Fabrice Clerc, Président de 6Cure : Water Torture, subir une attaque DDoS sans recevoir le moindre paquet !
octobre 2014 par Marc Jacob
6cure, en tant que « pure player » dans le domaine des solutions anti-DDoS, a souhaité, lors des Assises de la sécurité, apporté un éclairage nouveau sur ces attaques, qui risque de bousculer les idées reçues ou en tout cas, qui va à l’encontre de ce que l’on a l’habitude de lire dans ce domaine.
Quel bilan faites-vous de cette édition des Assises de la Sécurité ?
Fabrice Clerc : 2014 a été un excellent cru pour 6cure. Pour notre 3eme participation, nous gagnons en visibilité, et de nombreux RSSI confrontés à la problématique des Dénis de Service nous ont rendu visite. De plus en plus d’entre eux sont d’ailleurs convaincus de la pertinence de nos solutions, et sont sensibles à notre proposition de valeur.
Nous avons pu aussi, comme nous l’avions annoncé, bousculer un peu les idées reçues lors de notre présentation en atelier.
Justement, qu’avez-vous présenté à cet atelier ?
Fabrice Clerc :Un éclairage différent, par exemple sur la source des attaques, sur les différents modes de protection existants, et sur la nature des attaques en croissance. Nous avons évoqué notamment de nouveaux types d’attaques, qui sont peu médiatisés mais très efficaces. Enfin, tout au moins qui étaient peu médiatisés, car certaines attaques, telles que celles qui exploitent le protocole SSDP par exemple, sont désormais mentionnées dans la presse spécialisée, qui citent d’ailleurs parfois des témoignages très récents de certains de nos concurrents.
On associe souvent les attaques DDoS à des attaques massives, à fort volume en termes de données échangées, en termes de paquets. Est-ce toujours le cas ?
Fabrice Clerc : Effectivement, il y a eu beaucoup de bruit autour des attaques massives qui s’appuient sur des protocoles type DNS, NTP, SNMP même si la majorité d’entre elles restent très connues et basiques comme les attaques « http Get Flood », « Syn flood », etc.
Ce qui est, en revanche, plus gênant ce sont les attaques lentes ou plus discrètes. Nous avons eu à faire cette année et nous avons toujours à faire, par exemple, à des attaques Water Torture qui combinent l’utilisation d’une infrastructure DNS pour une attaque en réflexion, et une stratégie de saturation lente. Le principe de cette attaque est de réaliser un DDoS sans vous envoyer un seul paquet ! On est donc loin des attaques massives traditionnelles et pourtant le résultat final est bien le même.
L’attaquant qui cible un site web, va solliciter le serveur DNS, en lui envoyant des requêtes spécifiques, comportant en « préfixe » un nom de sous-domaine aléatoire (1 à 16 caractères), et en « suffixe » le nom de domaine correspondant au site visé.
Pour cela, cet attaquant va mobiliser un botnet, dont les membres vont envoyer des requêtes (telles que décrites ci-avant) vers des open resolvers DNS, qui vont les transmettre au serveur DNS primaire dont dépend le nom de domaine visé.
Le serveur DNS primaire, qui ne connait pas les adresses IP correspondant aux requêtes forgées aléatoirement, va solliciter les serveurs autoritaires. Ces derniers sont évidemment incapables de donner la réponse puisque celle-ci n’existe pas. Ils vont donc commencer à ralentir sous le nombre de requêtes à traiter, puis rapidement, vont devenir incapables de traiter les requêtes si ce nombre augmente.
Ils deviennent alors indisponibles, y compris pour les utilisateurs légitimes qui souhaitent accéder au site, et le site web visé devient donc également indisponible, sans avoir reçu un seul paquet d’attaque.
En prime, l’attaquant peut se faire passer pour le DNS autoritaire en répondant à sa place, et en fournissant la réponse aux requêtes légitimes. IL peut ainsi donner l‘adresse IP de son choix, empoisonner le cache DNS, et faire en sorte que tout le trafic DNS associé au site soit détourné vers lui, une fois que l’attaque aura cessé.
Enfin, et surtout, cette attaque pose un problème potentiellement plus grave, car le DNS primaire peut être mis lui-même hors service en mobilisant relativement peu de moyens, si l’attaquant sait exploiter à son profit le fonctionnement de ce DNS primaire.
Prenons l’exemple d’un attaquant qui mobilise un botnet de seulement 1000 machines, en leur demandant à chacune d’émettre seulement 5 requêtes par secondes sur 2 noms de domaines. Le botnet génère ainsi 10000 requêtes par secondes. Cela représente un volume assez faible, et les requêtes risquent de toutes façons de passer inaperçues, car elles sont non-redondantes.
Si les DNS autoritaires sont indisponibles, le DNS primaire qui reçoit ces requêtes, va se mettre en attente des réponses, avec un timeout initial de 5 secondes. En cas d’échec, il va refaire une tentative en doublant le timeout. Il peut ainsi renouveler l’opération entre 2 et 4 fois, et en doublant à chaque fois le temps d’attente.
Ainsi, un DNS primaire peut se retrouver rapidement face à plusieurs centaines de milliers de requêtes à gérer, ce qui devient considérable. Il a donc toutes les difficultés à servir l’ensemble des requêtes légitimes, et peut rapidement devenir indisponible. De cette façon, les autres sites dépendant de ce serveur DNS primaire seront aussi injoignables.
Avez-vous d’autres informations inédites ?
Fabrice Clerc : Oui, mais nous préférons vous réserver la surprise, et éviter de les citer, pour être sûr d’avoir le plaisir d’être les premiers à vous en parler de manière détaillée.
Articles connexes:
- Benoît Grunemwald, ESET France : Venez découvrir les arcanes du marché noir de la cybercriminalité lors des assises de la sécurité
- Arnaud Cassagne, Nomios : il faut ouvrir les yeux des utilisateurs sur ce qui peut leur paraître anodin
- Stéphane Oziol, Checkmark : Il est indispensable de sécuriser les applications
- Kaveh Tofigh, ForgeRock : Dans l’économie numérique actuelle, les gagnants seront déterminés par leur capacité à répondre aux questions d’identités
- Nicolas Bonte, NetIQ : En 2014, les RSSI doivent prendre à bras le corps le problème de l’identité
- Philippe Fonton, neXus Technology : les RSSI souhaitent des solutions de gestion des identités qui simplifient la gestion des droits et des accréditations
- Thierry Pertus, Conix : la SSI doit être aussi traitée au travers de la gouvernance à l’opérationnel
- David Grout, Intel Security : Vers toujours plus de simplification du management de nos solutions
- Michel Tiberini, Président, Quotium : la protection des applications est indispensable
- Fabrice Clerc, Président de 6cure : en matière de DDoS nous vous proposons un éclairage loin des idées reçues !
- Emmanuel Volckringer, Steria France : l’innovation est au cœur de l’ADN de Steria
- Gaël Barrez, ForeScout Technologies, Inc. : « La seule limite de notre solution c’est votre imagination » !
- Jean-François Aliotti, Directeur Général de NetXP : le DDoS menace majeure pour les RSSI au cours de 5 prochaines années
- Sébastien Faivre, Brainwave : la meilleure approche pour limiter les risques reste de restreindre l’accès aux applications et aux données sensibles
- Stéphane Pacalet, Profil Technology/Bitdefender France : Venez découvrir Bitdefender GravityZone pour sécuriser les clouds hybrides
- Béatrice Bacconnet, Directeur Exécutif Bertin IT : La protection des OIV est pour nous une question de sûreté de la Nation
- Hervé Rousseau, Directeur d’Openminded Consulting : Nous sommes drivés par l’expertise technique et l’innovation
- Théodore-Michel Vrangos, Président d’I-TRACING : Le métier de la sécurité SI est aujourd’hui clé en entreprise
- Thierry Evangelista, Orange Business Services : il est nécessaire de mettre en place un plan d’action en cas d’attaque ou de compromission de données
- Daniel Benabou et Daniel Rezlan, Idecsi : les boites mails des dirigeants et VIP doivent être particulièrement protégées
- Rodolphe Moreno, Infoblox : Les RSSI vont devoir trouver des solutions pour se protéger des risques d’indisponibilité
- Charles Hirel, AirWatch by VMware, une solution pour tous vos besoins de mobilité d’entreprise
- Bertrand Augé, CEO de Kleverware : J’aime à croire que le dicton « La confiance n’empêche pas le contrôle » sera un jour adopté par tous !
- Philippe Jouvellier HP : Les applications sont le talon d’Achille des systèmes d’information !
- Dominique Meurisse, Directeur des Opérations de Wallix : Le message est simple, le WAB c’est Maintenant !
- Florian Malecki, International Product Marketing Director, Dell Network Security de Dell
- Pierre Goyeneix, Splunk : Splunk Enterprise Security, pour avoir une vision à 360° des systèmes d’informations
- Laurent Maury, Thales : Il est nécessaire de passer à la "cyber-secured by design"
- Luc Caprini, Ping Identity : Avec le développement du Cloud et de la mobilité, l’identité est devenue la clé de la sécurité !
- Ghaleb Zekri, Juniper Networks : L’« Open Security Intelligence Platform » rend les Firewalls dynamiques et intelligents
- Gaël Kergot, CA Technologies, France : les RSSI ont un rôle essentiel et stratégique pour leurs entreprises et l’économie digitale
- Alexandre Fayeulle, PDG d’Advens : La sécurité est un pré-requis indispensable à la réussite de la « civilisation numérique »
- Emmanuel Macé, Akamai : le Big Data peut renforcer la sécurité
- Nicolas Brulez, Kaspersky Lab : le Spear phishing toujours aussi efficace pour mener à bien des attaques ciblées
- Emmanuel Schupp, Citrix : l’expérience utilisateur et la sécurité sont intimement liées
- Michel Lanaspèze, Sophos : en matière de sécurité, la simplicité est une vertu
- Gérôme Billois, Solucom : les métiers de plus en plus conscients du besoin d’intégrer la sécurité dans les nouveaux projets
- Laurent Gautier, Ilex International : la gestion des identités et des accès, un levier business pour les métiers
- Barbara Goarant, CS Communication & Systèmes : la cybersécurité a besoin de standardisation pour formaliser les échanges entre les différents acteurs
- Arnaud Casali, Jaguar Network : Nous accompagnons les entreprises dans leur changement en structurant leurs projets de croissance et en rationnalisant leurs infrastructures IT
- Ismet Geri, Proofpoint : TAP pour intercepter les URL malicieuses avant que les utilisateurs ne cliquent
- Florent Embarek, A10 Networks : Devant la recrudescence des menaces plus que jamais la sécurité constitue la colonne vertébrale du SI
- Loïc Guézo, Trend Micro : Découvrez comment avoir le pouvoir de dire oui, avec les offres et solutions de Trend Micro !
- Ronald De Temmerman, GlobalSign : Nous sommes bien plus qu’un fournisseur de certificats SSL
- Nathalie Schlang, Oodrive : la facilité d’utilisation n’écarte pas la sécurité
- Pascal Colin, CEO, OpenTrust : nous nous réjouissons de l’entrée en vigueur du règlement eIDAS
- Frédéric Pierre, Avencis : la gestion des identités, des habilitations et des accès est un outil essentiel au service de la sécurité et de la qualité de service du SI
- Dominique Loiselet, Blue Coat : les entreprises doivent s’inscrire dans une stratégie du type « Réponse Continuelle »
- Jean-Michel Orozco, Président de CyberSecurity chez Airbus Defence and Space : tous les acteurs de la sécurité doivent continuer à démocratiser la cyber sécurité
- Bart Vansevenant, Verizon : une nouvelle approche de détection des incidents est nécessaire
- Philippe Siour, Unisys France : Stealth, une solution complémentaire aux mécanismes de sécurité AWS
- Jacques Pantin, Morpho Dictao : Dictao unit ses forces à Morpho pour répondre aux besoins de la nouvelle économie numérique
- Stéphane Pitavy, Fortinet : la protection globale des systèmes d’informations au cœur de nos préoccupations
- Marc Hudavert, SVP Identity & Access de Gemalto Notre ADN s’est forgé autour de la sécurité et de la mobilité
- Bertrand Braux, Cryptolog : 2014 sera l’année de la signature électronique
- Jean-Christophe Touvet, Devoteam : La maturité sécurité de l’entreprise permet-elle de protéger votre business ?
- David Remaud, SPIE Communications : Internet des objets quelles sont les premières briques de sécurité à mettre en œuvre ?
- Philippe Duluc, Bull : le Big Data doit s’insérer dans le SMSI
- Eric Boulay, PDG d’Arismore et Michel Arpin, PDG de Kernel Networks : Nous souhaitons devenir le champion français de la gestion d’identité
- Sophie Grynszpan, HARMONIE TECHNOLOGIE : Nous sommes un « pure player SSI »