Actu
Réaction Nomios : Attaques DDoS basées sur des botnets d’objets connectés (OVH, blog Brian Krebs)
septembre 2016 par Stéphanie Huon, Ingénieure Réseaux et Sécurité chez Nomios
Stéphanie Huon, Ingénieure Réseaux et Sécurité de l’intégrateur Nomios,
livre son analyse sur les nouveaux cas d’attaques DDoS utilisant des botnets
d’objets connectés qui ont depuis une semaine particulièrement ciblés OVH et le
blog du chercheur en cybersécurité Brian Krebs :
Les attaques DDoS utilisant des botnets à base d’objets connectés se
multiplient. Pour les hackers, les objets connectés sont une cible
particulièrement intéressante pour deux raisons principales : la plupart des
objets connectés ont des OS minimalistes et non sécurisés alors qu’il
n’existe pas pour l’instant de normes pour standardiser la sécurisation des
objets. Les particuliers utilisent les objets connectés sans se rendre compte du
danger alors que la maison est le lieu qui renferme les objets les plus dangereux,
tels que les thermostats, les stations météo, les caméras IP car ils sont
connectés par définition en permanence. De plus ces objets ne sont clairement
jamais mis à jour par les utilisateurs car ils sont plug and play.
Le second vrai problème à soulever est l’arrivée du haut débit chez les
particuliers. Finalement, l’attaque vécue par OVH avec un débit de plus de 1Tb,
cela ne représente que 1000 fibres de 1Gb !
Alors comment se prémunir de ce type d’attaque ?
Avec les attaques DDos, nous pouvons distinguer deux types d’impacts :
– Sur la partie télécoms
– Sur les Infrastructures
avec la saturation, des équipements du SI (Serveurs, routeurs, firewalls, WAF,
load-balanceur).
La nécessité est de pouvoir les couper le plus près possible de la source (ou le
plus loin du site attaqué). Lorsque l’on met uniquement en place des solutions
sur site, les liens télécoms sont très rapidement et facilement saturés. Nous
aurons beau protéger nos propres équipements, si notre FAI nous fournit par
exemple un lien 10Gb, il suffit de quelques dizaines d’ADSL haut débits pour
saturer le lien et rendre quasiment inaccessibles les connexions Internet de
l’entreprise. Il faut donc aussi contracter des solutions chez les FAI car ils ont
un backbone suffisant pour absorber la plupart des attaques volumétriques. Ils
pourront ensuite mettre en place ensuite des solutions permettant de rediriger
l’ensemble du trafic, le décontaminer en bloquant le trafic non légitime pour ne
laisser que le trafic légitime vers leur client final. Certains éditeurs combinent
le meilleur des deux mondes en installant un boitier sur site pour détecter et
bloquer les signaux faibles et signaler le début d’une attaque qui sera mitigée
dans le backbone de l’opérateur.
