Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Eric Michonnet, Arbor Networks : Face à la montée de la menace DDoS, les entreprises non protégées courent de sérieux risques

avril 2013 par Eric Michonnet Directeur Europe du Sud – Arbor Networks

Ce début d’année, une vague d’attaques par déni de service distribué (DDoS) de grande envergure a frappé de nombreux hébergeurs. Aujourd’hui plus que jamais, ce type d’attaques représente une menace bien réelle, et pas seulement pour les services hébergés mais aussi pour les administrations ou les institutions financières en vue. Toute entreprise, quel que soit sa taille ou son secteur d’activité, est la cible potentielle d’une attaque. De nombreuses motivations se cachent derrière les attaques DDoS (idéologie politique, lutte contre la concurrence, extorsion de fonds…). Cela signifie que toute entreprise présente sur Internet – ce qui est le cas des entreprises de pratiquement tout type et toute taille dans les pays occidentaux – peut en être victime en raison de ce qu’elle est ou vend, de ses partenaires, ou pour tout autre lien réel ou supposé qu’elle est susceptible d’entretenir. Aucune entreprise n’est à l’abri.

Une opportunité pour les partenaires de venir en aide aux utilisateurs trompés par un faux sentiment de sécurité

L’étude sur la sécurité des infrastructures IP mondiales en 2012 (WISR, Worldwide Infrastructure Security Report), publiée par Arbor Networks en janvier 2013, révèle que près de la moitié des participants à l’enquête ont subi des attaques contre leurs datacenters au cours de la période considérée. 94% d’entre eux enregistrent régulièrement des attaques DDoS. Alors que les entreprises sont de plus en plus nombreuses à faire migrer leurs services dans le cloud, elles doivent être conscientes des risques et des dommages collatéraux potentiels. Les sites de commerce et de jeu en ligne étant les cibles les plus fréquentes, selon les résultats de l’enquête cette année, la cohabitation avec ceux-ci dans des centres d’hébergement n’est pas sans risque.

Beaucoup d’entreprises ont l’impression d’être effectivement protégées par leurs pare-feu (firewalls) et par leurs systèmes de prévention d’intrusion (IPS). Hélas, si ces équipements ont un rôle important à jouer dans la stratégie de défense d’une entreprise, il leur manque une capacité essentielle : celle de protéger efficacement contre les attaques DDoS. En outre, ils sont eux-mêmes souvent la cible d’attaques DDoS.

Les attaques DDoS sont aussi redoutables que les incidents sur le réseau : un routeur ou un dispositif de transmission en panne ou pire une fibre arrachée ont le même effet sur la continuité des services. Les attaques DDoS nécessitent les mêmes processus d’escalade pour agir au plus vite. Si le datacenter n’est plus relié à internet, les autres dispositifs de sécurité ne sont d’aucun secours.

Les équipements existants sont défaillants

Les IPS, firewalls et autres systèmes de sécurité sont des éléments certes indispensables d’une stratégie de défense à plusieurs niveaux. Ils sont conçus pour résoudre des problèmes de sécurité spécifiques mais pas pour détecter ni pour neutraliser les attaques DDoS. S’ils assurent efficacement l’intégrité et la confidentialité du réseau, ils ne traitent pas un aspect fondamental visé par les attaques DDoS : sa disponibilité. Les IPS et les firewalls conservent des informations d’état pour chaque session ouverte entre un client sur Internet et le serveur correspondant dans le datacenter, ce qui les rend vulnérables aux attaques DDoS. Une fois rendus inopérants par une attaque DDoS ils bloquent le trafic et coupent de l’internet les services qu’ils sont censé protégés.

En matière de protection contre les attaques DDoS, nombre d’entreprises et d’hébergeurs pensant avoir mis leurs services à l’abri des attaques en déployant des IPS ou des firewalls en frontal de leurs serveurs peuvent en réalité exposer leurs clients à des interruptions des services, ayant un impact direct sur la qualité de service, le chiffre d’affaires ou leur réputation. Les utilisateurs typiques des hébergeurs et des services cloud attendent des garanties de continuité de service fortes. Lorsque des services critiques ne sont plus disponibles, les entreprises et les hébergeurs peuvent enregistrer un manque à gagner de plusieurs millions d’euros, voire mettre en péril des relations vitales avec des clients et partenaires. La disponibilité des services est indispensable au succès des services cloud.

Le paysage des attaques

Les attaques cybercriminelles ciblent particulièrement les applications hébergées sensibles. L’étude WISR d’Arbor Networks révèle que 83,3% des participants à l’enquête ont subi jusqu’à 50 attaques par mois. En outre, alors que l’utilisation des firewalls a augmenté depuis l’an passé, 35% des responsables interrogés ont constaté que ces équipements ne les ont pas protégés contre les attaques DDoS durant la période considérée.

Par ailleurs, l’enquête indique que, si les attaques ont vu leur ampleur se stabiliser, elles ont gagné en complexité. Alors que l’attaque la plus massive relevée a atteint 60 Gbit/s en 2012 (comme en 2011), 46% des participants signalent désormais des attaques multivecteurs. Ces attaques complexes de longue durée combinent différentes techniques pour percer les défenses en place afin d’atteindre leurs objectifs. Les attaques multivecteurs sont les plus difficiles à neutraliser et nécessitent une protection à plusieurs niveaux. Les récentes attaques contre des établissements financiers en sont des exemples criants.

Les pirates visent volontiers les infrastructures cloud car ces dernières sont gérées par des opérateurs en charge de la fourniture, de la diffusion et de l’hébergement d’un volume considérable de contenus, ce qui permet aux attaques de créer des dommages collatéraux. En effet, en s’attaquant à l’un de ces opérateurs ou de ses clients au sein d’une infrastructure mutualisée, il est possible de toucher un nombre indéterminé d’utilisateurs de cette même infrastructure. Lorsqu’un seul domaine est ciblé, ce sont donc des centaines de milliers d’autres domaines qui peuvent connaître des problèmes d’accès voire devenir inaccessibles. Ces dégâts ne sont pas isolés ou circonscrits à une zone donnée. Les effets d’une attaque peuvent ainsi facilement faire boule de neige.

Neutralisation des menaces sur site

Il est impératif de disposer d’une visibilité sur les botnets à l’origine des attaques DDoS, en particulier lorsque celles-ci changent constamment de forme afin d’échapper à toute détection. Un système de protection combinée à un dispositif de protection en amont chez le FAI permet de mettre en œuvre une stratégie de défense à plusieurs niveaux afin de combattre les attaques DDoS aussi bien volumétriques qu’applicatives.

Un système de protection DDoS sur site peut, grâce à une détection des menaces par une inspection des paquets et grâce à diverses contre-mesures, bloquer les attaques évoluées, par exemple applicatives, difficiles à repérer dans le réseau. Ce système installé en local doit offrir une visibilité sur les services et applications IP critiques fonctionnant dans le centre de données (notamment le trafic HTTP, DNS, VoIP/SIP ou SMTP). Moyennant la visibilité adéquate, il est possible de protéger le centre de données contre de nombreux types d’attaques : TCP State Exhaustion, HTTP/Web, DNS Floods/Authentication, TCP SYN Floods, Spoofed/Non-Spoofed, UDP Floods, etc.

Une solution intelligente

Une protection sur site efficace doit s’activer sans retard en cas d’attaque de façon à éviter toute interruption du fonctionnement des services. Il ne doit y avoir aucun retard entre la détection et la neutralisation de toutes les menaces issues des botnets. Cette protection ne doit être ni lourde ni excessivement coûteuse à mettre en œuvre. Elle ne doit ni exiger de compétences internes pointues ni du personnel à plein temps pour être efficace à 100%.

Il est essentiel, pour les hébergeurs et les datacenters de déployer une solution de sécurité à plusieurs niveaux, capable de protéger simultanément l’infrastructure de sécurité ainsi que les services IP vulnérables aux attaques ou infections. Cette défense à plusieurs niveaux est la seule à même de préserver la continuité des services de l’hébergeur ou du datacenter. En collaborant avec les éditeurs du marché qui proposent des solutions efficaces et leurs partenaires intégrateurs les hébergeurs et les opérateurs de datacenters peuvent aider les utilisateurs à protéger des cybermenaces.


Voir les articles précédents

    

Voir les articles suivants