Alors que les pare-feu ont été conçus pour - et ils le font encore - protéger les réseaux, principalement en contrôlant les accès par les utilisateurs, des trous de sécurité béants apparaissent lorsqu’il s’agit notamment des nouvelles menaces, telles que les dénis de service distribués (DDoS) ou les menaces persistantes avancées (Advanced Persistent Threats, couramment appelées APT), visant la couche applicative. Les cybercriminels et les cyber-terroristes l’ont bien compris : leurs attaques ont atteint un tel niveau de complexité que les technologies des outils traditionnels se révèlent aujourd’hui impuissantes. Les entreprises ont un faux sentiment de sécurité en pensant, par exemple, que leurs firewalls (y compris ceux de « Nouvelle Génération » et même la version « couteau suisse » qu’est l’UTM - Unified Threat Management ou gestion unifiée des menaces) les protègent de toutes les menaces possibles et imaginables. Face au nombre croissant d’offensives comme les récentes attaques par déni de service, lancées contre de grandes institutions et des établissements financiers mondiaux ou les découvertes de malwares installés depuis plusieurs mois, voire d’années et exfiltrant des données confidentielles, les responsables sécurité des entreprises doivent réagir en mettant en place de nouvelles solutions de défense, fonctionnant de concert avec les pare-feu existants, pour une plus grande sécurité du réseau. La solution consiste donc à placer un équipement réseau et sécurité sur site, entre l’accès Internet et le pare-feu, qui éliminera au plus tôt le trafic des attaques, qui dégradent l’infrastructure IT et désactivent les solutions de sécurité, avant qu’il n’atteigne le réseau de l’entreprise.

Préparation minutieuse des attaques

Revenons sur les faits. Les cyber-agressions dont les entreprises font l’objet ne diminuent pas, bien au contraire d’ailleurs. Cela est de notoriété. Les organisations souhaitent s’armer pour contrer ces nouvelles menaces, de plus en plus furtives. En examinant les récents dénis de service distribués qui ont atteint les banques américaines telles que Bank of America ou JPMorgan Chase et causé d’importants ralentissements, allant parfois jusqu’à la panne complète, les experts en sécurité ont déduit que ces incursions extrêmement sophistiquées étaient aujourd’hui le fait de plusieurs attaquants très bien organisés et non plus d’un seul pirate. Le mode opératoire a changé !
Les pirates utilisent désormais plusieurs outils et plusieurs techniques pour perturber l’exploitation du réseau. Aussi, est-il indispensable de déployer plusieurs tactiques défensives pour se protéger. Les cybercriminels recrutent des « sous-traitants » pour télécharger le logiciel et lancer l’attaque. Cette démarche est radicalement différente de celle de l’hacktiviste isolé qui opère une seule fois pour toucher sa cible, puis s’en va.

Prémices d’une cyber-défense nationale

La cyber-guerre entre dans une phase nouvelle. Les cyber-attaques se prolongent et s’intensifient car on compte de plus en plus de personnes connectées à travers le monde. Dans un récent rapport sur la cyber-défense française devant la Commission de Défense du Sénat, Jean-Marie Bockel élève la sécurité informatique au rang de priorité nationale. Il exhorte la France à sortir de son isolement en travaillant avec ses partenaires européens afin de mettre en place des procédures de protection de l’Etat contre des attaques numériques venues de l’extérieur et donner les moyens à la société et aux entreprises de se défendre contre de telles menaces. Cet avertissement est à prendre très au sérieux car la situation ne peut que s’aggraver si rien n’est entrepris pour enrayer le phénomène. Le nombre d’attaques DDoS devrait augmenter de façon significative dans les prochains mois car l’accès aux outils servant à lancer une attaque - simple ou sophistiquée - est d’une extrême facilité. Des tutoriels, des vidéos en ligne montrent étape par étape la marche à suivre et les outils sont téléchargeables sur de nombreux sites web. Au-delà des sites de jeux vidéo en ligne, c’est désormais chaque entreprise et chaque administration qui devient une victime possible. Face aux pirates, toute adresse IP est vulnérable.

Observation du trafic réseau

Les outils traditionnels ne peuvent pas bloquer les DDoS et les APT. Les symptômes diffèrent d’une attaque à l’autre. Dans certains cas, le trafic devient très dense. Il a dépassé les 10 giga-octets par seconde lors des dernières attaques visant les banques américaines, submergeant totalement l’infrastructure et impactant aussi le réseau de transit de l’opérateur d’accès Internet. Penser que l’ouverture de plus de bande passante réglera le problème est, de ce fait, une idée totalement fausse. Le problème existe parce que les pare-feu, les systèmes de prévention contre les intrusions (IPS) et autres infrastructures n’ont pas été conçus pour faire face à des volumes trop importants. Ces matériels se retrouvent tout simplement paralysés car leur mode de fonctionnement leur fait analyser tout le trafic les traversant, sans qu’ils se demandent si ce dernier est sain et légitime. De plus, les attaques par déni de service ne se caractérisent pas toujours par un volume élevé de trafic. Certaines sont « faibles et lentes » et visent la couche applicative des serveurs cibles, via des requêtes tout à fait légitimes d’un point de vue protocolaire, détournant applications ou commandes système de leur fonction normale afin d’épuiser les ressources à des tâches inutiles. Prenons l’exemple d’un site de
e-commerce. Les informations concernant les articles vendus sont stockées dans une base de données. Le site dispose d’un « comparatif de produits ». Les demandes de comparaison vont à la base de données d’où sont extraites les fonctionnalités des articles sélectionnés qui seront présentées sous forme d’une page web dynamique, affichant côte à côte les caractéristiques des produits. Lancer une seule requête est anodin. Mais un pirate multipliera les demandes qui se succéderont très vite, jusqu’à ce que le serveur de la base de données soit saturé. Les conditions de déni de service sont remplies. De la même façon, envoyer à un serveur web une multitude de demandes pour des objets n’existant pas, consommera tout ou partie de ses ressources à la génération de pages contenant la fameuse erreur 404, pouvant aller jusqu’à l’empêcher de traiter les requêtes légitimes.

Reconnaître une APT est souvent difficile. Depuis l’instant où un poste utilisateur

– soit un poste interne, soit un poste nomade - est compromis, jusqu’au moment où les données sont exfiltrées, de nombreuses étapes et encore plus de mécanismes sont mis en œuvre pour déployer l’APT (installation d’outils de hacking complémentaires, infection de postes, gain en privilèges, etc.) mais aussi pour l’exploiter (collecte d’information, chiffrement et exfiltration). Les outils permettant l’APT utilisent les faiblesses connues des équipements traditionnels pour sévir. Il s’agit, par exemple, de l’ouverture permanente, en sortie, de certains ports de communication sur le pare-feu, tels que le port 80 (http) ou 53 (DNS) que les APT utiliseront pour exfiltrer les données volées en les chiffrant.

Mise en place d’une première ligne de défense

Un pare-feu ne peut pas empêcher ces types d’attaques. Souvent focalisé sur le contrôle des actions des utilisateurs, il ne peut évidemment pas détecter les intentions malveillantes. Ainsi, dans l’exemple du site de
e-commerce ci-dessus, toutes les demandes auprès de la base de données vont lui sembler légitimes et il ne les bloquera que si, par exemple, la quantité de requêtes met en péril son propre fonctionnement en remplissant dangereusement sa table d’états, d’où l’intérêt de mettre en place une première ligne de défense, sous la forme d’un équipement réseau et sécurité, placé entre le routeur d’accès et le pare-feu et chargé d’évaluer l’ensemble du trafic. Cette première ligne de défense élimine les éléments indésirables avant qu’ils n’atteignent le réseau de l’entreprise. Le trafic pirate ainsi supprimé, les autres équipements (pare-feu, IPS, load-balancers et autres points de l’infrastructure) peuvent exécuter sereinement leur travail. La cyber-attaque est tout simplement jugulée ! Cette première ligne de défense utilise bien sûr les technologies les plus sophistiquées et met en œuvre les meilleures pratiques pour stopper les attaques par DDoS et les APT.

Filtrage bidirectionnel du trafic

Observer le volume du trafic entrant ne suffit pas. Il faut analyser son comportement. Tout élément qui transgresse les protocoles et les standards d’utilisation des applications est à rejeter. Le trafic sortant douteux, non conforme aux politiques et/ou normes est également recherché. Cette inspection bidirectionnelle piège les techniques d’attaque avancées telles que les demandes répétées de chargement du fichier le plus volumineux d’un serveur ou le contenu qui lierait les serveurs web et les bases de données. Dans l’exemple précédent, l’attention aurait été alertée par les demandes répétées de pages de comparaison de produits.

L’étape suivante est la détection des problèmes de sécurité connus du trafic. Il s’agit des dépassements de mémoire-tampon, des injections, des attaques de mots de passe par force brute, des malwares aléatoires et des exploits ainsi que des techniques d’évasion avancées telles que la fragmentation et la segmentation, utilisées pour dissimuler une attaque. Les techniques d’évasion avancées sont souvent employées lors d’attaques mixtes telles que RefRef, outil employé par les Anonymous et qui utilisait notamment une injection SQL.
Une fois que le trafic a franchi ces différentes inspections, il est suffisamment propre pour passer à la deuxième ligne de défense, le pare-feu.

Blocage des adresses IP malveillantes

Un degré de protection supplémentaire est également obtenu par la modification automatique de la configuration du réseau permettant de bloquer les adresses IP malveillantes identifiées et vérifiées, selon les derniers renseignements. La surveillance des adresses IP qui changent en permanence, des serveurs de Commande et Contrôle (C&C) de botnets ou des serveurs connus pour diffuser du contenu malicieux ou lancer des attaques, permet de protéger les accès réseau, de réduire le nombre de faux positifs et d’éliminer les coûteuses interruptions de service. Le réseau reste opérationnel. Cette analyse comportementale dynamique signifie également que l’adresse IP est automatiquement débloquée lorsqu’elle cesse d’être une source d’attaque.
En plus de stopper les attaques provenant d’adresses IP malicieuses, des fonctions de géolocalisation permettent aux entreprises d’appliquer pro-activement leur politique de sécurité. En se basant sur l’origine géographique des adresses IP, les administrateurs IT mettent en place un contrôle des accès selon les pays. L’entreprise peut interdire et/ou contrôler plus strictement le trafic provenant de pays avec lesquels elle n’a habituellement aucun échange ou de pays associés à un grand nombre d’attaques. Des exceptions sont cependant possibles dans le cas, par exemple, d’adresses IP connues et légitimes avec lesquelles l’entreprise effectue des transactions régulières, au sein de pays à risques.

Bien qu’on ne dispose encore d’aucune preuve de vol de données financières concernant les cyber-attaques qui ont touché les sites bancaires américains, par expérience nous savons que les efforts déployés par les cybercriminels ont toujours pour objectif le vol de données sensibles qui sont diffusées régulièrement dans les mois suivant les attaques. Les entreprises ne doivent pas baisser la garde. Pour gagner la bataille de la sécurité, elles doivent poursuivre la lutte contre les attaques DDoS et les APT en adaptant leurs armes. Les attaquants ont complexifié leurs méthodes, montrant qu’un plus haut niveau de sophistication que celui d’un pare-feu, est indispensable pour les repousser. Le temps d’une nouvelle première ligne de défense est arrivé !