de recherche Stratecast dans une récente étude a également constaté que les attaques DDoS augmentent de 20% à 45% par an, les attaques DDoS applicatives connaissant, elles, une croissance à trois chiffres. Stratecast a ajouté que les attaques DDoS représentent l’un des outils de prédilection des hackers, souvent dans le cadre d’une stratégie d’attaques multi-techniques.

Plus récemment, les chercheurs ont constaté que les attaques DDoS ont évolué non seulement en termes de fréquence, mais également en termes de bande passante et de durée. Il y a 10 ans, par exemple, des attaques de 50 Gbps étaient observées quelques fois par an seulement. Dorénavant, de telles attaques peuvent se produire presque toutes les semaines.

En outre, les attaques sont plus intelligentes parce qu’elles sont dorénavant mieux maitrisées. Plutôt que de lancer un flux automatisé de données, les assaillants commencent une opération, puis peuvent adapter le type d’attaques ou la cible en fonction du résultat.

Les attaques DDos vont continuer à proliférer alors que de plus en plus d’entreprises autorisent les appareils mobiles au sein de leur réseau. L’équipe de recherche des menaces FortiGuard Labs de Fortinet a constaté que les botnets sur mobiles, tel que Zitmo, ont de nombreuses caractéristiques et fonctionnalités identiques aux traditionnels botnets sur PC. FortiGuard Labs prévoit qu’en 2013, de nouvelles formes d’attaques par déni de services apparaitront, tirant profit à la fois des appareils mobiles et PC.

Et, elles représentent d’énormes pertes. En plus des pertes de revenus dues à l’inaccessibilité, les entreprises doivent supporter les coûts liés à la remise en service et à l’analyse IT, la perte du rendement, les sanctions financières résultant des accords de SLA non tenus, ou encore à l’atteinte à la réputation de la marque.

L’évolution des attaques DDoS souligne l’urgence pour les entreprises à adopter une stratégie de sécurité appropriée. Il y a des mesures proactives que les organisations peuvent prendre pour renforcer les défenses et réduire le risque d’attaques. Plutôt que de viser à supprimer entièrement le trafic DDoS, une stratégie DDoS doit chercher à maintenir les services – en particulier les services critiques – avec un minimum d’interruption. Pour ce faire, les entreprises peuvent commencer par évaluer l’environnement réseau et définir un plan d’intervention. Entres autres, le plan devrait comprendre des efforts de remise en état et de sauvegarde, une surveillance supplémentaire, et des moyens pour restaurer le service aussi rapidement et efficacement que possible.

Pour la protection proactive, les trois principales étapes à suivre sont l’implémentation d’une stratégie de défense multi-couches, la protection des serveurs DNS et autres infrastructures critiques, ainsi que le maintien de la visibilité et du contrôle sur l’infrastructure IT.

Défense Multi-Couches

En matière de protection DDoS, une stratégie multi-couches est essentielle, impliquant des solutions dédiées sur sites, conçues pour combattre et minimiser les menaces provenant de n’importe quelle partie du réseau. Ces outils doivent fournir des techniques empêchant l’usurpation tout en permettant l’authentification des hôtes, le positionnement de seuils spécifiques pour les applications et le trafic, la vérification des protocoles et états, la mise en application des gabarits, les contrôles d’accès basés sur la géolocalisation et les listes noires/blanches.

Lorsqu’elles envisagent des solutions dédiées DDoS, les organisations doivent s’assurer que celles-ci leur permettront de détecter également les attaques DDoS applicatives et de bloquer efficacement tous les modèles et techniques des attaques DDoS, qu’ils soient classiques, génériques ou personnalisés. Egalement, ces solutions doivent « apprendre » à reconnaitre les types de comportement basés sur le flux du trafic, qu’ils soient acceptables ou anormaux. Ce profilage de trafic est essentiel car cela permet de détecter et de freiner plus rapidement les menaces tout en réduisant les faux positifs.

Pour une meilleure efficacité opérationnelle, les entreprises doivent également envisager des solutions DDoS qui offrent des fonctionnalités de virtualisation et de géo-localisation avancées.

Grâce à la virtualisation, les administrateurs des politiques peuvent établir et surveiller plusieurs domaines indépendants de politiques dans un seul dispositif, empêchant les attaques affectant un segment de réseau d’impacter les autres. Ce mécanisme est également efficace dans l’escalade de la défense – plutôt que de s’appuyer sur un seul ensemble de politiques, les administrateurs IT peuvent en définir plusieurs à l’avance, ce qui permet d’appliquer un ensemble de politiques plus rigoureux si les précédentes sont insuffisantes.

Les technologies de géolocalisation, d’autre part, permettent aux entreprises de bloquer le trafic malveillant en provenance de sources inconnues ou étrangères et suspectes. Cela réduit la consommation d’énergie et de charges sur les serveurs backend en éliminant le trafic des régions qui ne sont pas concernées par le marché et la couverture géographique de l’organisation.

Protéger les serveurs DNS

Dans la cadre d’une stratégie globale défensive, les organisations doivent protéger leurs infrastructures et actifs critiques. De nombreuses entreprises maintiennent leurs propres serveurs DNS pour assurer la disponibilité Web, cependant ces serveurs sont souvent les premiers systèmes ciblés lors d’une attaque DDoS. Une fois que les serveurs DNS sont touchés, les assaillants peuvent facilement stopper les opérations Web d’une organisation, créant une situation de déni de services. Les solutions de protection DNS disponibles sur le marché aujourd’hui peuvent protéger contre les mécanismes d’intrusion utilisant l’authentification des transactions ou l’application de ports sources aléatoires.

Maintenir le Contrôle et la Visibilité sur l’Infrastructure

Les organisations doivent rester vigilantes et surveiller leurs systèmes avant, pendant et après une attaque. Ce n’est un secret pour personne, avoir une représentation globale de l’environnement IT permet aux administrateurs de détecter les aberrations du trafic réseau et de détecter les attaques plus rapidement, tout en leur fournissant des analyses et renseignements pour mettre en œuvre des techniques de prévention et de minimisation des attaques appropriées. Les meilleures défenses intègreront une surveillance continue et automatisée, avec des systèmes d’alertes qui sonnent l’alarme et déclenchent le plan d’intervention en cas de détection de trafic DDoS.

Il est important d’avoir une visibilité et un contrôle précis sur le réseau. Cette visibilité sur le comportement réseau aide les administrateurs à trouver la cause de l’attaque et à bloquer le trafic des flux tout en permettant au trafic légitime de passer librement. Cela permet également aux administrateurs d’analyser les attaques de manière historique et en temps réel dans le cadre d’enquêtes approfondies. En outre, les caractéristiques avancées de suivi des sources peuvent aider les efforts de défense en localisant l’adresse d’une attaque non-usurpée, et peuvent même contacter l’administrateur du domaine du contrevenant.

Attirer l’Attention des Entreprises

Les attaques DDoS – comme d’autres menaces de sécurité – continueront de croitre et seront plus effrénées dans le futur. La nature évolutive des technologies DDoS obligera les entreprises à changer de mode de pensée, impliquant une plus grande prévoyance et des défenses plus proactives. Par conséquent, les organisations doivent renforcer leurs plans d’intervention et évaluer leur infrastructure réseau vis-à-vis des menaces DDoS actuelles. Cela passe par le renforcement des défenses des serveurs critiques et par la priorisation des données. Il faut également implémenter des moyens de gestion et de surveillance pour une compréhension globale de l’ensemble du réseau. Enfin, les administrateurs IT devraient être capables de mettre en oeuvre des mesures de protection qui identifient rapidement la source de la menace, minimisent l’impact de l’attaque, et rétablissent le service dès que possible.

Ce ne sont qu’avec ces mesures que les entreprises cesseront de s’inquiéter des attaques DDoS, aussi paralysantes soient-elles,  et pourront se recentrer sur leur activité.

Cyber-attaque, DDoS, Piratage

Cyber-attaques d’entreprises : de plus en plus d’inquiétude

Datasecuritybreach.fr a reçu une étude indépendante, commandée par Corero Network Security, leader mondial des systèmes de défense contre les attaques par déni de service (DoS/DDoS) et les intrusions en première ligne de défense, qui indique que les entreprises redoutent plus que jamais de devenir la cible d’attaques par déni de service distribué (DDoS).

Cette enquête réalisée auprès d’entreprises britanniques révèle que 41% des responsables informatiques sont « très » ou « extrêmement » préoccupés et craignent d’être victimes d’une attaque, contre 29% en 2012. Réalisée par l’Institut de sondages Vanson Bourne, l’enquête compare l’attitude de 100 moyennes et grandes entreprises, au cours des deux dernières années. Ce sondage dévoile également que le nombre d’entreprises ayant eu à faire face à des attaques a atteint 25% en 2013, contre 18% en 2012. Les responsables informatiques du secteur financier sont les plus inquiets. Actuellement, 56% d’entre eux expriment un niveau de préoccupation élevé ou extrême contre 28% l’année dernière.

Une impression de protection trompeuse 31% des personnes interrogées disent avoir déjà mis en place une technologie anti-DDoS spécialisée. 36% déclarent ne compter que sur leur pare-feu pour les protéger des attaques DDoS et ne projettent pas d’accroître leur protection. Par contre, 24% disent avoir l’intention d’acquérir une technologie anti-DDoS spécifique en plus du pare-feu en place.

Les analystes s’accordent à penser que les entreprises estiment être protégées contre les attaques ciblées comme les DDoS, alors qu’en fait, elles se réfèrent à des technologies de sécurité traditionnelles. Il semblerait que beaucoup comprennent l’évolution des menaces actuelles mais surestiment leur propre capacité à les contrer.

Fun, argent et espionnage Une évolution majeure par rapport au sondage de l’année dernière, porte sur les motivations des attaques. En 2012, les motifs politiques ou stratégiques étaient le plus souvent invoqués. C’était la principale motivation pour 33% des personnes interrogées. En 2013, 36% des sondés estiment également que c’est « juste pour rire ». Cependant, les motivations varient radicalement d’un secteur économique à l’autre. Les secteurs de la distribution et des finances considèrent que l’extorsion d’argent est la motivation principale des attaques, le secteur industriel pour sa part invoque unanimement les raisons politiques. Une autre conclusion intéressante de l’enquête est la variété des attaques ciblées et leur sophistication croissante. 33% des attaques ciblées sont des attaques DDoS de la couche applicative, 37% des attaques volumétriques et 30% des attaques d’un autre type ou des attaques zero-day. Emmanuel Le Bohec, Regional Manager de Corero Network Security en France, commente à Data Security Breach : « Il est intéressant de noter qu’en dépit de l’augmentation significative de protection contre les attaques par déni de service au cours de l’année passée, les responsables informatiques redoutent plus que jamais la menace d’une attaque. Il ressort en outre clairement de cette enquête que les responsables IT n’appréhendent toujours pas la variété et la sophistication des attaques DDoS ainsi que les risques pris par leurs entreprises en faisant confiance à leur seul pare-feu pour les protéger. »

DDoS, Piratage

Cyber-attaques : la menace s’amplifie, la résistance s’organise

Dire que les attaques par DDoS (Déni de Service Distribué) sont de plus en plus fréquentes et de plus en plus graves est une lapalissade. La menace est diffuse, souvent discrète, mais bien réelle. La gravité du phénomène est difficile à cerner avec précision, mais on peut affirmer que la plupart des grandes entreprises et administrations ont subi des intrusions. Plusieurs études révèlent en effet que 65 à 70 % des entreprises ont été victimes de cyber-attaques ciblées en 2012. Une enquête de Ponemon Institute aux Etats-Unis dévoile que l’année dernière, les deux tiers des banques et entreprises du secteur financier  ont été frappées par des attaques DDoS. Pourtant, seules 17% d’entre elles se disent bien protégées.

L’alerte est donnée Autrefois, servant exclusivement dans les tentatives d’intrusion pour désactiver des équipements réseau ou sécurité, puis plus récemment utilisées comme moyen d’expression idéologique par les Anonymous – bien que ce but annoncé puisse parfois laisser dubitatif – les cyber-attaques apparaissent désormais comme un problème beaucoup plus grave et plus global, devenu surtout géopolitique et économique. Bien que peu d’entreprises admettent encore publiquement en être la cible, certains éléments montrent qu’il s’agit d’un phénomène généralisé. La question est assez préoccupante pour que l’administration américaine ait donné l’alerte et milite activement pour une meilleure protection des infrastructures du pays En effet, les États-Unis, particulièrement concernés, prennent la chose très au sérieux. Les responsables des services de renseignement ont récemment fait part au Sénat de la vulnérabilité de la nation face au cyber-espionnage, au cyber-crime et à la destruction des réseaux informatiques, à la suite d’attaques menées par certains états, par les cyber-terroristes, les cybercriminels ou encore les hacktivistes. En France, on note un certain retard de prise de conscience de la menace malgré l’alerte donnée par Jean-Marie Bockel et la montée en puissance de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), appartenant aux services du Premier Ministre. Dans son rapport, le sénateur critique les moyens alloués par l’Etat pour se défendre contre des attaques informatiques de grande ampleur et contre une cyber-guerre. On ne peut que s’inquiéter de cette situation. Bercy, l’Elysée – tout comme des institutions publiques de plusieurs pays – n’ont-ils pas déjà été l’objet d’attaques ?

Le risque du chaos La lutte contre les cyber-attaques s’inscrit dans une conception globale de défense. Elle est aujourd’hui devenue prioritaire, au même titre que la lutte contre le terrorisme ou la prolifération nucléaire, et tout ce qui risque de mettre en cause la sécurité nationale. La remise prochainement au gouvernement du Livre blanc « Sécurité & Défense 2013 » insiste bien, à la fois sur cette nécessité et sur le retard pris par la France. Des mesures de protection propres aux activités socio-économiques doivent être prises, tout comme elles le sont pour la sécurité du territoire ou la garantie des institutions. Cela devrait se traduire en particulier par la prise de dispositions rendant obligatoire la mise en place d’outils de sécurité sur les systèmes d’information. L’attaque des systèmes d’information ne pourrait-elle pas conduire à la prise de commande des organes vitaux de la Nation, via les fameux Opérateurs d’Importance Vitale (OIV), menant au chaos dans les transports, l’énergie, la distribution, les médias et la finance ? Cette éventualité est prise très au sérieux et ne relève pas d’un scenario de film catastrophe.

Data Securit Breach se pose la question : Mensonge ou aveuglement ? Devons-nous craindre un manque de moyens de défense face à la multiplication des agressions subies par les entreprises ? On observe une lente mobilisation des Etats et une prise de conscience encore très limitée des entreprises dans le monde. Beaucoup, lorsqu’elles n’y sont pas obligées, ne signalent pas les attaques qu’elles subissent, craignant pour leur image. Ce qui est potentiellement dangereux pour leurs clients, leurs partenaires… et tous ceux qui échangent régulièrement avec elles. La prise de conscience n’est pas partagée par tous et le déni des attaques s’apparente à l’aveuglement, allant même jusqu’au mensonge sur la gravité des faits.

Aux Etats-Unis, les 27 plus grandes entreprises américaines cotées en bourse, ont nié avoir enregistré des pertes financières importantes à cause des attaques subies. Cela est contraire aux affirmations des autorités fédérales américaines pour lesquelles des milliards de dollars de secrets confidentiels ont été dérobés par ce biais. Le décalage s’explique. Les sociétés déclarent qu’elles ont été attaquées mais minimise les conséquences.

Le rapport Bockel préconise également l’obligation de déclarer les attaques importantes du système d’information. Informer qu’on a été attaqué est sans aucun doute une démarche responsable. Bien qu’elles soient encore trop peu, on note que de plus en plus d’entreprises prennent vraiment conscience des dangers du piratage informatique, en révélant les tentatives des hackers pour infiltrer leurs réseaux et dérober des données sensibles. C’est le cas par exemple d’EADS et ThyssenKrupp, qui selon Der Spiegel ont été les cibles, l’année dernière, de cyber-attaques venues de Chine. Officiellement, EADS confirme qu’il s’agit d’une « attaque standard » sans conséquence. Mais pour l’hebdomadaire allemand, la cyber-attaque a été jugée suffisamment importante pour que le groupe aéronautique et aérospatial civil et militaire alerte le gouvernement allemand.

Le cyber-espionnage s’amplifie Les attaques DDoS augmentent en fréquence mais aussi en gravité. Au-delà des attaques impliquant un très gros débit, ce sont surtout les attaques par déni de service applicatif qui ont le vent en poupe. Plus faciles à mettre en œuvre, plus discrètes, elles n’en sont pas moins dévastatrices et représentent désormais entre 60 et 80% des attaques, selon les études. Et la tendance ne semble pas prête à s’inverser. Mais le plus important est de comprendre que les attaques par déni de service, quel que soit leur type, ne sont que la partie émergée de l’iceberg. L’attaque vise en réalité à pénétrer le réseau de l’entreprise-cible. D’ailleurs, les entreprises sont les premières visées car détentrices de brevets, de données personnelles, financières, géographiques, météorologiques, sanitaires… Et, chaque attaque par déni de service majeure a donné lieu par la suite, à une seconde vague prenant la forme d’une divulgation d’informations volées au moment de l’attaque. Comme si, au cas où les effets du DDoS n’auraient pas été suffisamment remarqués et la réputation de l’entreprise entachée, l’attaquant voulait s’assurer que ses actions éclatent bien au grand jour et soient révélées au plus grand nombre. Chaque entreprise, PME ou grand compte, est une cible potentielle pour les criminels informatiques. A la demande de Corero Network Security, le Ponemon Institute a mené une enquête. 650 professionnels de l’informatique et de la sécurité, représentant 351 banques dont les plus importantes au monde, ont été interrogés. Il s’avère que 64% des professionnels sondés révèlent que leur banque a subi de multiples attaques DDoS en 2012 et 78% d’entre eux s’attendent à ce que le phénomène persiste voire s’amplifie. Les attaques DDoS et les attaques zero-day –  qui exploitent une vulnérabilité jusqu’alors inconnue – sont les menaces les plus graves. On observe d’ailleurs de plus en plus la combinaison des deux. Une personne sur deux interrogées dans le cadre de l’enquête, déclare que la pénurie de personnels compétents, le manque de technologies de sécurité efficaces et l’insuffisance de ressources budgétaires sont les obstacles majeurs qui empêchent de contrer les attaques par déni de service distribué.

Toute entreprise connectée à Internet peut subir une attaque DDoS. Pourtant, on s’aperçoit avec inquiétude que la grande majorité des organisations compte sur des solutions inefficaces (parce que non conçues pour cela) comme les anti-virus et les pare-feu pour se protéger contre ces attaques par DDoS.

Chaque technologie doit pouvoir jouer son rôle Face à ce danger omniprésent, l’inquiétude est légitime. Nos entreprises sont-elles bien préparées à contrer les attaques de nouvelle génération ? Font-elles les bons choix techniques et stratégiques de défense ? Des solutions nouvelles existent pour résister à la déferlante des attaques DDoS, des attaques ciblées, des botnets, des attaques force-brute et empêcher la fuite et le vol de données. Datasecuritybreach.fr vous rappelle qu’il s’agit d’unités qui filtrent les flux et éliminent le trafic de l’attaque avant qu’il ne frappe le réseau et sans que le trafic légitime ne soit ralenti ou bloqué. Parce que les attaques DDoS visent de plus en plus fréquemment la couche applicative du système d’information, une nouvelle approche est nécessaire pour se défendre. La technologie traditionnelle des pare-feu, proxies et IPS détectant sur signatures, n’a pas été conçue pour arrêter les attaques visant la couche applicative et cherchant à simuler des acteurs légitimes. Les attaquants le savent.

De plus, l’attaque par DDoS n’est parfois qu’une diversion pour pénétrer sur le réseau et effectuer une invasion plus insidieuse. Pour ce faire, les pirates ciblent le pare-feu, mis en place par l’organisation pour se protéger et qu’ils utilisent contre elle ! Aussi convient-il de disposer une première ligne de défense – moyen simple pour bloquer le trafic indésirable avant qu’il n’atteigne le pare-feu et l’IPS – laissant ces derniers faire le travail pour lequel ils ont été conçus. Pourquoi s’en priver ? Les attaques n’arrivent pas qu’aux autres. Par Emmanuel Le Bohec, pour Data Security Breach, Regional Manager chez Corero Network Security.

Cyber-attaque, DDoS, Entreprise

Un DDoS géant perturbe Internet

10 commentaires

Une attaque informatique à l’encontre d’un spécialiste de la lutte contre les spams perturbe l’Internet. Spamhaus, une entité basée en Suisse qui s’est donnée pour mission de publier des « listes noires » de serveurs utilisés dans des diffusions massives de spams, des courriels non sollicités. 80% des blocages des pourriels seraient réussis grace à SpamHaus. Depuis quelques jours, une attaque de type DDoS (Dénis Distribués de Service) perturbe le fonctionnement de SpamHaus… et du réseau des réseaux. Matthew Prince, de chez CloudFlare, indique n’avoir jamais vue une attaque prendre une telle ampleur. Tout a débuté la semaine derniére, les Suisses ont placé dans la liste noire du moment le site internet néerlandais Cyberbunker. Motif, le portail serait un repére de pirates et autres spammeurs. « Spamhaus n’a pas été en mesure de prouver ses allégations » indique CyberBunker.

Le New York Times fait parler un « porte-parole » des pirates assaillants. Sven Olaf Kamphuis indique que l’attaque est en représaille contre Spamhaus, qui « abuse de son influence« . L’attaque DDoS a une telle impacte qu’elle aurait « freinée » le débit web, en Europe. A l’AFP Johannes Ullrich, de l’institut de technologie américain SANS, explique que cette attaque est dix fois plus puissantes que les derniérs DDoS enregistrés. Il est vrai que se manger 300 gigabytes de données par seconde, ca à de quoi bloquer des serveurs ! Data Security Breach trouve que le plus inquiétant n’est pas l’attaque en elle même, mais sa facilité de mise en place. Les pirates ont tout simplement profité des vulnérabilités des serveurs DNS. Bilan, chaque attaque est multipliée par 100. Voir Open Resolver Project pour en savoir plus.

Internet a-t-il failli être coupé par une attaque de grande ampleur ?

A cette question que tout le monde se pose en ce moment, la réponse est oui. Avec les attaques qui ont eu lieu récemment et on encore lieu à certaines échelles, Internet a été, tout au moins, déstabilisé pendant plusieurs heures. Que vous ayez un téléphone portable en 3G, un ordinateur pour surfer sur votre site préféré ou voulu recevoir des mails d’outre atlantique, vous avez peut être tous senti à plus ou moins grande échelle des ralentissements.

L’attaque informatique derrière cette déstabilisation est connue, mais n’avait jamais été menée à cette ampleur. Les DDOS et plus spécifiquement les DrDOS sont des attaques par amplification de trafic, ou pour faire simple, les attaquants utilisent des serveurs et des réseaux mal configurés comme des amplificateurs. Ils transforment une ou plusieurs connexions de tailles honorables (mais que tout le monde peut s’offrir pour quelques dizaines d’euros par mois) en canons à trafic de très grande ampleur. Pour prendre une image plus parlante, cela revient à transformer une balle de pistolet en une pluie de munitions. Avec une telle arme, pour chaque « balle » tirée à l’origine, plusieurs centaines de milliers de projectiles arrivent à destination…

Il est important de comprendre cependant qu’aussi puissantes soient ces attaques, elles sont temporaires par essence. Leurs durées de vie se comptent en heures, en dizaines d’heures au maximum, Internet n’est donc pas en risque d’être définitivement « cassé » mais en risque d’être très embouteillé, pendant un long moment. Une question de fond demeure, ces embouteillages dureront-ils très longtemps et seront-ils fréquents ou bien les autorités vont-elles réagir et forcer la prise de mesures concrètes ?

Le laxisme et l’avidité au cœur du problème

Car ce qui rend possible ces attaques, ce sont deux problèmes fondamentaux, tous deux possibles à régler. En effet, ces attaques sont rendues possibles par des serveurs mal configurés. Cette fois-ci ce sont les serveurs DNS qui sont concernés, l’un des services indispensable au fonctionnement d’Internet, qui convertit les noms (comme www.datasecuritybreach.fr) en adresse numériques (dites IP) compréhensibles par les ordinateurs et serveurs. En l’occurrence, ces DNS « ouverts » étaient parfois laissés accessibles en tant que service à la communauté, souvent laissés ouverts par d’autres administrateurs moins compétents par manque de connaissance ou de temps.  Mais auparavant, c’était les protocoles utilisés par les serveurs de jeux sur Internet et d’autres sources sont également possibles à exploiter par les pirates. Le point commun à tous ces supports d’attaques est que les personnes ayant soit développé soit déployé ces services ont mal configuré leurs serveurs et permis à ces attaques d’avoir lieu.

Le second problème est lui très matériel. Il y a des grands bénéficiaires à ces flux démesurés. Pour commencer par le point important, ces attaques ne devraient pas exister et sont simplissimes à bloquer. Il suffit à chaque entité participant au réseau Internet de n’acheminer que les paquets légitimes, provenant réellement de son réseau. Actuellement ce n’est pas le cas. En effet, de très nombreux opérateurs (dont les plus grands Français, Allemands et US) ne filtrent pas les paquets transitant par leurs réseaux et acheminent des paquets qu’ils savent illégitimes.

Ces attaques reposent sur un mécanisme central clé : le fait que l’adresse source, l’identité numérique de l’attaquant est faussée. Cette méthode, appelée le spoofing, est laissée libre à l’utilisation de chacun alors qu’il n’est que normal et logique que chacun ne transporte que les paquets réellement issus de son réseau. Cela revient exactement au même que de transporter des valises d’inconnus que l’on vous aurait remis à l’aéroport. Pourquoi le font-ils ? Car les opérateurs de niveau 2 se facturent le trafic envoyés entres eux. En résumé, plus ils envoient de trafic, plus ils facturent le voisin qui reçoit ce trafic. DataSecurityBreach.fr le confirme, c’est donc une raison très monétaire qui les motive plus qu’une très théorique impossibilité technique derrière laquelle ils se cachent pour ne pas résoudre le problème.

La guerre des boutons 2.0

Cette attaque est par bien des aspects uniques. Unique car elle a visé les plus gros « tuyaux » d’Internet (les tiers 1), ce qui est atypique et à bien failli couper tout le réseau pendant quelques heures. Elle est aussi unique par la violence et son ampleur. A notre connaissance, aucune attaque n’avait encore atteint une telle ampleur, avec près de 300 Gbps de trafic vu par les grands opérateurs par moment. Les plus gros points d’échange d’Internet n’acceptent que 100 Gbps, là où cette attaque a dépassé les 300 Gbps par endroits dans le réseau mondial…

Cela représente, disons 1 million de voitures circulant sur une route où l’on en attend 100 000 en général au grand maximum. C’est l’équivalent de plusieurs dizaines de milliers de connexions ADSL classiques qu’il faudrait réunir à plein débit à un instant donné pour atteindre un tel volume. Un très gros canon à paquet donc et cela n’est encore qu’une partie du trafic maximal généré par cette attaque. Unique enfin par sa cible et son origine. Pour une cause qui ne nécessite très probablement pas une telle Vendetta, le spam, Internet a été déstabilisé quelques heures. On ne règle pas les bagarres de gamins dans une cours de récré à coup de taser et de flashball, on ne règle pas un différend avec Spamhaus avec une DDOS de cette taille, cela est déraisonnable.

Unique, cette attaque à malheureusement de grande chance de ne pas le rester car rien n’est fait à l’heure actuelle par les autorités pour forcer des configurations plus efficaces des réseaux opérateurs et des services clef d’Internet. Les solutions sont connues, la volonté de les appliquer manque. Elle ne restera pas unique car mener une telle attaque n’est pas extrêmement complexe, les méthodes sont connues et les personnes capables de les mener se comptent en dizaines de milliers dans le monde, à minima. Bien sûr la très grande majorité d’entre elles sont des personnes raisonnables, mais il suffit d’une seule en l’occurrence pour atteindre un tel résultat…

La structure de base d’internet la rend résiliente à beaucoup de dangers différents, mais d’un autre côté,  certains points clés sont toujours très fragiles et les milieux underground le savent …

Moi vouloir tuer Internet L’architecture principale du DNS peut être mise à terre. Ce n’est pas chose aisée mais un DDOS massif peut la faire plier et donc casser le système de résolution de nom et le processus de diffusion, entrainant ainsi un situation très inconfortable. Le second point que je voulais souligner est que la faille dévoilée par Dan Kaminsky durant l’été 2008 est encore présente sur presque un quart des DNS mondiaux et permet une attaque par cache poisoning, aussi simple que redoutablement efficace.

BGP. Cette partie est aussi sensible et fragile. Les membres de la DFZ (Default Free Zone) sont supposés se faire confiance les uns aux autres les yeux fermés. Nous prenons des routes depuis d’autre AS et diffusons notre routage aux autres membres…Mais si des paquets étranges sont envoyés dans le pré-carré, ils peuvent faire chuter l’ensemble, comme par exemple ce fameux mois d’août 2010, durant lequel le Ripe à mener une expérience qui tourna mal, brisant ainsi beaucoup de routes et dérangeant une partie du trafic Internet pour plusieurs minutes. Les Chinois ont aussi commis leur « erreur », générant un des plus spectaculaires détournements de trafic de l’histoire d’Internet. Il est dit que c’était une erreur (par ceux qui l’ont commise 🙂 ) mais il apparait tout de même comme rien de moins que le plus large et important piratage jamais réalisé sur internet, montrant une fois encore que les piliers d’Internet peuvent encore facilement « trembler sur leurs bases.

L’IPV4 est le plus fondamental des protocoles d’Internet. Il est présent depuis des décennies et à été attaqué de tellement de façon différentes que je ne peux imaginer donner un chiffre pertinent à fournir dans cet article. Quelques points sont cependant sûr concernant IPV4, le protocole est utilisé partout (moins de 8% d’internet est prêt pour IPV6), il comporte de nombreuse erreurs de conceptions, il permet de nombreuse attaque par DDOS, spoofing, sniffing et chacun l’implémente « à sa sauce ». Tout cela fait d’IPV4 le plus utilisé des protocoles de niveau 3 du monde et, bien entendu, le plus connu, testé, reversé et attaqué…

Une lutte de pouvoirs ?

CloudFlare après sa méga panne plongeant des centaines de milliers de sites dans le noir le plus total avait bien besoins d’une énorme publicité. En aidant cette fois des « gentils », c’est pour eux l’occasion rêvée pour redorer cette image ternie. Il n’y a pas que les attaques qui peuvent être amplifiées, il y a aussi les paroles. Oui, car contrairement à ce que raconte certains ahuris, le trafic Internet en Europe n’a pas bougé d’un pouce : chiffres à l’appui. Quant aux évènements, il s’agit bien d’un règlement de compte entre Spamhauss et de véritables cybercriminels aguerris qu’il vaut mieux éviter de chicaner, même pour plaisanter.

Spamhauss est sauvé, CloudFlare devient un super-héros auprès des gentils mais laisse une ouverture béante aux whitecollars du CB-31337 qui ne se font pas prier pour récupérer habillement l’histoire en diabolisant à nouveau Spamhauss (ouvertement critiqué pour avoir le cul entre deux chaises et pour ses méthodes de cowboys) et gagnant ainsi de nouveaux clients. Si vous n’avez pas encore compris, Internet va bien, très bien même. Business is business… Cependant ça démontre une nouvelle fois les faiblesses connues qui peuvent (mais ça ce n’est pas nouveau, disons « qu’ils osent ») être utilisées dans d’autres types d’attaques. Avec ces escarmouches, ils ne font que frapper du poing, peut être un avertissement comme tu le soulignes,… ou simplement une évaluation. Ces gens là ont largement la capacité de mener des offensives nettement supérieures (avec dégâts). A mon sens, il faut se souvenir d’une chose très importante : il n’est pas possible d’évaluer les capacités offensives avec certitude de l’ensemble des acteurs en présence car ils sont connectés indirectement avec divers milieux, autres que l’underground traditionnel. Ils peuvent changer de facette l’espace d’un instant et devenir un bras armé. Mettez une dose d’agences de renseignements, une pincée de politiques… et très franchement, je doute que les moyens déployés, même extra-ordinaires, depuis les claques Estoniennes, Géorgiennes,… suffisent à contre-carrer des attaques disons.. hors normes. Quoiqu’ils pourront certainement mener des investigations, compter les morceaux et tenter de recoller ce puzzle bordélique mais ça sera définitivement trop tard. Rassurez-vous, tant qu’il y aura des enjeux financiers, rien de tout cela n’arrivera. (Avec NBS-SYSTEM)