Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Réaction Nomios : Attaques DDoS basées sur des botnets d’objets connectés (OVH, blog Brian Krebs)

septembre 2016 par Stéphanie Huon, Ingénieure Réseaux et Sécurité chez Nomios

Stéphanie Huon, Ingénieure Réseaux et Sécurité de l’intégrateur Nomios, livre son analyse sur les nouveaux cas d’attaques DDoS utilisant des botnets d’objets connectés qui ont depuis une semaine particulièrement ciblés OVH et le blog du chercheur en cybersécurité Brian Krebs :

Les attaques DDoS utilisant des botnets à base d’objets connectés se multiplient. Pour les hackers, les objets connectés sont une cible particulièrement intéressante pour deux raisons principales : la plupart des objets connectés ont des OS minimalistes et non sécurisés alors qu’il n’existe pas pour l’instant de normes pour standardiser la sécurisation des objets. Les particuliers utilisent les objets connectés sans se rendre compte du danger alors que la maison est le lieu qui renferme les objets les plus dangereux, tels que les thermostats, les stations météo, les caméras IP car ils sont connectés par définition en permanence. De plus ces objets ne sont clairement jamais mis à jour par les utilisateurs car ils sont plug and play.

Le second vrai problème à soulever est l’arrivée du haut débit chez les particuliers. Finalement, l’attaque vécue par OVH avec un débit de plus de 1Tb, cela ne représente que 1000 fibres de 1Gb !

Alors comment se prémunir de ce type d’attaque ?

Avec les attaques DDos, nous pouvons distinguer deux types d’impacts :
- Sur la partie télécoms
- Sur les Infrastructures avec la saturation, des équipements du SI (Serveurs, routeurs, firewalls, WAF, load-balanceur).

La nécessité est de pouvoir les couper le plus près possible de la source (ou le plus loin du site attaqué). Lorsque l’on met uniquement en place des solutions sur site, les liens télécoms sont très rapidement et facilement saturés. Nous aurons beau protéger nos propres équipements, si notre FAI nous fournit par exemple un lien 10Gb, il suffit de quelques dizaines d’ADSL haut débits pour saturer le lien et rendre quasiment inaccessibles les connexions Internet de l’entreprise. Il faut donc aussi contracter des solutions chez les FAI car ils ont un backbone suffisant pour absorber la plupart des attaques volumétriques. Ils pourront ensuite mettre en place ensuite des solutions permettant de rediriger l’ensemble du trafic, le décontaminer en bloquant le trafic non légitime pour ne laisser que le trafic légitime vers leur client final. Certains éditeurs combinent le meilleur des deux mondes en installant un boitier sur site pour détecter et bloquer les signaux faibles et signaler le début d’une attaque qui sera mitigée dans le backbone de l’opérateur.




Voir les articles précédents

    

Voir les articles suivants