Nous avons tous entendu parler d’attaques DDoS (déni de service distribué) l’an passé, notamment celles lancées contre Krebs et DYN.
Un phénomène qui saute peut-être moins aux yeux est cependant la tempête d’activité DDoS qui sévit chaque jour sur Internet, touchant les entreprises comme les consommateurs.
Si des attaques DDoS se produisent depuis plus de 20 ans, elles n’ont cessé d’évoluer pour se développer et représenter un risque majeur pour les entreprises. Trois grands problèmes viennent accentuer ce risque :
- Les entreprises sont bien plus nombreuses à dépendre d’Internet pour leurs interactions avec leurs clients, fournisseurs, partenaires et collaborateurs. L’adoption du cloud, des mobiles et du télétravail inscrit pratiquement chaque entreprise dans un maillage de données et de services applicatifs, dont la disponibilité est critique.
- L’évolution des attaques DDoS s’est accélérée depuis 2013, avec la montée en flèche de leur ampleur, de leur fréquence et de leur complexité. Le pic d’attaque constaté par Arbor Networks en 2016 a atteint 800 Gbit/s, soit un bond de 60 % par rapport à l’année précédente, tandis que notre système de veille ATLAS a détecté 558 attaques dépassant 100 Gbit/s au cours de cette même année, contre 223 en 2015. La fréquence des attaques s’est elle aussi démultipliée l’an passé, 42 % des entreprises en ayant rapporté au moins une (53 % des administrations et 63 % des établissements financiers) et près de la moitié d’entre elles plus de 10 par mois, contre à peine plus d’un quart en 2015. En outre, la complexité des attaques s’est également accrue : 67 % des opérateurs ont fait état d’attaques DDoS multivecteurs (les plus complexes) sur leurs réseaux, contre 56 % en 2015 et 32 % en 2014. L’évolution est donc considérable.
- Les auteurs d’attaques DDoS ont transformé leurs vecteurs en armes accessibles à tout un chacun qui, pour une poignée de dollars, peut lancer des attaques volumétriques massives visant à saturer les connexions Internet ou encore des attaques multivectorielles aux mécanismes très élaborés.
Cela dit, ce ne sont pas seulement les attaques elles-mêmes qui évoluent mais aussi les systèmes hôtes utilisés pour générer le trafic d’attaque. Au début des années 2000, il était beaucoup question de vastes réseaux d’ordinateurs domestiques infectés et transformés en machines zombies pour former des botnets DDoS. Depuis lors, vous avons assisté à la montée en puissance des « canons à paquets », c’est-à-dire des serveurs de datacenter piratés (ou achetés) dans le but de générer des volumes élevés de trafic d’attaque, en combinaison avec des mécanismes tels que l’amplification par réflexion afin de lancer des attaques de plusieurs centaines de Gbit/s. Cependant, 2016 aura sans l’ombre d’un doute été l’année des botnets DDoS IoT (exploitant l’Internet des objets).
Le simple nombre d’équipements IoT disponibles ainsi que leur absence de fonctions de sécurité en font des cibles de choix pour les attaques cherchant à constituer des botnets. Si les botnets IoT n’ont rien de nouveau et existent depuis quelques années déjà, 2016 a été le théâtre d’une recrudescence massive de l’instrumentalisation de ces objets par des acteurs malveillants à travers le monde. Nous connaissons tous les résultats.
L’examen de l’activité des botnets IoT contribue également à illustrer la militarisation des botnets DDoS IoT : nous avons relevé 11 000 attaques DDoS lancées par des botnets IoT en l’espace de 3 mois, soit une véritable tempête.
Comment s’en protéger ?
Quand bien même tous les fabricants d’équipements IoT se décideraient soudain à renforcer leurs produits en les dotant des dispositifs de sécurité appropriés, quantité de ces objets ne recevraient jamais de correctifs ou de mises à jour. S’il est indispensable d’améliorer la sécurité des équipements IoT à l’avenir, il l’est tout autant de nous protéger contre les dangers de ceux qui sont déjà en service.
La priorité consiste à prévenir le piratage de nos équipements. Les particuliers comme les entreprises doivent appliquer les meilleures pratiques, en segmentant leurs réseaux et en mettant en place des contrôles d’accès adéquats de sorte que les équipements IoT ne puissent communiquer qu’avec les services et utilisateurs habilités. Les mots de passe par défaut doivent être modifiés et, dans la mesure du possible, les dernières mises à jour du firmware installées afin d’éliminer les vulnérabilités. Une surveillance doit également être instaurée de façon que toute activité inhabituelle sur le réseau puisse être identifiée rapidement et faire l’objet d’une enquête.
Les mesures ci-dessus feront en sorte que nos propres équipements ne contribuent pas au problème actuel mais il nous faut aussi veiller à mettre en place les services et solutions aptes à protéger la disponibilité de nos ressources Internet essentielles contre les attaques DDoS. Une protection à plusieurs niveaux, intégrant une composante à la périphérie du réseau et des services hébergés dans le cloud ou chez un prestataire, est la solution à privilégier, capable de mettre en échec les attaques DDoS et de maintenir la connectivité et la disponibilité des services pour protéger la continuité d’activité.
La tempête permanente d’activité DDoS sur Internet ne montre aucun signe d’essoufflement, bien au contraire. Chaque entreprise doit donc veiller à bien s’en prémunir et à mettre en place les meilleurs services et solutions de défense disponibles pour affronter ce risque.