Attaques DDoS : votre entreprise est-elle suffisamment armée pour les déjouer ?

Les attaques par déni de service ont atteint leur paroxysme, frappant de plein fouet des entreprises dans tous les marchés verticaux. Elles s'apparentent à un parasite qui endommage internet de l’intérieur.

"L’objectif d’une organisation devrait être de consacrer le temps et l’argent nécessaires pour se protéger avec une gestion du risque appropriée"

Les attaques DDoS (pour Distributed Denial of Service) sont en recrudescence et gagnent sans cesse en complexité et en envergure. Face au grand nombre d’attaques dont les auteurs tirent parti de vulnérabilités décelées dans les protocoles internet, il faut consacrer toujours plus de temps et de ressources à l’identification des failles et à la mise en œuvre d’une stratégie ad hoc. Dès lors, plusieurs questions se posent : combien de temps une attaque peut-elle durer ? Parmi tous nos services affectés, lequel est le plus critique ? A combien se monteront nos pertes financières ? A quel point nos clients estiment-ils que notre partenariat est sûr ? Autant de considérations susceptibles de faire passer des nuits blanches à des dirigeants d’entreprise.  

Exemples de conséquences de ces attaques – Protonmail  

Protonmail, fournisseur d’un service de messagerie chiffrée, est tombé dans ces affres récemment lorsque son infrastructure a été victime de deux attaques DDoS distinctes. Elles ont paralysé son site web et l’entreprise toute entière pendant près d’une semaine. Protonmail a relevé que des monceaux de données avaient été envoyés délibérément pour saturer son réseau avec un taux de transfert "dépassant les 100 Gb/s et que son datacenter avait été pris pour cible tout comme ses routeurs de Zurich, Francfort et d’autres sites où son FAI dispose de nœuds ». L’attaque a mis Protonmail dans l’incapacité de fournir son service, et a nui à des douzaines d’autres entreprises, toutes victimes collatérales. 

Quelles motivations ?

Les attaques DDoS sont lancées pour différentes raisons : gain financier, revendications politiques ou pure malveillance.  

Le gain financier ne surprendra personne, car il est le principal motif des cyberattaques depuis une dizaine d’années. Les pirates s’en servent à des fins d’extorsion et d’espionnage industriel, et non pour le seul intérêt de nuire à l’aide de programmes malveillants, de tentatives de hameçonnage (phishing) ou de vol d’identifiants et de données. Pendant ou avant une attaque, le pirate réclame souvent une rançon pour la prévenir ou la stopper une fois lancée. Or payer la somme demandée est une décision à double tranchant car elle implique de négocier avec des criminels, qui accepteront peut-être alors de stopper leurs méfaits une fois le paiement reçu en totalité ou en partie. Il n’est pas impossible que la concurrence se serve aussi des attaques DDoS pour faire de la mauvaise publicité à une marque afin de la discréditer en démontrant son incapacité à fournir le service promis. Cette pratique est relativement répandue sur des marchés hautement concurrentiels, comme par exemple celui des paris en ligne.  

Face à la recrudescence de groupes DDoS plus ou moins bien organisés tels que les Anonymous, Lizard Squad et DD4BC, et à l’accès relativement facile à des outils permettant de lancer des attaques DDoSaaS (DDoS-as-a-service) gratuits ou coûtant une poignée d’euros, ce type d’activité est devenue à la portée de tous ou presque. Les attaques DDoS sont une arme de choix pour qui souhaite lancer une attaque pour s’amuser, semer le chaos ou faire taire une minorité qui donne de la voix sur le Net. Ce fut par exemple le cas en juin dernier, lorsque plusieurs sites web et systèmes informatiques du gouvernement canadien sont tombés suite à une attaque DDoS lancée en réaction au projet de loi C-51. Ce dernier entendait instaurer différentes mesures afin d’interdire tout forme de promotion des actes de terrorisme et d’élargir les pouvoirs des services de renseignement canadiens (CSIS).

Comment se prémunir ?

Face à une telle menace, les responsables informatiques doivent préparer leur entreprise. Toute organisation doit investir le temps et l’argent nécessaires pour se protéger, dans une démarche de gestion du risque. Il faut trouver le juste équilibre : ne pas prendre ses précautions expose à des pertes inacceptables en cas d’attaque, mais surinvestir pénalise d’autres secteurs de l’entreprise en mobilisant trop de ressources par ailleurs essentielles pour gérer d’autres risques critiques. Les quatre étapes suivantes donnent un cadre pour la protection d’une organisation : 

  1. Analyse de l’impact commercial (BIA). Une BIA a pour objectif de passer en revue les ressources de l’entreprise susceptibles d’être attaquées de l’extérieur, et de déterminer quel serait l’impact si ses activités en ligne venaient à être paralysées. Il convient au minimum d’obtenir un taux d’impact relatif pour pouvoir déterminer quelles sont les ressources les plus critiques pour l’organisation. 
  2. Il faut veiller à prendre en compte les systèmes de soutien : votre site web « vitrine » est votre ressource la plus précieuse, mais pensez à celles qui permettent de le maintenir. Les concentrateurs VPN, les serveurs de noms de domaine (DNS) et les équilibreurs de charge, sont quelques-uns des composants d’infrastructure essentiels au bon fonctionnement du site web. Eux aussi peuvent être pris pour cible par les pirates.  
  3. Assigner des objectifs de temps de restauration (RTO). Le RTO calcule le temps que votre entreprise devra passer privée de ses ressources critiques. Il donne des critères de succès pour évaluer la résistance de vos systèmes de protection face à des attaques DDoS. Plus le RTO est bas et plus il faut renforcer les protections des ressources. Décider d’attribuer un RTO de 0 à tout est très onéreux et guère réaliste. Le calcul du RTO doit être effectué en coordination avec l’équipe dirigeante de l’entreprise, pour qu’il soit en phase avec leurs souhaits et facilite l’obtention des budgets de protection anti-DDoS. 
  4. Mettre en œuvre des solutions. Il faut ensuite définir et implémenter les solutions qui permettent d’atteindre les objectifs RTO. Les solutions de lutte contre les attaques DDoS requièrent des ressources humaines, des processus et des technologies travaillant de concert. Seules, les solutions purement techniques ne suffiront pas. Certaines technologies de protection contre les attaques DDoS ont un impact sur les performances ou l’accessibilité des services qu’elles protègent, et ne doivent donc pas rester activées en permanence. De nombreuses solutions de filtrage tierces sont facturées en fonction du volume de données qui transitent via leur environnement. Dès lors, une approche de protection en continu peut vite s’avérer onéreuse.  

Il est donc préférable d’opter pour une approche progressive pour se protéger contre les attaques DDoS. 

  1. Le plus simple consiste déjà à étudier les possibilités de protection anti- DDoS intégrées à votre pare-feu, à celui de votre application web ou à d’autres équipements réseau. Ces dispositifs sont capables de repousser les attaques les plus basiques. 
  2. Les appliances sont généralement autrement plus efficaces que les systèmes de protection intégrés aux équipements réseau en place. De fait, si les protections du réseau sont essentielles pour assurer une protection en continu, elles ont leurs limites. Une attaque DDoS de grande envergure peut facilement saturer votre réseau avec un trop-plein d’informations entrantes, rendant alors vos ressources indisponibles. 
  3. Dans l’éventualité d’attaques de très grande envergure, mieux vaut s’adjoindre les services d’un spécialiste du filtrage de données. Les énormes volumes de données entrantes pourront alors être redirigés vers ce fournisseur tiers. Ce type d’acteur se targue de capacités de traitement colossales, qui lui permettent de faire le tri entre le trafic de données entrantes envoyées par les attaquants et les données légitimes, vous transmettant alors uniquement ces dernières. 

Quelles que soient les solutions techniques retenues, elles doivent être associées aux équipes et aux processus ad hoc. Les collaborateurs doivent être en mesure de reconnaître une attaque, d’activer les protections qui ne sont pas appliquées en continu, et doivent savoir comment restaurer l’environnement pour qu’il retrouve un fonctionnement normal. 

Tester les solutions en place. L’idéal est d’effectuer une série de tests, en démarrant par des petits tests discrets portant sur des parties spécifiques : 

  • Les systèmes de protection du pare-feu empêchent-ils les attaques SYN flood ? 
  • Votre appliance DDoS sur site déjoue-t-elle totalement les attaques de faible envergure ?
  • Etes-vous en mesure de dire si les problèmes de performance des ressources sont le reflet d’anomalies bénignes ou le signe d’une attaque en cours ?
  • Votre équipe est-elle capable de réagir à des attaques en redirigeant le trafic entrant vers votre prestataire de filtrage réseau assez rapidement pour atteindre vos objectifs RTO ? 
  • Votre prestataire de filtrage réseau est-il capable de traiter des volumes entrants colossaux (envoyés par les pirates), de sorte à vous réacheminer uniquement les données propres à votre activité ? 

Après avoir validé les composants individuels du programme de protection, l’étape suivante consiste à adopter une stratégie de tests complète. A ce stade, une équipe de testeurs plus expérimentés est nécessaire, à compléter éventuellement des services d’une société tierce spécialisée. Elle peut apporter un regard extérieur, en repérant les différents subterfuges auxquels un attaquant peut recourir pour s’en prendre à votre réseau. 

Les résultats de ces tests viendront enrichir votre plan de protection afin de mieux protéger votre entreprise contre les attaques DDoS. 

Conclusion 

Les attaques de type DDoS ont à l’évidence les faveurs des pirates. Travaillez dès maintenant sur votre stratégie de protection avant que les attaquants bloquent vos systèmes et réseaux. Si le risque zéro n’existe pas, vous vous donnerez les moyens de lutter de trois manières : 

  1. En ayant une vision claire d’un paysage des attaques en constante mutation, 
  2. En inventoriant les ressources de votre entreprise accessibles via internet,  
  3. En mettant en œuvre des solutions de protection adaptées
  4. Tester vos process, vos technologies et votre personnel.