L’étude annuelle d’Arbor Networks sur la sécurité des infrastructures IP mondiales (réalisée auprès des responsables de la sécurité opérationnelle d’Internet et publiée en février 2012) corrobore ce constat. Pas moins de 66% des personnes interrogées citent l’hacktivisme et le vandalisme à motivation idéologique comme principal mobile des attaques par déni de service distribué (DDoS) contre leurs entreprises. De fait, une attaque de ce type a visé la BBC le mois dernier, paralysant sa messagerie et d’autres services Internet. La télévision britannique suspecte cette attaque d’avoir été lancée par un cybercommando iranien en vue d’interrompre ses émissions en langue perse. Récemment, c’est le site Web du ministère britannique de l’Intérieur (Home Office) qui a fait l’objet de ce qui pourrait marquer le début d’une série d’attaques hebdomadaires contre les administrations du pays.

Banalisation du phénomène DDoS

Ce ne sont toutefois pas seulement les entreprises en vue ou impliquées dans la politique qui sont menacées. Toute entreprise présente sur Internet – ce qui est le cas des entreprises de pratiquement tout type et toute taille dans les pays occidentaux – peut devenir une cible, en raison de ce qu’elle est ou vend, de ses partenaires, ou pour tout autre lien réel ou supposé qu’elle est susceptible d’entretenir. Personne n’est à l’abri.

Il existe sur le marché une profusion de nouveaux outils d’attaque faciles d’accès et rapides à télécharger. Cette vidéo (http://ddos.arbornetworks.com/2012/02/ddos-attack-tools-a-visual-guide/) montre la multitude d’outils aujourd’hui à la portée de tout individu mal intentionné et disposant d’une connexion Internet pour lancer une attaque. Par ailleurs, les botnets constituent une économie souterraine prospère et fleurissent un peu partout, permettant aux premiers venus de louer leurs services à moindre coût. Tout comme une entreprise peut s’abonner auprès d’un prestataire technologique ou d’un service de neutralisation DDoS en mode cloud, des hacktivistes peuvent souscrire à un service DDoS afin de mener des attaques. Rien n’est plus simple.

Si l’« hacktivisme » a monopolisé l’attention des médias dernièrement, nous observons cependant des cas d’attaques DDoS ayant des visées commerciales. Par exemple, les services de sécurité russes (FSB) ont arrêté le PDG de ChronoPay, principale société de traitement des paiements en ligne du pays, car ils le soupçonnent d’avoir engagé un hacker pour attaquer certains de ses concurrents. Il est notamment accusé d’avoir commandité une attaque DDoS contre Assist, laquelle a paralysé le système de ventes de billets sur le site Web de la compagnie Aeroflot. Un ex-dirigeant de YouSendIt a pour sa part déclenché une attaque DDoS contre les serveurs de son ancienne entreprise, apparemment par esprit de vengeance. Ces deux exemples montrent combien il est simple et facile de lancer des attaques.
Tous ces facteurs ont d’énormes conséquences sur le paysage des menaces, le profil des risques, l’architecture des réseaux et les dispositifs de sécurité pour l’ensemble des opérateurs et des entreprises.

Les défenses doivent s’adapter

En se banalisant, les attaques DDoS ont elles-mêmes évolué. Les méthodes traditionnelles (attaques volumétriques à forte bande passante) cèdent ainsi la place à des attaques au niveau de la couche applicative, contre les pare-feu ou les systèmes de prévention d’intrusion (IPS), avec toutes les combinaisons possibles de ces trois techniques.

Les attaques multivecteurs – mettant en œuvre plusieurs techniques simultanément – deviennent monnaie courante. Une attaque DDoS de grande envergure menée contre Sony en 2011 a ainsi détourné l’attention de la société de failles de sécurité qui ont ouvert l’accès à des comptes d’utilisateurs sur ses réseaux PlayStation Network, Qriocity et Sony Online Entertainment.

Qu’elles aient simplement pour but de « faire tomber » un réseau ou bien de créer une diversion pour le vol de données confidentielles, les attaques DDoS ne cessent de gagner en complexité et en sophistication. Si certaines peuvent atteindre les 100 Gbit/s, les attaques applicatives à faible bande passante sont appelées à prédominer car elles sont beaucoup plus difficiles à détecter avant d’avoir eu un impact sur les services.

Parmi les responsables consultés dans le cadre de l’enquête d’Arbor Networks, 40% signalent la défaillance d’un pare-feu ou d’un système IPS en ligne et, 43% celle d’un répartiteur de charge, à la suite d’une attaque DDoS. Si ces équipements ont leur place et jouent un rôle important dans le dispositif global de sécurité informatique d’une entreprise, ils ne sont pas conçus pour en protéger la disponibilité. Afin d’assurer la meilleure protection possible, les entreprises doivent adopter une approche à plusieurs niveaux, associant une appliance spécialisée sur site et un service « dans le cloud ».

Traiter le problème à long terme

Qu’en est-il du coût pour les entreprises ? Le coût d’une coupure des services et fonctions Internet a sans nul doute un impact considérable, non seulement en termes financiers (manque à gagner, défection de la clientèle) mais aussi sur la réputation d’une entreprise.

L’attaque contre le réseau Playstation de Sony a coûté à la société 171 millions de dollars « au comptant », mais les conséquences ultérieures et la contre-publicité se sont également chiffrées à plusieurs milliards et en érosion de sa capitalisation boursière. Même s’il s’agit là d’un cas extrême, rares sont les entreprises qui peuvent se permettre de supporter une telle crise de disponibilité pendant une période tant soit peu prolongée.

La neutralisation des attaques DDoS n’est pas un palliatif à court terme. Cette démarche doit s’inscrire dans la planification globale des risques par une entreprise. Tout comme la sécurité physique doit prendre en compte l’incendie ou les conditions météorologiques extrêmes, la sécurité numérique implique d’évaluer les menaces pour la disponibilité, notamment les attaques DDoS. Il devient de plus en plus important d’élaborer un plan permettant de les identifier et de les bloquer avant qu’elles n’aient un impact sur les services, à l’image d’un plan de gestion des catastrophes naturelles (séismes ou inondations).

Il est temps pour les entreprises de tenir compte des attaques DDoS dans leurs plans de continuité d’activité. Faute de cela, si elles se trouvent attaquées, le chaos qui en résultera et l’absence d’outils adéquats ne feront que prolonger la durée de l’indisponibilité et en accroître les coûts tant du point de vue financier dans l’immédiat qu’en matière de préjudice pour l’image de marque sur le long terme.