Blog GlobalSign

29 janv. 2019

Le B.A.-BA des attaques par déni de service

Tous les fournisseurs de services vous le diront : la moindre perturbation (même de moins d’une heure) peut, entre autres, se solder par de nombreux clients mécontents et une perte de confiance vis-à-vis de l’entreprise.

Les pirates eux aussi en ont bien conscience. C’est pourquoi ils s’attaquent à la disponibilité des services Internet.

Attaques DoS vs. attaques DDoS

Une attaque par déni de service (DoS) survient lorsqu’un système ou une machine est submergé de trafic ou d’informations envoyés dans le but de provoquer une panne ou une indisponibilité pour les utilisateurs. La méthode la plus courante consiste à lancer une attaque par dépassement de tampon, en envoyant vers une adresse réseau plus de trafic qu’elle ne peut en traiter.

Mais les pirates ont également recours à d’autres tactiques. Par exemple, ils utilisent de faux paquets de données pour envoyer du contenu à chaque machine d’un réseau au lieu d’une seule. Ils peuvent aussi lancer des attaques SYN, ou « SYN flood ». Cette dernière technique consiste à envoyer une requête de connexion au serveur, sans finalement établir de liaison (handshake). Ce type d’attaque cible tous les ports ouverts afin qu’il n’en reste aucun pour les clients légitimes. Au lieu d’accroître le trafic, il est également possible d’exploiter les vulnérabilités existantes d’un système.

Quant aux attaques par déni de service distribué (DDoS), elles se généralisent dans le cyberespace. Si elles ont des effets similaires aux autres types d’attaques DoS, elles se distinguent essentiellement par la multiplicité des sources du trafic qui met hors service les serveurs ou systèmes de leur victime. Le fait de répartir l’attaque entre plusieurs sources accroît la force de frappe des pirates et complique leur neutralisation. Il est également plus difficile d’identifier l’auteur de ces attaques.

L’IoT, vecteur des attaques DDoS

Les attaques DDoS parviennent à leurs fins lorsque ces différentes sources frappent de façon synchronisée, souvent via un botnet. Un botnet désigne un réseau combiné de systèmes ou appareils piratés, connectés à Internet, contrôlés à distance comme un tout. Les pirates y ont souvent recours pour envoyer des e-mails de spam ou de phishing ou pour exposer des informations bancaires. Les botnets jouent également un rôle central dans les attaques DDoS. Certains pirates proposent même des botnets en location, ce qui permet même aux novices de faire des dégâts.

Fait inquiétant, l’Internet des objets (IoT) abreuve le marché d’innombrables appareils connectés à Internet, ce qui facilite les attaques DDoS. Ces équipements (caméras, routeurs, etc.) font le bonheur des botnets car ils reposent souvent sur des pratiques d’authentification insuffisantes, notamment des mots de passe par défaut (d’usine) faibles. Les pirates n’ont qu’à lancer de simples attaques par dictionnaire pour trouver les identifiants administrateur et prendre le contrôle de l’appareil.

Le botnet Mirai, apparemment constitué de plus de 600 000 appareils IoT zombies, en est un parfait exemple. Mirai est connu pour avoir servi à des attaques DDoS contre plusieurs grands fournisseurs de services il y a quelques années. Les sites web de nombreux géants du Net comme Amazon et Twitter avaient alors été mis hors service.

Des attaques au timing impeccable

Pour les victimes, une cyberattaque tombe toujours mal. Difficile de soutenir le contraire à celles de WannaCry. L’attaque par ransomware a mis hors service des serveurs hébergeant des dossiers médicaux au Royaume-Uni et contraint ses cibles à verser des rançons exorbitantes en cryptomonnaies.

En revanche, pour les auteurs d’attaques DoS et DDoS, il est possible de frapper au « bon » moment, afin de causer le plus de dégâts possible. Il y a quelques années, Xbox et PlayStation ont ainsi été mis hors service le jour de Noël, ce qui n’a pas manqué de plomber l’humeur des gamers sous le sapin. D’autres exemples encore prouvent que les pirates ont le sens du timing lorsqu’ils planifient leurs attaques.

En janvier 2016, une attaque DDoS a empêché les clients de la banque HSBC au Royaume-Uni d’accéder à leurs comptes en ligne.

Pire encore, l’attaque est survenue seulement deux jours avant la date limite de déclaration d’impôts dans le pays. D’après les études, la finance est également le secteur le plus ciblé par les attaques DDoS, puisque 57 % des incidents la concernent.

Quelques mois plus tôt, en juillet 2015, le New York Magazine a perdu l’accès à son site après avoir publié 35 entretiens dénonçant les agressions sexuelles de Bill Cosby. La cause probable : une attaque DDoS. Les informations du journal contenaient des détails exclusifs dont les lecteurs sont friands… mais l’attaque les a justement empêchés d’en prendre immédiatement connaissance.

Des incidents d’une portée internationale

En août 2018, plusieurs attaques DDoS ont également montré que les pirates décident parfois de frapper plusieurs sites web d’un même secteur d’activité, mais dans différents pays. Les internautes se sont ainsi trouvés dans l’incapacité d’accéder aux services de sites web de poker basés aux États-Unis et au Canada. En cause, des attaques séparées, mais proches dans le temps.

Aux États-Unis, Americas Cardroom [T1] a connu une interruption de service à cause d’une attaque DDoS le 5 août, juste avant le début d’une grande série de tournois en ligne avec une dotation garantie de 10 millions de dollars. L’entreprise a alors dû annuler plusieurs de ces tournois. Le directeur général du site a confirmé que les attaques avaient duré plusieurs heures, si bien qu’Americas Cardroom fait désormais appel à un service d’intervention sur attaque DDoS pour prévenir tout problème à l’avenir.

Une semaine plus tard, le site canadien PokerStars a dû faire face à la même menace lorsque ses utilisateurs ont commencé à se plaindre de problèmes de connectivité. Là encore, ces problèmes sont survenus un jour de grands tournois. Mais ces attaques ne touchent pas uniquement les utilisateurs basés dans le pays d’origine de l’entreprise. Bien que basé au Canada, PokerStars compte par exemple parmi ses clients des joueurs en Europe et en Inde. Eux aussi se sont trouvés privés d’accès au site web.

Côté prévention

La moindre interruption de service pourrait faire douter vos clients de l’adéquation de votre infrastructure. Si le problème est suffisamment grave, ils risquent de s’en plaindre sur les réseaux sociaux et de vous tourner le dos.

Des services de protection contre les attaques DoS se proposent de surveiller le niveau de votre trafic et de vous alerter en cas d’anomalie. Plus récemment, des chercheurs ont créé des prototypes de systèmes de détection des attaques potentielles basés sur le machine learning. D’après leurs conclusions, ces systèmes sont longs à développer, mais ils offrent des performances supérieures aux outils de filtrage DoS plus anciens.

En plus de miser sur la détection en amont des attaques DoS, les entreprises doivent impérativement créer des plans d’intervention sur incident qui tiennent compte des attaques DoS et DDoS.

Si ces plans ne préviennent pas complètement le problème, une réponse rapide permet de minimiser les dégâts. Mieux encore, la transparence d’un fournisseur sur ces événements apaise parfois le mécontentement inévitable de ses utilisateurs soudainement incapables d’accéder aux sites et services qu’ils utilisent et dont ils dépendent.

Une menace durable

Au-delà des atteintes à la réputation d’une entreprise et du mécontentement des clients, les attaques DoS coûtent jusqu’à 40 000 € de l’heure à leurs victimes, contre 40 $ de l’heure à leurs auteurs. Il suffit de jeter un œil aux gros titres de ces deux dernières années pour constater la multiplication et la portée croissante de ces types d’attaques.

Les chefs d’entreprise et autres acteurs dont les services courent un risque doivent donc « prendre le pirate par les cornes ».

Il est essentiel de cerner la menace que représentent ces attaques, d’apprendre à les prévenir ou du moins à les identifier pour limiter les dégâts, mais aussi de mettre en place des processus de reprise d’activité des systèmes potentiellement ciblés.

A propos de l'auteur

Kayla Matthews est une journaliste technologique de Pittsburgh qui a écrit pour Hacker Noon, Cloud Tweaks, Houzz et d'autres. Elle est également propriétaire et éditeur du blog de productivité technologique, Productivity Bytes.

Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.

Partager ce blog