Par Steve Liddon, Architecte senior, Ingénierie des produits et des solutions

Avant d’entrer dans le vif du sujet, rappelons les éléments de base.

D’un point de vue général, une attaque par déni de service distribué (DDoS) est comme un embouteillage imprévu qui se produit au pire moment possible, engorgeant la Métropolitaine en dehors des heures de pointe, vous empêchant d’arriver à temps pour votre réservation au restaurant. Plus précisément, il s’agit d’une tentative malveillante de perturber les activités normales et de forcer une période d’indisponibilité sur un serveur, un service ou un réseau ciblé en l’inondant de trafic Internet non désiré.

Cela fait deux ou trois ans que les choses sont difficiles sur la dorsale Internet. Avec la pandémie, la société a changé ses habitudes pour se tourner massivement vers les services en ligne afin de tout obtenir, de l’épicerie aux soins de santé, en passant par l’éducation en ligne, le commerce électronique, les services de diffusion en continu et bien plus encore. L’idée du travail à distance a été un changement particulièrement important, passant d’un avantage désirable à un mode de travail par défaut.

Cela a déclenché un « déluge » d’activités de la part d’acteurs malveillants cherchant à perturber le plus grand nombre possible de personnes et à extorquer de l’argent à leurs cibles. Certains secteurs ont été frappés de plein fouet par les attaques DDoS, mais avec les politiques de télétravail, toutes les organisations, grandes et petites, sont des victimes potentielles. Le simple blocage d’un accès RPV permet d’empêcher les employés de se connecter à leur entreprise et donne lieu à un gaspillage de ressources, car celles-ci ne peuvent plus accomplir leurs tâches normales pendant les heures de travail, ce qui peut s’avérer très coûteux pour certaines organisations.

Les cybercriminels n’ont plus à se donner la peine de pirater une entreprise, d’installer des logiciels malveillants et de chiffrer des données sensibles pour exiger une rançon. Au lieu de cela, ils n’ont qu’à lancer des attaques DDoS continuelles contre votre infrastructure exposée à Internet jusqu’à ce que vous payiez ce qu’ils exigent pour passer ensuite à la prochaine cible malchanceuse. Ces attaques sont connues sous le nom d’attaque DDoS avec demande de rançon ou attaques RDDoS.

Pourquoi quelqu’un vous ciblerait-il, vous ou votre entreprise?

·  Pour causer des pertes financières, porter atteinte à votre réputation ou gaspiller des ressources de l’entreprise

·  Pour voler des renseignements confidentiels

·  Pour faire de l’argent

Les attaquants DDoS ne sont pas tous des cybercriminels. C’est pourquoi nous les qualifions d’« acteurs malveillants ». L’accès à des services DDoS à la demande est plus facile et moins coûteux que jamais, certains d’entre eux offrant maintenant des essais gratuits. De nos jours, n’importe qui peut rendre inutilisable une cible avec 5 $ et quelques entrées au clavier.

Alors, qui est responsable?

·  Des cybercriminels

·  Des employés ou d’anciens employés mécontents

·  La concurrence (surtout dans le domaine du gaming)

·  Des clients insatisfaits

·  Des étudiants qui essaient d’éviter de passer des examens (pour vrai!)

Les pirates sont à la recherche de nouvelles failles de sécurité pour accroître le niveau de sophistication des cyberattaques. C’est un jeu du chat et de la souris entre les cybercriminels et les experts en sécurité. Juste lorsqu’une faille est comblée, une autre est découverte. Depuis un certain temps déjà, les attaques DDoS s’appuyaient sur des dispositifs IdO compromis pour lancer de grandes attaques par amplification et réflexion; cependant, compte tenu des vulnérabilités récentes des serveurs Internet de haute capacité (GitLab, Confluence, Log4J), les attaquants ont créé des réseaux d’ordinateurs zombies de type serveur et les ont utilisés pour lancer des attaques directes (sans usurpation d’adresse) contre leurs cibles. Au deuxième semestre de 2021, pour la première fois depuis 2018, les attaques directes (TCP ACK, TCP SYNC) sont devenues l’outil de choix par rapport aux attaques par amplification DNS(i).

Parmi les autres stratégies d’attaque malveillante à la hausse, mentionnons :

·  Attaques multivectorielles – Pourquoi s’arrêter à un type d’attaque quand on peut en utiliser plusieurs en même temps pour cibler différentes vulnérabilités? Par exemple, l’amplification DNS, associée à une inondation ICMP et à une attaque TCP ACK.

·  Attaque de type « tapis de bombes » – Habituellement, une seule adresse IP est ciblée, mais avec ces attaques impitoyables, plusieurs adresses IP sont attaquées en même temps pour échapper aux systèmes d’atténuation. Un tas de petites inondations peuvent s’additionner rapidement et submerger les systèmes de votre périmètre Internet.

·  Les attaques en rafale (aussi appelées raids éclairs) – Attaquer une adresse IP, s’arrêter rapidement, attaquer la même adresse IP et s’arrêter de nouveau. Continuez ce cycle et votre connexion Internet deviendra intermittente. Cette stratégie est conçue pour tirer parti du délai entre la détection d’une attaque et l’enclenchement des mesures d’atténuation.

·  N’importe quelle combinaison de ce qui précède – Oh là là! Non merci 😉

Dans toute cette folie, que peut-on faire?

Votre première ligne de défense devrait être de trouver le bon service d’atténuation DDoS qui répond aux exigences de sécurité de votre entreprise. Vous voulez arrêter l’afflux de trafic indésirable avant qu’il ne puisse atteindre votre périmètre de sécurité. Il y a de nombreuses options parmi lesquelles choisir : des solutions sur place, infonuagiques, toujours actives, sur demande, ou assurant une surveillance toujours active avec des mesures d’atténuation rapides. Pour trouver la meilleure solution, posez-vous les questions suivantes :

·  Combien de temps d’indisponibilité puis-je accepter ? Si vous exploitez un site Web de commerce électronique qui ne peut pas se permettre d’être indisponible, une solution toujours active est idéale. Sinon, peut-être qu’une solution plus rentable fonctionnerait pour assurer la conformité aux normes de sécurité que vous devez respecter.

·  Mon équipe peut-elle déployer et gérer continuellement des dispositifs de sécurité sur place ? Si ce n’est pas le cas, explorez des solutions infonuagiques pour des déploiements simples sans configuration.

·  Combien puis-je dépenser pour une protection contre les attaques DDoS ? Selon la rapidité avec laquelle vous avez besoin que les mesures d’atténuation soient appliquées, les coûts peuvent varier considérablement.

·  Mon fournisseur de services Internet peut-il répondre à mes exigences ?

N’oubliez pas que la protection contre les attaques DDoS n’est qu’un outil parmi d’autres dans votre arsenal. Vous devrez quand même déployer des coupe-feu, des systèmes de détection et de prévention des intrusions (IPS/IDS), des coupe-feu d’applications Web (WAF), des systèmes antivirus et des systèmes antipourriel là où c’est nécessaire. J’encourage toutes les organisations à suivre les pratiques exemplaires en matière de sécurité dans leurs déploiements. Voici quelques suggestions :

·  Créez un firewall humain ! Donnez régulièrement une formation aux employés sur les pratiques exemplaires en matière de sécurité concernant l’utilisation des courriels et d’Internet.

·  Ne permettez que le trafic requis (ports TCP/UDP) de communiquer avec vos serveurs et appareils Web, et bloquez tout autre trafic.

·  Faites votre part pour arrêter les attaques DDoS ciblant les autres et pour rendre l’Internet plus propre : ajoutez des mesures de sécurité pour empêcher que votre réseau soit utilisé pour lancer une attaque DDoS par amplification et réflexion en activant les listes de contrôle d’accès (ACL) de sorte que seul le trafic provenant des adresses IP publiques détenues par votre entreprise ou qui lui ont été attribuées soit autorisé à atteindre le Web. Cela empêche tout dispositif compromis d’envoyer des paquets avec une adresse usurpée.

La cyberrésilience est plus importante que jamais.

Il est de plus en plus important d’investir dans la cyberrésilience. Peu importe sa taille ou son échelle, une attaque contre votre réseau peut nuire à votre entreprise et lui coûter cher. La meilleure façon de stopper une attaque consiste à empêcher qu’elle se produise. Prenez des mesures dès aujourd’hui pour déjouer ceux qui voudraient vous faire du mal et pour vous protéger grâce à la protection contre les attaques DDoS de Beanfield!

[i] Threat Intelligence Report – Issue 8: Findings from the 2nd half 2021. Netscout. https://www.netscout.com/threatreport/