Banalisation du phénomène DDoS

Une multitude d’outils et de services d’attaque DDoS permet à tout individu mal intentionné et disposant d’une connexion Internet de lancer une attaque.
Ceci témoigne de l’essor d’une économie souterraine où les attaques par déni de service trouvent de nouvelles applications et de nouveaux marchés, qu’il s’agisse d’outils d’attaque ciblée employés par des joueurs en ligne pour éliminer des adversaires, d’outils plus complexes utilisés par les hactivistes pour « faire tomber » des sites Web ou encore de services DDoS commerciaux permettant de lancer des attaques mixtes destinées à dissimuler le vol d’informations sensibles.
Le risque d’attaque DDoS s’est donc considérablement accru avec la multiplication des outils et services d’attaque disponibles. Les responsables de la sécurité informatique doivent comprendre l’étendue et la nature évolutive du problème ainsi que les risques encourus afin de prendre leurs décisions en connaissance de cause.

Outils et services d’attaque DDoS

Il existe divers types d’outils d’attaque DDoS – flooding mono-utilisateur, small host booters, shell booters, RAT (Remote Access Trojans, chevaux de Troie à accès distant) à capacités de flooding, bots DDoS simples ou complexes, ainsi que quelques services DDoS commerciaux –, chaque outil pouvant combiner différentes formes d’attaque qui le rendent plus attractif et lucratif.

Les bots codés de façon professionnelle avec différentes techniques de dissimulation et les services commerciaux de flooding correspondants représentent une sérieuse menace DDoS pour les entreprises et les opérateurs réseau, ce qui est moins le cas des projets de petite envergure réalisés par des amateurs. Cependant, de nombreux « small host booters » – typiquement conçus pour saturer l’adresse IP d’un joueur et exclure celui-ci du jeu – incorporent souvent une fonction RAT (Remote Access Trojans, chevaux de Troie à accès distant), qui permet à ces outils simples de dérober des mots de passe, de télécharger et d’exécuter d’autres malwares, d’intercepter les frappes clavier et de se livrer à d’autres activités malveillantes. Ces outils élémentaires ne font pas que mettre en danger des informations confidentielles. Ils sont aussi capables de paralyser des pare-feu d’entreprise.

A l’autre extrémité du spectre, les services DDoS commerciaux fonctionnent à plein régime et proposent toute une gamme de « prestations ».
S’il existe de nombreuses motivations aux attaques DDoS (vengeance, extorsion, protestation…), maints services DDoS commerciaux mettent en avant l’octroi d’un avantage concurrentiel avec un argumentaire axé sur la neutralisation d’un concurrent.

Les défenses doivent s’adapter

En se banalisant, les attaques DDoS ont elles-mêmes évolué.
Les attaques multivecteurs – mettant en œuvre plusieurs techniques simultanément – deviennent monnaie courante. Une attaque DDoS de grande envergure menée contre Sony en 2011 a ainsi détourné l’attention de la société de failles de sécurité qui ont ouvert l’accès à des comptes d’utilisateurs sur ses réseaux PlayStation Network, Qriocity et Sony Online Entertainment.
Si certaines attaques DDoS peuvent atteindre les 100 Gbit/s, les attaques applicatives à faible bande passante sont appelées à prédominer car elles sont beaucoup plus difficiles à détecter et à neutraliser.
40% des personnes interrogées lors de notre étude annuelle signalent la défaillance d’un pare-feu ou d’un système IPS en ligne et 43% celle d’un répartiteur de charge à la suite d’une attaque DDoS. Ces équipements sont non seulement pas conçus pour contrer une attaque DDoS mais de surcroit ils sont une cible potentielle.
La convergence des attaques DDoS volumétriques et applicatives crée une sérieuse menace pour les services en ligne ; les opérateurs de centres de données doivent être prêts à combattre les unes comme les autres.

Les centres de données, une cible de choix

Les entreprises et les exploitants de centres de données Internet (IDC) garantissent la disponibilité des services critiques gérés dans leurs infrastructures. En conséquence, les auteurs d’attaque DDoS voient dans les centres de données de nouvelles cibles de choix. Ils s’intéressent aux IDC principalement pour deux raisons : d’une part, les ressources mutualisées et l’architecture multi-clients des IDC permettent aux attaques de causer de nombreux dommages collatéraux et donc d’avoir plus d’impact. D’autre part, les IDC hébergent bien souvent des applications d’importance critique, ce qui en fait des cibles toutes désignées pour des tentatives d’extorsion de fonds, les criminels se conformant à l’adage « allez où se trouve l’argent ».

Pourquoi les systèmes IPS ne peuvent pas bloquer les attaques DDoS

Les systèmes de prévention d’intrusion (IPS), pare-feu et autres équipements de sécurité constituent des éléments essentiels d’une stratégie de défense à plusieurs niveaux, mais ils sont conçus pour remédier à des problèmes de sécurité fondamentalement différents de ceux traités par les solutions spécialisées dans la détection et la neutralisation des attaques DDoS. Les systèmes IPS, par exemple, bloquent les tentatives d’effraction visant à voler des données. Pour sa part, un pare-feu applique des règles destinées à interdire les accès illicites aux données. Si ces solutions de sécurité protègent efficacement « l’intégrité et la confidentialité du réseau », elles ne répondent pas à une préoccupation fondamentale concernant les attaques DDoS, à savoir « la disponibilité de réseau ». En outre, les IPS sont des équipements en ligne de type « stateful » maintenant des tables d’état, c’est-à-dire qu’ils sont eux-mêmes vulnérables aux attaques DDoS et en deviennent donc souvent les cibles.
Les systèmes IPS sont particulièrement vulnérables aux attaques de ‘flooding’ et de fragmentation. Ils sont tributaires de ressources telles que la capacité mémoire et la puissance processeur pour se montrer efficaces dans la capture des paquets, l’analyse du trafic et la détection des attaques. En saturant un réseau avec du trafic parasite, une attaque peut du même coup épuiser les ressources de son dispositif de prévention d’intrusion. Les pirates peuvent également fragmenter leurs attaques en paquets de plus en plus petits de façon à également épuiser les ressources de l’IPS.
Par ailleurs, les IPS étant programmés pour détecter des menaces connues en fonction de leur signature, ils laissent généralement passer une nouvelle menace dont la signature n’a pas encore été déterminée. Ils ont ainsi toujours un temps de retard sur la création de signatures adaptées.
Les systèmes IPS implantés sur un réseau emploient également une technique reposant sur la détection des anomalies dans les protocoles, laquelle se révèle inopérante pour bloquer les attaques DDoS. En effet, cette méthode ne permet pas aux IPS d’analyser le trafic simultanément sur des liaisons multiples, donc de lutter contre une véritable attaque par déni de service « distribué ».

Les pare-feu, des proies faciles pour les attaques DDoS

A l’instar des systèmes IPS, les pare-feu sont destinés à répondre à un problème de sécurité majeur, en l’occurrence à interdire les accès illicites aux données en appliquant des règles prédéfinies. Pour accomplir efficacement cette mission, les modèles récents procèdent à une inspection des paquets de type « stateful », consistant à garder la trace de toutes les connexions les traversant. Ils déterminent ainsi si un paquet marque le début d’une nouvelle connexion, fait partie d’une connexion existante ou n’est pas valide. Ils sont installés ‘en ligne’ et leur mode de fonctionnement « stateful » en font des cibles privilégiées pour des attaques par DDoS. Ils ne possèdent pas la capacité intrinsèque de détecter ou de bloquer ce type d’attaques, dont les vecteurs exploitent des ports et des protocoles ouverts. En conséquence, les pare-feu sont en première ligne pour être victimes d’une attaque DDoS lorsque leur capacité de suivi des connexions est saturée. Ils sont par exemple vulnérables aux attaques de type « flood TCP SYN » ou « ICMP ping spoofing ».

Un besoin évident de systèmes intelligents de neutralisation DDoS (IDMS)

La solution idéale consiste à utiliser un système IDMS (Intelligent DDoS Mitigation System), capable de bloquer les attaques DDoS aussi bien volumétriques qu’applicatives. Ce système doit être déployé dans le réseau du FAI (en mode cloud) et à la périphérie du réseau de l’entreprise ou du centre de données.

Les limitations des IPS et pare-feu soulignent en creux les principales caractéristiques exigées d’un IDMS. Ce dernier doit être « stateless », en d’autres termes, ne pas suivre l’état de toutes les connexions. De plus pour véritablement contrer les attaques DoS « distribuées » (Distributed DoS ou DDoS), un IDMS doit mettre en œuvre une détection elle-même ‘distribuée’ ce que ne permet pas les IPS qui opèrent une détection sur le segment de réseau sur lequel ils sont installés.

En outre, une solution IDMS ne doit pas dépendre des signatures créées après le déclenchement d’une attaque contre des cibles, mais plutôt prévoir des contre-mesures multiples. L’IDMS doit également proposer des fonctions complètes de production de rapports. Enfin l’IDMS étant une solution sophistiquée et dédiée à la lutte contre les attaques par DDoS elle doit avoir été conçue par un fabricant reconnu comme expert dans le domaine des cybermenaces de type DDoS et disposant des ressources nécessaires pour développer les contre-mesures et aider les utilisateurs attaqués.

Une stratégie intelligente de neutralisation DDoS doit assurer une défense à plusieurs niveaux

L’IDMS offre une solution de protection à plusieurs niveaux, sur le réseau et à la périphérie, contre les attaques DDoS volumétriques ou applicatives. Le meilleur endroit pour bloquer les attaques DDoS volumétriques est le cloud du fournisseur d’accès Internet (via une protection basée sur le réseau) car la saturation se produit en amont et ne peut donc être corrigée que chez le FAI. Pour détecter les attaques DDoS applicatives, le mieux est d’intervenir dans le centre de données ou en bordure du réseau d’entreprise car l’attaque ne peut être détectée et bloquée rapidement qu’à ce niveau.

Qu’en est-il du coût pour les entreprises ?

Le coût d’une coupure des services Internet peut être considérable, non seulement en termes financiers (manque à gagner, défection de la clientèle) mais aussi sur la réputation d’une entreprise.
L’attaque contre le réseau Playstation de Sony a coûté à la société 171 millions de dollars. Les conséquences ultérieures et la contre-publicité se sont également chiffrées à plusieurs milliards. Enfin la capitalisation boursière de Sony a subit une érosion importante. Même s’il s’agit là d’un cas extrême, rares sont les entreprises qui peuvent se permettre de supporter une telle crise.
La neutralisation des attaques DDoS n’est pas un palliatif à court terme. Cette démarche doit s’inscrire dans la planification globale des risques et les plans de continuité d’activité qui en résultent.
Les attaques DDoS nuisent à la disponibilité des services. Leur objectif est de paralyser le fonctionnement du centre de données, que celui-ci gère des transactions de e commerce, des services de messagerie, de téléphonie ou de DNS, l’accès à un site Web ou d’autres services critiques pour l’entreprise. L’impact d’une attaque est fonction de la durée d’indisponibilité des services et de leur valeur. Le préjudice s’apparente à celui causé par les pannes de courant ou d’autres défaillances d’une infrastructure vitale.
L’objectif d’une attaque étant de créer un maximum de perturbation, elle a les plus grandes chances de survenir au pire moment. Par exemple, les sites marchands sont particulièrement vulnérables lors des fêtes de fin d’année. Par conséquent, le calcul du coût potentiel doit prendre en compte les facteurs saisonniers.
En réponse à une enquête Ponemon réalisée dans 16 secteurs d’activité, 41 responsables d’entreprises ont indiqué que les coûts horaires d’exploitation d’une interruption sont de l’ordre de 100 000 dollars pour un centre de données moyen de 200 m2. Par ailleurs, les coûts commerciaux : manque à gagner, défection de la clientèle, atteinte à l’image de marque, perte de productivité, dépassent de loin les coûts d’exploitation.

L’évaluation de l’impact d’une attaque DDoS commence par une question simple : quel sera le coût total pour l’entreprise si les applications les plus critiques sont paralysées pendant 4, 8, 12 ou 24 heures, ou une semaine, voire deux semaines ?
Le coût horaire varie grandement, même une fois ramené à la taille du centre de données. Cette variabilité est principalement fonction du type d’activité : les entreprises les plus dépendantes de leur centre de données (colocation/hébergement, e commerce, télécommunications, services financiers) subissent les coûts horaires les plus lourds.
En moyenne pondérée, le nombre d’attaques sur les entreprises moyennes à grandes s’établit à 1,8 par an, avec une durée moyenne de paralysie de 6,7 heures par attaque, soit l’équivalent de plus de 12 heures d’immobilisation chaque année en raison d’attaques DDoS. Une autre enquête Ponemon révèle que ces attaques coûtent plus cher aux entreprises que toute autre forme de cybercriminalité.
Pour la plupart des entreprises, le remplacement d’un coût très aléatoire et potentiellement élevé par celui, moindre et prévisible, d’une protection efficace contre les attaques DDoS est une bonne pratique tant dans l’optique de la continuité d’activité que du point de vue financier.

Pour terminer

Les attaques DDoS contre les infrastructures et les services des centres de données sont à la fois plus complexes dans leur conception et plus faciles à perpétrer. En conséquence, les entreprises, les hébergeurs et les prestataires de services cloud subissent plus fréquemment des attaques DDoS sur leurs centres de données, et donc des conséquences d’une gravité sans précédent pour leur activité.
La défense optimale contre les attaques DDoS passe par la combinaison d’une protection sur site et dans le cloud. Une protection en mode cloud est nécessaire pour faire face aux attaques volumétriques de type « flood », et la protection sur site est nécessaire pour détecter et bloquer les attaques applicatives et « stateful ».
Enfin, il importe de coordonner les protections dans le cloud et sur site. Les attaques mêlent souvent différentes méthodes et font varier les techniques et les volumes de trafic si les premières tentatives sont déjouées. C’est par exemple la mission du protocole Cloud signalling** destiné à faciliter à la fois la neutralisation sur site des attaques applicatives chez les clients et la neutralisation des attaques volumétriques en amont des sites clients, automatiquement et en temps réel.

* étude Arbor Networks – février 2012

** En collaboration avec ses clients fournisseurs d’accès Internet (FAI) et prestataires de services de sécurité managés (MSSP), Arbor Networks a mis au point un protocole, Cloud Signalling