rolffimages - Fotolia
Des chantages au DDoS appelés à se multiplier ?
Les professionnels de la sécurité informatique semblent préoccupés par le risque de tentatives d’extorsions adossées à des attaques en déni de service. Plusieurs éléments semblent leur donner raison.
Les professionnels de la sécurité informatique semblent anticiper un risque croissant d’attaques en déni de service distribué (DDoS) doublées de tentatives d’extorsion de fonds. C’est du moins ce que laisse entrevoir un sondage réalisé par Corero Network Security auprès d’une centaine de visiteur de la conférence Infosecurity Europe, début juin, à Londres : 80 % d’entre eux pensent ainsi que leur entreprise sera menacée par une attaque DDoS au cours des 12 prochains mois. Pour 43 % de ceux-ci, il est possible que leur organisation accepte de payer une demande de rançon.
Dans un communiqué, Dave Larson, directeur des opérations de Corero, relève que « l’extorsion est l’un des plus anciens trucs des criminels, et l’une des façons les plus simples de monétiser des activités de piratage. Lorsque votre site est tombé, cela peut coûter plus de 6500 $ par minute en pertes de chiffre d’affaires. On peut donc comprendre pourquoi certaines organisations acceptent de payer la rançon ».
L’an passé, le service de messagerie chiffrée suisse ProtonMail en avait l’expérience. Et ce n’était pas un cas isolé. Le Cert du pays avait alerté sur une vaste opération visant la Suisse : « un groupe de pirates essaie d’extorquer de l’argent à des cibles à haute valeur […] le collectif Aramda fait chanter ses victimes en demandant [une rançon]. En parallèle, les pirates lancent une attaque en déni de service distribué sur le site Web de la victime pour montrer leur puissance. Cette attaque DDoS de démonstration dure 15 à 30 minutes, avec une bande passante variant de 300 Mbps à 15 Gbps, voire occasionnellement plus ».
ProtonMail avait initialement accepté de verser la rançon demandée, de l’ordre de 5500 $, en bitcoin, « sous la pression d’un tiers », et dans le cadre d’une « décision collective prise par toutes les entreprises affectées ». Mais les attaques ont continué : « c’était clairement une mauvaise décision. Alors soyons clairs pour les attaquants à venir – ProtonMail ne paiera JAMAIS une autre rançon ».
Début février, Arbor Networks soulignait une progression de l’intensité et de la complexité des attaques en déni de service en 2015. Et si les cybercriminels cherchent à montrer leurs muscles, force est de constater que ceux-ci sont de plus en plus gonflés. Ainsi, Arbor Networks relève une montée en puissance des attaques, la plus intense enregistrée l’an passé ayant mobilisé jusqu’à 500 Gbps de bande passante, « avec d’autres épisodes à 450, 425 et 337 Gbps », indique l’équipementier dans un communiqué de presse, pour mieux souligner que « en 11 années d’enquête, l’ampleur maximale des attaques s’est vue multipliée par 60 ».
Mais les attaquants ne se contentent pas d’une brutalité croissante. Ils font aussi preuve de créativité : 56 % des participants à l’enquête d’Arbor Networks font ainsi état d’attaque multivecteurs ciblant non seulement les infrastructures, mais également les applications et les services, « contre seulement 42 % l’an passé ». Le service le plus visé serait désormais le DNS, au lieu de HTTP précédemment.
Récemment, Imperva Incapsula a indiqué avoir neutralisé une attaque en DDoS à 470 Gbits/s, visant une société chinoise de paris en ligne, mi-juin : « l’assaut était très complexe en termes de couches réseau, combinant pas moins de neuf types de paquets différents. Le gros du trafic a d’abord été généré sous la forme de paquets SYN, suivi de paquets UDP et TCP génériques. De tels assauts à neuf vecteurs sont très rares selon notre expérience ».
Et ce ne sont pas sources qui manquent aux attaquants. Fin juin, Sucuri a ainsi expliqué avoir protégé un client visé par une attaque « en couche 7, par flooding HTTP, générant près de 35 000 requêtes HTTP par seconde », avant de gagner en intensité, près de 50 000 requêtes par seconde. Cette attaque s’est appuyée sur des caméras de surveillance connectées : plus de 25 000 d’entre elles, toutes embarquant BusyBox. Une vulnérabilité connue depuis la fin mars permet de forcer l’exécution de code à distance sur les caméras de surveillance connectées de plus de 70 fabricants.