Par Steve Liddon, Architecte senior, Ing\u00e9nierie des produits et des solutions<\/p>\r\n\r\n\r\n\r\n
<\/p>\r\n\r\n\r\n\r\n
<\/p>\r\n\r\n\r\n\r\n
Avant d\u2019entrer dans le vif du sujet, rappelons les \u00e9l\u00e9ments de base.<\/p>\r\n\r\n\r\n\r\n
D\u2019un point de vue g\u00e9n\u00e9ral, une attaque par d\u00e9ni de service distribu\u00e9 (DDoS) est comme un embouteillage impr\u00e9vu qui se produit au pire moment possible, engorgeant la\u00a0M\u00e9tropolitaine en dehors des heures de pointe, vous emp\u00eachant d\u2019arriver \u00e0 temps pour votre r\u00e9servation au restaurant. Plus pr\u00e9cis\u00e9ment, il s\u2019agit d\u2019une tentative malveillante de perturber les activit\u00e9s normales et de forcer une p\u00e9riode d\u2019indisponibilit\u00e9 sur un serveur, un service ou un r\u00e9seau cibl\u00e9 en l\u2019inondant de trafic Internet non d\u00e9sir\u00e9.<\/p>\r\n\r\n\r\n\r\n
Cela fait deux ou trois ans que les choses sont difficiles sur la dorsale Internet. Avec la pand\u00e9mie, la soci\u00e9t\u00e9 a chang\u00e9 ses habitudes pour se tourner massivement vers les services en ligne afin de tout obtenir, de l\u2019\u00e9picerie aux soins de sant\u00e9, en passant par l\u2019\u00e9ducation en ligne, le commerce \u00e9lectronique, les services de diffusion en continu et bien plus encore. L\u2019id\u00e9e du travail \u00e0 distance a \u00e9t\u00e9 un changement particuli\u00e8rement important, passant d\u2019un avantage d\u00e9sirable \u00e0 un mode de travail par d\u00e9faut.<\/p>\r\n\r\n\r\n\r\n
Cela a d\u00e9clench\u00e9 un \u00ab\u00a0d\u00e9luge\u00a0\u00bb d\u2019activit\u00e9s de la part d\u2019acteurs malveillants cherchant \u00e0 perturber le plus grand nombre possible de personnes et \u00e0 extorquer de l\u2019argent \u00e0 leurs cibles. Certains secteurs ont \u00e9t\u00e9 frapp\u00e9s de plein fouet par les attaques\u00a0DDoS, mais avec les politiques de t\u00e9l\u00e9travail, toutes les organisations, grandes et petites, sont des victimes potentielles. Le simple blocage d\u2019un acc\u00e8s\u00a0RPV permet d\u2019emp\u00eacher les employ\u00e9s de se connecter \u00e0 leur entreprise et donne lieu \u00e0 un gaspillage de ressources, car celles-ci ne peuvent plus accomplir leurs t\u00e2ches normales pendant les heures de travail, ce qui peut s\u2019av\u00e9rer tr\u00e8s co\u00fbteux pour certaines organisations.<\/p>\r\n\r\n\r\n\r\n
Les cybercriminels n\u2019ont plus \u00e0 se donner la peine de pirater une entreprise, d\u2019installer des logiciels malveillants et de chiffrer des donn\u00e9es sensibles pour exiger une ran\u00e7on. Au lieu de cela, ils n\u2019ont qu\u2019\u00e0 lancer des attaques\u00a0DDoS continuelles contre votre infrastructure expos\u00e9e \u00e0 Internet jusqu\u2019\u00e0 ce que vous payiez ce qu\u2019ils exigent pour passer ensuite \u00e0 la prochaine cible malchanceuse. Ces attaques sont connues sous le nom d\u2019attaque\u00a0DDoS avec demande de ran\u00e7on ou attaques\u00a0RDDoS.<\/p>\r\n\r\n\r\n\r\n
Pourquoi quelqu\u2019un vous ciblerait-il, vous ou votre entreprise?<\/strong><\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 Pour causer des pertes financi\u00e8res, porter atteinte \u00e0 votre r\u00e9putation ou gaspiller des ressources de l\u2019entreprise<\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 Pour voler des renseignements confidentiels<\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 Pour faire de l\u2019argent<\/p>\r\n\r\n\r\n\r\n Les attaquants\u00a0DDoS ne sont pas tous des cybercriminels. C\u2019est pourquoi nous les qualifions d\u2019\u00ab\u00a0acteurs malveillants\u00a0\u00bb. L\u2019acc\u00e8s \u00e0 des services\u00a0DDoS \u00e0 la demande est plus facile et moins co\u00fbteux que jamais, certains d\u2019entre eux offrant maintenant des essais gratuits. De nos jours, n\u2019importe qui peut rendre inutilisable une cible avec 5\u00a0$ et quelques entr\u00e9es au clavier.<\/p>\r\n\r\n\r\n\r\n Alors, qui est responsable?<\/strong><\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 Des cybercriminels<\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 Des employ\u00e9s ou d\u2019anciens employ\u00e9s m\u00e9contents<\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 La concurrence (surtout dans le domaine du gaming)<\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 Des clients insatisfaits<\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 Des \u00e9tudiants qui essaient d\u2019\u00e9viter de passer des examens (pour vrai!)<\/p>\r\n\r\n\r\n\r\n Les pirates sont \u00e0 la recherche de nouvelles failles de s\u00e9curit\u00e9 pour accro\u00eetre le niveau de sophistication des cyberattaques. C\u2019est un jeu du chat et de la souris entre les cybercriminels et les experts en s\u00e9curit\u00e9. Juste lorsqu\u2019une faille est combl\u00e9e, une autre est d\u00e9couverte. Depuis un certain temps d\u00e9j\u00e0, les attaques\u00a0DDoS s\u2019appuyaient sur des dispositifs\u00a0IdO compromis pour lancer de grandes attaques par amplification et r\u00e9flexion; cependant, compte tenu des vuln\u00e9rabilit\u00e9s r\u00e9centes des serveurs Internet de haute capacit\u00e9 (GitLab, Confluence, Log4J), les attaquants ont cr\u00e9\u00e9 des r\u00e9seaux d\u2019ordinateurs zombies de type serveur et les ont utilis\u00e9s pour lancer des attaques directes (sans usurpation d\u2019adresse) contre leurs cibles. Au deuxi\u00e8me semestre de\u00a02021, pour la premi\u00e8re fois depuis\u00a02018, les attaques directes (TCP\u00a0ACK, TCP\u00a0SYNC) sont devenues l\u2019outil de choix par rapport aux attaques par amplification\u00a0DNS(i)<\/sup>.<\/p>\r\n\r\n\r\n\r\n Parmi les autres strat\u00e9gies d\u2019attaque malveillante \u00e0 la hausse, mentionnons\u00a0:<\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 Attaques multivectorielles<\/em><\/strong>\u00a0\u2013 Pourquoi s\u2019arr\u00eater \u00e0 un type d\u2019attaque quand on peut en utiliser plusieurs en m\u00eame temps pour cibler diff\u00e9rentes vuln\u00e9rabilit\u00e9s? Par exemple, l\u2019amplification\u00a0DNS, associ\u00e9e \u00e0 une inondation\u00a0ICMP et \u00e0 une attaque\u00a0TCP\u00a0ACK.<\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 Attaque de type \u00ab\u00a0tapis de bombes\u00a0\u00bb<\/em><\/strong>\u00a0\u2013 Habituellement, une seule adresse\u00a0IP est cibl\u00e9e, mais avec ces attaques impitoyables, plusieurs adresses\u00a0IP sont attaqu\u00e9es en m\u00eame temps pour \u00e9chapper aux syst\u00e8mes d\u2019att\u00e9nuation. Un tas de petites inondations peuvent s\u2019additionner rapidement et submerger les syst\u00e8mes de votre p\u00e9rim\u00e8tre Internet.<\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 Les attaques en rafale (aussi appel\u00e9es raids \u00e9clairs)<\/em><\/strong>\u00a0\u2013 Attaquer une adresse\u00a0IP, s\u2019arr\u00eater rapidement, attaquer la m\u00eame adresse\u00a0IP et s\u2019arr\u00eater de nouveau. Continuez ce cycle et votre connexion Internet deviendra intermittente. Cette strat\u00e9gie est con\u00e7ue pour tirer parti du d\u00e9lai entre la d\u00e9tection d\u2019une attaque et l\u2019enclenchement des mesures d\u2019att\u00e9nuation.<\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 N\u2019importe quelle combinaison de ce qui pr\u00e9c\u00e8de<\/strong>\u00a0\u2013 Oh l\u00e0 l\u00e0! Non merci\u00a0\ud83d\ude09<\/p>\r\n\r\n\r\n\r\n Dans toute cette folie, que peut-on faire?<\/strong><\/p>\r\n\r\n\r\n\r\n Votre premi\u00e8re ligne de d\u00e9fense devrait \u00eatre de trouver le bon service d\u2019att\u00e9nuation\u00a0DDoS qui r\u00e9pond aux exigences de s\u00e9curit\u00e9 de votre entreprise. Vous voulez arr\u00eater l\u2019afflux de trafic ind\u00e9sirable avant qu\u2019il ne puisse atteindre votre p\u00e9rim\u00e8tre de s\u00e9curit\u00e9. Il y a de nombreuses options parmi lesquelles choisir\u00a0: des solutions sur place, infonuagiques, toujours actives, sur demande, ou assurant une surveillance toujours active avec des mesures d\u2019att\u00e9nuation rapides. Pour trouver la meilleure solution, posez-vous les questions suivantes\u00a0:<\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 Combien de temps d\u2019indisponibilit\u00e9 puis-je accepter ?<\/em><\/strong> Si vous exploitez un site Web de commerce \u00e9lectronique qui ne peut pas se permettre d\u2019\u00eatre indisponible, une solution toujours active est id\u00e9ale. Sinon, peut-\u00eatre qu\u2019une solution plus rentable fonctionnerait pour assurer la conformit\u00e9 aux normes de s\u00e9curit\u00e9 que vous devez respecter.<\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 Mon \u00e9quipe peut-elle d\u00e9ployer et g\u00e9rer continuellement des dispositifs de s\u00e9curit\u00e9 sur place ?<\/em><\/strong> Si ce n\u2019est pas le cas, explorez des solutions infonuagiques pour des d\u00e9ploiements simples sans configuration.<\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 Combien puis-je d\u00e9penser pour une protection contre les attaques\u00a0DDoS ?<\/em><\/strong> Selon la rapidit\u00e9 avec laquelle vous avez besoin que les mesures d\u2019att\u00e9nuation soient appliqu\u00e9es, les co\u00fbts peuvent varier consid\u00e9rablement.<\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 Mon fournisseur de services Internet peut-il r\u00e9pondre \u00e0 mes exigences ?<\/em><\/strong><\/p>\r\n\r\n\r\n\r\n N\u2019oubliez pas que la protection contre les attaques\u00a0DDoS<\/a> n\u2019est qu\u2019un outil parmi d\u2019autres dans votre arsenal. Vous devrez quand m\u00eame d\u00e9ployer des coupe-feu, des syst\u00e8mes de d\u00e9tection et de pr\u00e9vention des intrusions (IPS\/IDS), des coupe-feu d\u2019applications Web (WAF), des syst\u00e8mes antivirus et des syst\u00e8mes antipourriel l\u00e0 o\u00f9 c\u2019est n\u00e9cessaire. J\u2019encourage toutes les organisations \u00e0 suivre les pratiques exemplaires en mati\u00e8re de s\u00e9curit\u00e9 dans leurs d\u00e9ploiements. Voici quelques suggestions\u00a0:<\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 Cr\u00e9ez un firewall humain<\/a> ! Donnez r\u00e9guli\u00e8rement une formation aux employ\u00e9s sur les pratiques exemplaires en mati\u00e8re de s\u00e9curit\u00e9 concernant l\u2019utilisation des courriels et d\u2019Internet.<\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 Ne permettez que le trafic requis (ports\u00a0TCP\/UDP) de communiquer avec vos serveurs et appareils Web, et bloquez tout autre trafic.<\/p>\r\n\r\n\r\n\r\n \u00b7\u00a0 Faites votre part pour arr\u00eater les attaques\u00a0DDoS ciblant les autres et pour rendre l\u2019Internet plus propre\u00a0: ajoutez des mesures de s\u00e9curit\u00e9 pour emp\u00eacher que votre r\u00e9seau soit utilis\u00e9 pour lancer une attaque\u00a0DDoS par amplification et r\u00e9flexion en activant les listes de contr\u00f4le d\u2019acc\u00e8s (ACL) de sorte que seul le trafic provenant des adresses\u00a0IP publiques d\u00e9tenues par votre entreprise ou qui lui ont \u00e9t\u00e9 attribu\u00e9es soit autoris\u00e9 \u00e0 atteindre le Web. Cela emp\u00eache tout dispositif compromis d\u2019envoyer des paquets avec une adresse usurp\u00e9e.<\/p>\r\n\r\n\r\n\r\n La cyberr\u00e9silience est plus importante que jamais.<\/strong><\/p>\r\n\r\n\r\n\r\n Il est de plus en plus important d\u2019investir dans la cyberr\u00e9silience. Peu importe sa taille ou son \u00e9chelle, une attaque contre votre r\u00e9seau peut nuire \u00e0 votre entreprise et lui co\u00fbter cher. La meilleure fa\u00e7on de stopper une attaque consiste \u00e0 emp\u00eacher qu\u2019elle se produise. \u202fSi vous avez l’intention de vous lancer dans l’aventure pour d\u00e9jouer ceux qui vous veulent du mal et vous s\u00e9curiser, la protection contre les attaques DDoS<\/a> peut vous \u00eatre tr\u00e8s utile.<\/p>\r\n\r\n\r\n\r\n <\/p>\r\n","protected":false},"excerpt":{"rendered":" Par Steve Liddon, Architecte senior, Ing\u00e9nierie des produits et des solutions Avant d\u2019entrer dans le vif du sujet, rappelons les \u00e9l\u00e9ments de base. D\u2019un point de vue g\u00e9n\u00e9ral, une attaque par d\u00e9ni de service distribu\u00e9 (DDoS) est comme un embouteillage impr\u00e9vu qui se produit au pire moment possible, engorgeant la\u00a0M\u00e9tropolitaine en dehors des …<\/p>\n