Nous suivre Industrie Techno

Les cyberattaques par déni de service explosent

Les cyberattaques par déni de service explosent

© source Black Lotus

Démocratisées et médiatisées par le mouvement politique Anonymous, les attaques par déni de service, dites aussi attaques distribuées ou DDoS, consistent à saturer et faire tomber un serveur par l'attaque d'une multitude de systèmes. Elles augmentent de 20% par an. Dernières victimes en date : Amazone, Pay Pal ou encore la Réserve Fédérale américaine suite au suicide d’Aaron Swartz.  Karine de Ponteves, analyste AV de l’équipe FortiGuard chez Fortinet détaille leurs caractéristiques.

Bien qu’on ne puisse pas dire avec certitude quand la première attaque par déni de service s’est produite, la première opération de grande envergure est, elle, bien documentée. Elle a eu lieu en 1999, contre le serveur IRC de l’université du Minnesota. 227 systèmes ont été touchés et l’attaque a rendu le serveur de l’université inutilisable pendant deux jours. En février 2000, de nombreux sites Web populaires tels que Yahoo!, eBay, CNN, Amazon.com, ZDNet.com ont été paralysés pendant des heures. Yahoo! a subi une perte de 500 000 dollars durant ses trois heures d’inaccessibilité, le volume d’activité du site CNN.com a chuté de 95% et ZDNet était pratiquement inaccessible. La perte due à cette inaccessibilité a été énorme. Un Canadien âgé de 15 ans, connu sous le nom de “Mafiaboy”, a été arrêté et inculpé pour les attaques. Sa motivation? Le défi. Cet adolescent voulait juste dévoiler ses talents. Pour ce faire, il a scanné un réseau pour trouver un certain nombre d’hôtes vulnérables, a compromis les hôtes en exploitant une vulnérabilité connue, a déployé un logiciel transformant l’hôte en un “zombie” et ensuite a propagé l’attaque de sorte que chaque zombie compromette à son tour de nouvelles cibles, en suivant le même procédé.

2005: Une attaque lucrative

Au début des années 2000, pour créer un botnet visant à lancer une attaque DDoS, le pirate devait suivre les mêmes étapes que celles utilisées par Mafiaboy. Avec l’avènement des vers Internet, ces étapes sont devenues automatisées, permettant au pirate de déclencher des attaques de grande envergure. En Août 2005, Farid Essabar âgé de 18 ans, qui n’avait jamais étudié la programmation informatique, a été arrêté pour la propagation du ver MyTob. Le ver ouvrait une porte dérobée de l’hôte MS Windows infecté, se connectait à un serveur IRC à distance et attendait les instructions. Il s’autopropageait au redémarrage en se répliquant sur les partages réseaux, ouvrait la porte à des attaques DDoS massives avec tous les hôtes compromis par le ver et exécutait les instructions envoyés sur l’IRC. L’épidémie a été retransmise en direct sur CNN car le réseau d’ordinateurs de la chaîne TV était lui-même infecté. Quelles étaient les intentions cette fois-ci? En réalité, le but n’était pas de perturber les réseaux des entreprises, mais d’extorquer  des milliers de dollars en les menaçant de cibler leurs réseaux par des attaques DDoS. Les entreprises visées payaient au plus vite plutôt que de faire face aux conséquences d’une attaque DDoS.

2010: DDoS et hacktivisme

En 2010, les attaques DDoS ont été largement médiatisées par la presse pour des questions politiques ou idéologiques telle que l’affaire Wikileaks/Anonymous. Cette année-là, les assaillants ont considérablement augmenté les volumes d’attaques, et, ont lancé pour la première fois des attaques franchissant le cap des 100Gbit/s, ce qui représente environ 22 000 fois la bande passante moyenne d’un Internaute aux Etats-Unis en 2010.

En Décembre, Wikileaks a subi de fortes pressions pour cesser de publier des documents classifiés de l'armée US. En réponse, le groupe Anonymous les a soutenu, et a qualifié par d’"Operation Payback" (Opération Représailles) la série d’attaques DDoS qu’il a menées contre Amazon, PayPal, MasterCard et Visa. Ces attaques ont fait tomber les sites Web MasterCard et Visa le 8 Décembre. L’outil utilisé pour ces attaques est appelé Low Orbit Ion Cannon (LOIC). Bien qu’il soit à l’origine un outil de test de charge open-source, conçu pour effectuer des tests de résistance pour les applications web, il a été dans ce cas utilisé comme un outil DDoS.

2012 et au-delà: L’accélération des attaques vise la couche applicative

Bien qu’il existe de nombreuses méthodes d’attaques différentes, les attaques DDoS peuvent être classées en deux catégories:

− Les attaques volumétriques: les attaques par inondation saturent la bande passante du réseau et l’infrastructure (exemple: UDP, TCP SYN, ICMP).

− Les attaques visant la couche applicative: elles sont conçues pour cibler des services spécifiques et épuiser leurs ressources (HTTP, DNS). Parce qu’elles utilisent moins de bande passante, elles sont plus difficiles à détecter. La situation idéale pour les attaques DDoS visant la couche applicative : tous les autres services restent intacts tandis que le serveur web est totalement inaccessible. Le logiciel Slowloris, né de ce concept, se distingue donc de la plupart des outils d’inondation par son caractère furtif.

Une augmentation de 20% à 45%

D’après Stratecast, les attaques DDoS ont augmenté de 20% à 45% par an, avec des attaques DDoS applicatives, qui connaissent une croissance à trois chiffres. La tendance des attaques DDoS visant la couche applicative est claire, et ne risque probablement pas de s’inverser. Cependant, cette tendance ne démontre pas que les attaques volumétriques sur les flux ou sur le réseau cesseront. Au contraire, les deux types d’attaques vont s’associer pour être plus puissantes. Le rapport annuel Verizon sur la violation des données (2012 Verizon Data Breach Investigations) révèle que plusieurs attaques DDoS visant la couche applicative, qui cachent des attaques volumétriques, ont été utilisées pour voler des données, ce qui prouve que les attaques multivectorielles sont dorénavant utilisées pour dissimuler la véritable cible de l’attaque.

Les attaques DDoS gagnent en fréquence et en intensité tandis qu’en parallèle, les moyens de lancer une attaque sont simplifiés et la disponibilité des outils pour l’assaillant augmente. En outre, la complexité de ces attaques est en hausse en raison de leur nature polymorphe ainsi que le développement de nouveaux outils pour dissimuler leur véritable nature. En conséquence, les méthodes traditionnelles de détection sont souvent inutiles et l’atténuation devient plus difficile. Avec une telle évolution, il est essentiel que les organisations révisent leur posture de sécurité et s’assurent d’avoir les moyens de défense adéquats pour se protéger des attaques DDoS.

Le principal défi est d’avoir une visibilité et un environnement suffisant pour détecter un large éventail de types d’attaques sans ralentir le flux et le traitement du trafic légitime; et ensuite atténuer l’attaque de la manière la plus efficace. Une stratégie de défense multi-couches est donc indispensable pour permettre un contrôle précis et une protection de tous les composants qui sont au coeur des activités en ligne.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

[Avis d’expert] Infiltration des centrales énergétiques : autopsie d’une cyberguerre furtive

Avis d'expert

[Avis d’expert] Infiltration des centrales énergétiques : autopsie d’une cyberguerre furtive

Comment des hackers parviennent-ils à s’infiltrer dans les systèmes d’opération des centrales[…]

Transformateur pour smart grids, reconnaissance gestuelle, polymère de résistance au feu... les innovations qui (re)donnent le sourire

Transformateur pour smart grids, reconnaissance gestuelle, polymère de résistance au feu... les innovations qui (re)donnent le sourire

La commande gestuelle s’intègre dans les technologies de réalité virtuelle et augmentée Qualcomm

La commande gestuelle s’intègre dans les technologies de réalité virtuelle et augmentée Qualcomm

 Un transformateur plus compact pour les smart grids

 Un transformateur plus compact pour les smart grids

Plus d'articles