ake78 (3D & photo) - Fotolia
DDoS : des attaques savamment préparées ?
Bruce Schneier soupçonne des acteurs soutenus par des Etats de conduire des attaques en déni de service distribué pour dimensionner leurs outils en cas de cyberguerre.
Les opérateurs d’infrastructures vitales (OIV) feraient bien de se préparer. Si ce n’est pas déjà le cas. C’est en somme la conclusion que l’on est tenté de tirer de la lecture d’un billet signé Bruce Schneier.
Cet expert reconnu de la sécurité informatique tire effet la sonnette d’alarme : « quelqu’un est en train d’apprendre à faire tomber Internet ». Dans un billet, il estime que « depuis un an ou deux, quelqu’un teste les défenses d’entreprises opérant des éléments critiques d’Internet ». Un « vaste Etat-nation », selon lui, qui chercherait à savoir comment dimensionner des attaques en déni de service distribué (DDoS) de la manière la plus efficace : « récemment, certaines des principales entreprises qui fournissent l’infrastructure de base pour faire fonctionner Internet ont observé un accroissement des attaques DDoS les visant ». Des attaques « significativement plus importantes » que par le passé, qui « durent plus longtemps », et qui sont « plus sophistiquées », suivant des profils qui font penser à un test de leurs défenses.
Pour Bruce Schneier, il semble que « le cybercommandement militaire d’une nation cherche à calibrer son arsenal en cas de cyberguerre ». Ce pourrait être celui de la Chine, selon les données que l’expert a pu examiner.
Pour étayer son propos, Schneier ne fournit que peu d’éléments. Evoquant la confidentialité des données qui lui ont été soumises, il renvoie au dernier rapport trimestriel de VeriSign sur les DDoS : « au second trimestre 2016, les attaques ont continuent de devenir plus fréquentes, persistantes, et complexes ».
Dans son dernier rapport sur le sujet, Imperva ne dit pas autre chose : « les attaques DDoS ont augmenté de 211 % sur un an ». Leur intensité progresse : « le plus fort assaut que nous avons enregistré a fait une pointe à 470 Gbps », contre 325 Gbps au quatrième trimestre 2015, et 250 Gbps six mois plus tôt. Les méthodes des attaques évoluent en outre, « pour tenter de circonvenir les solutions de sécurité ». Et si la majorité des attaques touchant les couches réseau ne dure pas plus d’une heure, plus de 33 % d’entre elles combinent plusieurs vecteurs. Les attaques visant la couche applicative tendent en revanche à durer plus longtemps.
Pour Imperva, les attaques proviennent essentiellement de réseaux d’ordinateurs zombies en Chine et en Corée du Sud, pour viser principalement les Etats-Unis.
De son côté, Akamai vient de faire état d’une augmentation de 129 % des attaques DDoS au second trimestre, par rapport à la même période en 2015, dont une progression de 276 % des attaques utilisant la réflexion NTP comme vecteur. Et de relever une attaque ayant culminé à 363 Gbps, « visant une société multimédia européenne cliente ». Douze attaques de plus de 100 Gbps et deux de 300 Gbps « ont visé l’industrie des médias et du divertissement au second trimestre », indique en outre Akamai.
En France, le rapport d’activité 2015 de l’Agence nationale pour la sécurité des systèmes d’information (Anssi) fait état de 4000 signalements reçus. Elle n’indique toutefois pas la part d’entre eux ayant fait l’objet d’un traitement par son centre opérationnel de sécurité des systèmes d’information (COSSI). Mais 5 % des attaques traitées par ce dernier relevait du déni de service. Reste que les obligations de signalement des incidents prévues par la loi de programmation militaire de décembre 2013 ne s’appliquaient pas encore aux OIV en 2015. Ni encore pleinement cette année : seuls trois arrêtés sectoriels définissant les obligations de ces opérateurs en matière de sécurité de leurs systèmes d’information ont déjà été publiés.