Le déni de service utilisé pour cacher d’autres attaques
Un nouveau rapport alerte : les attaques en déni de service distribué de taille moyenne sont de plus en plus nombreuses, utilisées pour masquer d’autres attaques plus insidieuses.
Neustar, fournisseur de services de protection contre les attaques en déni de service distribué (DDoS), a récemment sondé près de 450 entreprises de différentes industries, pour la troisième édition de son rapport annuel sur les attaques DDoS. Trois cinquièmes des sondés ont indiqué avoir fait l’objet de telles attaques l’an passé, soit 35 % de plus qu’en 2012. Sans surprise, près de la moitié des sondés ont indiqué que les DDoS représentent aujourd’hui une plus grande menace qu’il y a un an.
Neustar a également indiqué avoir déjà contenu deux fois plus d’attaques dépassant la barre des 100 Gbps de bande passante consommée, en 2014, que sur la même période un an plus tôt. Mais son étude dresse un tableau différent de la taille des attaques DDoS : le nombre de sondés ayant constaté des attaques de plus de 10 Gbps a diminué de moitié. Et les attaques de moins de 1 Gbps ont également reculé de 87 % des attaques constatées, à 73 % d’entre elles.
En revanche, la part des attaques entre 1 et 10 Gbps a progressé de seulement 8 % en 2012 à plus de 25 % en 2013. Mais Rodney Joffe, vice-président sénior de Neustar, n’est pas surpris par ces éléments : il note que ces attaques visent à saturer les connexions Internet des PME. « C’est la bande passante typique dont elles disposent, entre 1 et 5 Gbps », explique-t-il, ajoutant que « les attaquants frappent avec juste ce qu’il faut pour que ces entreprises ne puissent pas faire face ».
Attention à la diversion par DDoS
Et selon Joffe, cela n’a rien d’une coïncidence. Si le DDoS est souvent associé à une forme d’activisme, un nombre croissant d’attaquants motivés par l’appât du gain utiliseraient les DDoS pour faire diversion. De fait, la majorité des entreprises sondées par Neustar ont observé l’utilisation d’autres techniques d’attaque en parallèle de DDoS, généralement associées au vol de données clients, de propriété intellectuelle, ou d’informations financières, et souvent liées à des logiciels malveillants.
Pour Joffe, les DDoS sont généralement utilisés pour faire diversion dans deux cas de figure. Tout d’abord, les attaquants peuvent tenter de saturer les sites Web d’institutions bancaires pour les faire tomber. De telles attaques ont un impact négatif sur les lignes téléphoniques du service client, tout particulièrement si elles utilisent la voix sur IP.
Les organisations clientes se trouvent ainsi dans l’incapacité de communiquer avec leurs banques, pour des virements ou obtenir un solde de compte, créant une opportunité pour viser les entreprises et commettre des actions frauduleuses non détectées immédiatement. Joffe recommande à ces organisations clientes, et tout particulièrement les PME, de surveiller des activités réseau anormales, notamment lorsque les sites Web de leurs banques sont inaccessibles, et d'en discuter avec elle dès que possible pour éviter les transferts de fonds frauduleux.
Le second scénario est encore plus préoccupant, selon Joffe, lorsque les entreprises sont elles-mêmes les cibles d’attaques par DDoS. Les activistes responsables de ce genre d’attaques ont tendance à les revendiquer. Et c’est lorsqu’elles ne le sont pas qu’il convient d’être le plus prudent : pour Joffe, il y a une chance qu’il ne s’agisse que d’une diversion.
« Si vous êtes confrontés à un DDoS non expliqué, il y a de bonnes chances que votre système d’information soit compromis. Car, lors d’un tel DDoS, les responsables de la sécurité n’ont pas forcément la capacité de chercher des attaques subtiles, ciblées, visant à déposer un logiciel malveillant dans l’infrastructure. » Dès lors, en de telles circonstances, « il vous faut des personnes cherchant des incursions. Lorsque tout le monde se concentre sur le DDoS, la véritable menace se faufile discrètement ».
Plus du tiers des sondés par Neustar indique désormais avoir recours à des services de remédiation aux DDoS pour contrer ces attaques. Et seulement 15 % d’entre eux s’appuient sur des appliances dédiées. Une grande majorité s’appuie quant à elle sur des produits réseau et de sécurité classiques - pare-feu, routeurs, IPS - pour lutter contre ces attaques. Une statistique que Joffe trouve préoccupante parce que ces technologies ne sont pas conçues pour identifier et bloquer le trafic DDoS.
Quels que soient la méthode ou le but, Neustar confirme que les attaques par DDoS ne sont pas seulement une gêne. Elles sont également coûteuses. Pour plus de deux-cinquièmes des sondés, une indisponibilité par DDoS coûte au moins 50 000 $ par heure. Un chiffre à mettre en perspective avec un autre : plus de 20 % des attaques par DDoS ont duré au moins une journée. L’impréparation peut donc avoir de lourdes conséquences.
Joffe conseille ainsi aux entreprises de se préparer bien à l’avance en établissant une relation avec un fournisseur de services dédié à la protection contre les DDoS, mais également avec d’autres, dédiés à la détection et à l’élimination des logiciels malveillants, si les ressources internes ne permettent pas de faire face efficacement.
« Cela nécessite réflexion et dépenses. Et je ne suis pas sûr que toutes les entreprises le fassent. En fait, selon mon expérience, la plupart des PME se contente d’espérer ne pas être visées. C’est leur solution », explique Joffe. « Elles doivent vraiment prendre ces précautions à l’avance, parce que le pire moment pour demander de l’aide est lorsque l’on est effectivement confronté à la menace. »
Adapté de l’anglais par la rédaction.