Trois mesures simples pour aider les entreprises à parer la menace DDoS

Cette chronique explique en quoi consistent les attaques DDoS et propose quelques mesures simples pour en réduire l’impact au minimum ou, dans l’idéal, s’en protéger totalement.

Le risque est bien réel et de plus en plus sérieux
Si vous pensez que votre entreprise est trop petite, dénuée d’intérêt ou encore pas assez riche pour être la victime de choix d’une attaque, détrompez-vous. Toute organisation est une proie potentielle pour une attaque DDoS et la plupart d’entre nous y est vulnérable. Multinationales, administrations ou PME, toutes sont aujourd’hui dans la ligne de mire des cybercriminels. Même les entreprises les mieux sécurisées, disposant d’abondantes ressources financières et de nombreux experts pour assurer leur protection, en ont été victimes : Amazon, Visa, Sony, Monsanto, PostFinance, PayPal, Bank of America…
Ces derniers temps, le nombre d’incidents DDoS a monté en flèche. Les attaques ont également gagné en envergure, avec des volumes de trafic allant bien au-delà des 100 Gbit/s. Une attaque prolongée sur un site marchand asiatique a étélancée par un botnet réunissant plus de 250 000 ordinateurs zombies, dont une grande partie se trouverait en Chine.

Différentes sortes d’attaques DDoS
Au niveau le plus élémentaire, une attaque DDoS est une tentative de rendre une machine ou une ressource réseau inaccessible à ses utilisateurs habituels. Si sa méthode, ses motivations et ses cibles peuvent varier, elle est généralement le fait d’un ou plusieurs individus cherchant à interrompre temporairement ou indéfiniment les services d’un système hôte connecté à Internet.
Il s’agit typiquement de l’action coordonnée de botnets distribués, pouvant mobiliser des centaines de milliers d’ordinateurs zombies, c’est-à-dire des machines infectées précédemment et commandées à distance. Les attaques DDoS consistent soit à inonder de trafic les ressources des serveurs (« force brute »), soit à exploiter des vulnérabilités intrinsèques afin de faire s’écrouler le serveur cible.
Le premier type (flood) se répartit en attaques ICMP (smurf ou Ping, par exemple), SYN (au moyen de faux paquets TCP/SYN) ou d’autres attaques applicatives. Les attaques DDoS de cette catégorie mettent souvent à profit la puissance démesurée de vastes botnets distribués, capables d’envoyer en parallèle une multitude de requêtes dans le but de paralyser les serveurs Web.
Les autres attaques, de type crash, diffusent souvent des paquets mal formés qui tirent parti de failles du système d’exploitation. Les attaques DDoS applicatives essaient de faire tomber les systèmes en exploitant certaines vulnérabilités des applications installées sur les serveurs (par exemple via des débordements de buffer ou des « fork bombs »). Celles véhiculées par les programmes malveillants (malware) peuvent contaminer un système pour le transformer en zombie par le biais d’un cheval de Troie, qui déclenche à son tour le téléchargement d’un agent de botnet.
En outre, les attaques deviennent de plus en plus élaborées. C’est ainsi que les botnets peuvent non seulement bombarder de paquets le serveur ciblé mais aussi établir subrepticement des connexions avec d’autres serveurs pour créer de l’intérieur des volumes gigantesques de fausses transactions applicatives.

Pourquoi des attaques DDoS ?
Les criminels recourent aux attaques DDoS car elles sont peu coûteuses, difficiles à détecter et d’une grande efficacité. Leur faible coût tient à la possibilité d’employer des réseaux distribués de milliers d’ordinateurs zombies dont le contrôle a été pris au moyen de vers ou d’autres méthodes automatisées. Exemple : l’utilisation du ver MyDoom pour le lancement d’attaques de type flood. Du fait que ces botnets sont disponibles sur le marché noir dans le monde entier, un pirate peut en louer les services pour moins de 100 euros afin de lancer une attaque flood ou encore sous-traiter des attaques ciblées pour à peine 5 dollars de l’heure.
Les attaques DDoS sont difficiles à détecter car elles utilisent des connexions normales et imitent le trafic légitime. En conséquence, elles sont redoutablement efficaces car, en général, les serveurs visés commettent l’erreur de faire confiance au trafic entrant et facilitent ainsi les attaques en exécutant les requêtes qui finiront par leur être fatales. Par exemple, dans les attaques flood HTTP-GET (dont MyDoom est une illustration), les requêtes passent par des connexions TCP standard et sont considérées par le serveur Web pour des contenus légitimes.

Des motivations financières ou idéologiques
Les attaques DDoS à motivation financière visent typiquement à extorquer de l’argent ou à nuire à un concurrent. Les méthodes d’extorsion consistent souvent à réclamer une rançon de taille à l’entreprise victime contre la menace d’un déni de service. Par exemple, un site britannique de paris en ligne aurait été mis hors service par une attaque DDoS après avoir refusé de céder à ce type de chantage.
Quant aux attaques imputables à des concurrents sans scrupules, elles sont plus répandues qu’il n’y paraît. Une enquête révèle ainsi que plus de la moitié des attaques DDoS dirigées contre des entreprises américaines sont menées par des concurrents cherchant à s’octroyer un avantage déloyal [1].
Les attaques idéologiques peuvent être lancées par des gouvernements ou par des militants de base. Ces « hacktivistes » cherchent à se faire de la publicité en mettant des bâtons dans les roues à des organisations en vue ou en bloquant des sites représentatifs d’opinions politiques ou de pratiques avec lesquelles ils sont en désaccord. L’un des exemples aujourd’hui les plus connus en est le groupe aux contours flous des Anonymous, qui a revendiqué la responsabilité – et recueilli la publicité – de la paralysie des sites d’organismes de premier plan tels que le FBI ou la CIA et ont ciblé des sites Web dans plus de 25 pays sur 6 continents.

A qui le tour ?
Les intentions des hacktivistes pouvant être aussi variables qu’imprévisibles, toute entreprise risque d’en devenir la cible en tant que symbole de telle ou telle cause. Les sites de grandes entreprises (comme Facebook) ou d’événements majeurs (Jeux olympiques, Championnat d’Europe de football, élections américaines…) sont autant de cibles probables.
Dans le cas d’attaques DDoS lancées par des Etats menant une cyberguerre, les cibles gouvernementales ne sont pas les seules menacées. Ces attaques peuvent également viser des fournisseurs attitrés d’infrastructures stratégiques ou de services de communications ou de transport ou encore chercher à paralyser des serveurs indispensables aux transactions commerciales et financières.
Les services cloud peuvent eux aussi désormais être particulièrement vulnérables aux attaques ciblées. Les sites effectuant des quantités considérables de calculs ou de transactions (à l’exemple des moteurs de recherche ou de sites de datamining) sont déjà souvent à court de ressources et constituent donc également des cibles de choix pour les attaques DDoS.

Ce que peuvent faire les services informatiques

De toute évidence, les services informatiques doivent faire preuve de vigilance et se prémunir contre les attaques DDoS. Selon le cabinet d’analystes Gartner, leur neutralisation doit « faire partie intégrante des plans de continuité d’activité/reprise après sinistre et être incluse dans toutes les offres de services Internet lorsque l’activité est tributaire de la disponibilité de l’accès au réseau » [2].
Pour répondre efficacement à cet impératif, l’entreprise doit être avertie, préparée et résistante aux attaques DDoS.

Un informaticien averti en vaut deux
En termes simples, le service informatique doit bien connaître son fournisseur d’accès Internet de façon à collaborer avec celui-ci à la mise en place d’un plan de riposte efficace. Dans de nombreux cas, le FAI peut constituer la première ligne de défense contre les attaques DDoS.
L’informatique doit savoir où se situent ses goulets d’étranglement, c’est-à-dire les points du réseau les plus susceptibles d’être saturés par une attaque DDoS : accès Internet, pare-feu (firewall), système de prévention d’intrusion (IPS), répartiteur de charge, serveurs. En outre, elle doit étroitement surveiller ces points potentiels de défaillance en présence d’une attaque afin de déterminer s’il convient de renforcer ou d’optimiser leurs performances et leur résistance.
Enfin, les équipes informatiques doivent connaître le trafic de leur réseau car il est impossible de contrôler ce qui ne se voit pas. Par conséquent, il leur faut surveiller et analyser le trafic aussi bien entrant que sortant afin de détecter les volumes ou schémas inhabituels permettant d’identifier des sites ciblés ou de repérer des botnets au sein du réseau. Une préparation complète exige également une visibilité sur le trafic au niveau de la couche 7 pour identifier et maîtriser les attaques DDoS applicatives et mixtes.

Bien se préparer
Le service informatique doit investir dans l’évaluation et la mise en œuvre de contre-mesures appropriées (produits et services). Par exemple, certains firewalls de nouvelle génération intègrent des fonctions de détection et de prévention des intrusions permettant de contrer les attaques DDoS connues, dont la liste peut être mise à jour automatiquement au moyen de signatures actualisées en continu.
Dans l’idéal, le firewall utilisé doit scruter en profondeur le trafic à la fois entrant et sortant
– y compris à l’intérieur des applications – et alerter les responsables sur les schémas suspects. L’informatique doit s’assurer que la solution de firewall permet de pallier les attaques DDoS en bloquant, filtrant ou redirigeant le trafic en fonction de schémas, de volumes ou de caractéristiques donnés.
Pour compléter ce dispositif, on peut également envisager l’emploi d’un logiciel d’analyse de flux de trafic capable d’examiner les données par application ou par utilisateur, sur différentes périodes, et de les mettre en corrélation à partir de sources multiples, à l’image de NetFlow ou d’IPFIX.
Sur le long terme, les responsables informatiques doivent se tenir au courant des nouvelles technologies pouvant venir compléter leur arsenal, telles que la géolocalisation IP, qui peut faciliter l’identification géographique des sources suspectes de paquets entrants.

Nécessité d’une capacité de résistance
Comme nous l’avons vu, les attaques par déni de service consistent à submerger et engorger les systèmes. Autant que possible, l’informatique doit améliorer la résistance du réseau au moyen de composants hautement redondants et performants, ainsi que d’une gestion de la bande passante à base de règles.
Par exemple, certains firewalls de nouvelle génération peuvent combiner une architecture multicœur massivement scalaire et une technologie d’analyse approfondie des paquets quasiment à la vitesse du réseau permettant d’examiner simultanément des menaces et des applications multiples en présence de tailles de fichiers et de connexions illimitées, à des débits de l’ordre de plusieurs gigabits. Il est possible de configurer les firewalls de ce type de manière à optimiser les performances et la souplesse face aux attaques, avec haute disponibilité actif/actif, contrôle intelligent des applications et priorisation de la bande passante.

Conclusion
Dès lors qu’une entreprise est active sur Internet, la question n’est sans doute pas de savoir si mais quand elle sera la cible d’une attaque DDoS. Or il existe de nombreuses solutions pour réduire voire éviter l’impact. Le service informatique doit travailler en étroite collaboration avec la direction afin que l’entreprise soit avertie des vulnérabilités potentielles, se prépare par la mise en place de contre-mesures appropriées et renforce sa résistance au moyen de composants de sécurité réseau hautement performants et redondants.

--------------------
[1] Enquête Corero Network Security, 2012.
[2]
« Hype Cycle for Infrastructure Protection, 2011 », août 2001. Gartner, Inc.

 

[Source : Journal du Net]


Sur le(s) même thème(s) :