ake78 (3D & photo) - Fotolia

Comment se prémunir contre les attaques DDoS

Participer à son insu à une attaque DDoS est plus probable que jamais. Que faut-il savoir de cette menace et comment s’en protéger ?

La fréquence et l’ampleur des attaques en déni de service distribué (DDoS) continuent de progresser. Et les fournisseurs de services Cloud pourraient bien constituer encore plus des cibles de choix pour les attaquants. Leur modèle économique s’appuie notamment sur la capacité à fournir une connectivité à Internet à vaste bande passante vers et depuis les instances virtuelles de leurs clients. Accéder à cette manne directement sur l’infrastructure du fournisseur, ou indirectement en attaquant l’un de ses clients, permettrait aisément de faire passer le DDoS à une échelle bien plus grande. Est-ce une réelle menace ? Et comment une entreprise utilisant des services Cloud peut-elle s’en protéger ?

L’actualité récente

Par le passé, un groupe de cybercriminels a exploité la vulnérabilité CVE-2014-3120 d’Elasticsearch et le cheval de Troie Mayday, pour Linux, afin de compromettre plusieurs machines virtuelles d’Amazon EC2. Cette vulnérabilité n’était pas exclusive aux systèmes en mode Cloud et pourrait avoir été utilisée contre n’importe quel serveur. Mais son utilisation à l’encontre de systèmes Cloud a ouvert d’intéressantes opportunités aux attaquants.

Ils ont ainsi été en mesure de lancer des attaques DDoS basées sur UDP à partir des instances cloud compromises. Les attaquants ont alors profité de la bande passante sortant du fournisseur de services Cloud – Amazon, dans ce cas. Une situation bien peu souhaitable.

Car si les plages d’adresse IP d’un fournisseur de services Cloud public se trouvent liées à des attaques DDoS, elles risquent de se retrouver sur des listes noires, y compris sur celles de pare-feu en entreprise. Les clients du fournisseur de services peuvent alors rencontrer des difficultés d’accès à ceux-ci voire souffrir d’indisponibilités.

La probabilité d’un tel incident à l’échelle d’un fournisseur de services Cloud public est faible, mais l’impact, pour lui comme pour ses clients, pourrait être dramatique.

Les risques d’une attaque DDoS en mode Cloud

Les fournisseurs de services Cloud disposent de systèmes de protection contre les DDoS à grande échelle, pour le trafic entrant. Ils supervisent également le trafic sortant et pourraient même arrêter des hôtes participant à des attaques. En l’état, ceci tend à bien protéger ces fournisseurs contre les attaques DDoS cloud.

Mais l’arrêt de machines virtuelles n’aurait rien d’une issue souhaitable pour son propriétaire, puisque cela induirait une indisponibilité de ses services hébergés. Il est donc dans l’intérêt des clients de sécuriser et superviser leurs hôtes en mode Cloud, eux-mêmes ou via un tiers.

De même, le propriétaire d’une machine virtuelle n’a aucun intérêt à ce qu’elle soit impliquée dans une attaque DDoS et mentionnée sur une liste noire : cela pourrait se traduire par des pertes de services Web ou e-mail du fait d’un blocage par des outils de protection contre les activités malicieuses, par exemple.

Détecter et prévenir une attaque DDoS en mode Cloud

De nombreuses pratiques de référence visent spécifiquement à réduire le risque et l’impact d’une participation à son insu à une attaque DDoS.

Tout client de plateforme Cloud devrait disposer d’un pare-feu bien configuré, en sortie, évitant le besoin d’un arrêt de machines virtuelles éventuellement compromises par l’hébergeur. Ce filtre peut, par exemple, bloquer le trafic NTP sortant, ou toute requête d’un serveur Web externe passé un certain seuil de connexions par seconde. Ce pare-feu devrait lui-aussi être supervisé. C’est une chose de bloquer du trafic avec un pare-feu, c’en est une autre de trouver la source réelle au sein de son infrastructure.

Le trafic DDoS sortant est souvent associé à des logiciels malveillants installés sur un ou plusieurs systèmes, ce qui les lient à un botnet bien plus étendu. Et les attaquants peuvent généralement disposer d’un contrôle complet sur les systèmes ainsi compromis. Ce qui peut conduire à des vols de données voire à des tentatives d’extorsion. Des dispositifs de détection des logiciels malveillants sur les hôtes et de prévention des intrusions sont un impératif pour n’importe quel système.

Des produits et services dédiés à la lutte contre les DDoS peuvent également être utilisés. Ce qui implique de rerouter tout le trafic entrant et sortant vers ces systèmes. Mais avec un fournisseur tiers, la bande passante sortante de l’hébergeur Cloud serait toutefois consommée par les machines participant à une attaque DDoS. Et dans le cas de l’utilisation d’un produit Cloud dédié, c’est la bande passante entrante de l’hébergeur qui continuerait d’être consommée sur son client venait à être la cible d’une attaque DDoS. Il est donc important d’étudier la méthode la plus adapté à son environnement.

Enfin, des systèmes de prévention ou de détection d’intrusion bien disposés pourraient détecter un trafic malicieux ou à tout le moins suspect. Ce n’est pas forcément suffisant pour identifier le trafic lié au DDoS, mais cela peut détecter et bloquer les communications entre logiciels malveillants et centres de commande et de contrôle. Ce qui est encore mieux.

Conclusion

Participer à une attaque DDoS à son insu est une mauvaise chose, dans tous les cas. Mais les risques associés apparaissent plus élevés avec un hébergement Cloud public. Et pas seulement en raison de l’attaque en elle-même, mais parce que ses systèmes sont susceptibles d’être arrêtés par l’hébergeur et la consommation excessive de ses ressources pourrait se traduire par une facture salée. Toutefois, avec les bonnes mesures de sécurité, la plupart de ces risques peuvent être maîtrisés. De là, l’entreprise peut réfléchir à se protéger des attaques DDoS la visant.  

Adapté de l’anglais.

Pour approfondir sur Menaces, Ransomwares, DDoS